Mnoho uživatelů iPhonů nedávno zažilo jedno z těch rán, kdy se rutina nečekaně změní v úzkost. Místo obvyklé notifikace se na displeji objevila zpráva o masivním úniku dat – 184 milionů přihlašovacích údajů. Mezi nimi účty Apple ID, Facebook, Google, ale také přístupy k bankám a státním systémům.
Pro mnohé to byla chvíle, kdy si uvědomili, jak křehká je jejich digitální bezpečnost. Zatímco úniky dat už nejsou ničím neobvyklým, přítomnost Apple účtů v této databázi působila mimořádně znepokojivě. Apple je často vnímán jako jedna z nejbezpečnějších platforem – a právě proto byla tato situace jiná.
V reakci na zprávu začali uživatelé vyhledávat způsoby, jak zjistit, zda jejich e-mailová adresa patří mezi kompromitované. Nejčastěji používanou metodou bylo využití veřejných databází úniků, jako je Have I Been Pwned. Někteří šli ještě dál – kontrolovali své dvoufázové ověření, měnili hesla nebo aktivovali bezpečnostní klíče.
Související článek
Přesto zůstává klíčová otázka: Jak se chránit dál? Bezpečnostní experti doporučují pravidelnou kontrolu účtů, používání unikátních hesel pro každou službu a dvoufaktorové ověření jako základní obrannou linii. V digitálním světě, kde jsou úniky dat na denním pořádku, je proaktivní přístup nutností.
Únik 184 milionů přihlašovacích údajů, uživatelů a hesel
Jeremiah Fowler, výzkumník v oblasti digitální bezpečnosti, narazil (naštěstí pro nás) na špatně chráněnou databázi obsahující 184 milionů přihlašovacích údajů (uživatelské jméno, e-mail a heslo) pro nejrůznější služby. A pozor, protože seznam je dlouhý: Apple, Microsoft, Facebook, Instagram, Snapchat, banky, vládní platformy… Téměř vše, co denně používáme.
„Velikost databáze byla více než 47 GB čistého textu a kódu.“
Databáze nebyla šifrovaná ani chráněná heslem a zdá se, že data byla shromážděna pomocí typu malwaru zvaného infostealer (kradoucí informace). Tento typ viru krade vaše přihlašovací údaje při přístupu na webové stránky, při používání prohlížeče nebo dokonce při ukládání hesel do počítače.
A tady je to zvláštní: není známo, kdo měl databázi k dispozici a za jakým účelem. Mohla patřit výzkumníkům, kyberzločincům… nebo prostě někomu, kdo ji zanechal na internetu. To se časem zjistí, ale riziko tu je. Ví se jen, že pole s heslem se jmenovalo „Senha“ („heslo“), což dává další vodítko k původu souboru.
Jak zjistit, zda došlo k úniku e-mailu
Tento únik dat je jen jedním z mnoha, ke kterým došlo v letošním roce a v posledních letech. Je to cena za to, že jsme na internetu. Důležité je v tomto případě nedívat se jinam. První, co tedy udělejte, je, že přejdete na webovou stránku haveibeenpwned.com.
Na této stránce stačí zadat pouze svůj e-mail (nebo několik, pokud ho máte) a zjistit, kde k úniku došlo. Objeví se vám aplikace nebo služba, ze které pochází, a odtud musíte táhnout vlákno. Proč? Protože řekněme, že unikl váš přístup (uživatelské jméno a heslo) k účtu Nike. První, co byste měli změnit, by bylo heslo k této službě, ale je možné, že toto heslo máte i na mnoha dalších stránkách. A právě zde začíná problém.
Aktivujte dvoufázové ověřování, kde se dá
Stále je mnoho aplikací a služeb bez dvoufázového ověřování. Obecně ji většina firem obvykle má, i když je pravda, že ji většinou musíte aktivovat ručně. Musíte se tedy přihlásit do příslušné webové služby nebo aplikace a přejít do nastavení hesla. Pokud došlo k jeho úniku, změňte ho a vyhledejte dvoufaktorové ověřování.
Toto ověřování je obvykle založeno buď na telefonním čísle, nebo na alternativním e-mailu, na který vám přijde kód. Tímto způsobem se dotyčný, i když zná vaše heslo, nebude moci přihlásit, protože bude požádán o další kód, který máte pouze vy.
V případě důležitých aplikací, jako je například WhatsApp, můžete jít ještě dál a nastavit takzvaný Passkey. To znamená, že se budete moci přihlásit pouze v případě, že se ověříte pomocí Face ID, tedy pouze pokud budete před iPhonem.
Je čas skoncovat s hesly, která si chceme pamatovat
Není nic horšího, než když vás někdo nutí změnit heslo, které jste se již naučili. Obvykle k němu přidáváme další číslo nebo vykřičník. Technicky se jedná o nové heslo, ale problém zůstává stejný: že je obvykle budeme používat opakovaně pro mnoho věcí.
Klíčem je spolehnout se na iCloud keychain nebo na aplikaci Hesla. Je to něco jako takový zápisník nebo lísteček, kam si zapisujete hesla, ale mnohem bezpečnější.
K přístupu do této aplikace budete opět potřebovat svůj obličej, abyste měli jistotu, že se přihlašujete právě vy. Pravděpodobně zde máte spoustu automaticky uložených hesel a ve skutečnosti byste je právě zde měli aktualizovat a dokonce se podívat do jejich sekce s upozorněními, protože zde najdete i velmi zajímavá bezpečnostní doporučení.
Aplikace Hesla je samozřejmě na samostatný článek, ale pro shrnutí: vstupte do ní a pomocí tohoto seznamu zjistěte, která hesla se vám opakují, a na základě toho je změňte. Zpravidla vám při přechodu na webovou stránku nebo službu a jejich změně nabídne, zda je chcete změnit i v aplikaci, takže si ušetříte nutnost mnohokrát kopírovat a vkládat. Ale ano, budete muset neustále přecházet z aplikace do aplikace a z webu na web a měnit heslo ručně. Proto je ideální mít pro každou z nich jiné heslo, a protože je aplikace generuje náhodně, nemusíte na to ani myslet.
A pokud máte 1Password (nebo jiného externího správce), musíte být také ostražití. Před několika lety došlo k incidentu se službou 1Password, kdy se zdálo, že došlo k úniku hesel, i když se nakonec vyloučilo, že by došlo ke skutečné krádeži dat.
Pokud tedy používáte jiného správce hesel, nezapomeňte sledovat, co se může stát. Sledujte zprávy a oficiální oznámení, protože nikdy nevíte. Někdy to, co vypadá jako fáma, může být včasným varováním před problémem.
Osvědčené postupy pro řešení úniku dat
- Nejprve si na webu haveibeenpwned.com zkontrolujte, zda nedošlo k úniku informací o vašem e-mailu.
- Změňte si heslo k dotčeným službám. A pokud jste stejné heslo používali i v jiných službách, změňte ho i tam.
- Povolte dvoufázové ověřování u všeho, co můžete (Apple, Google, WhatsApp…).
- Používejte správce hesel (zázrakem je klíčová schránka od Applu).
Nemusíte to všechno udělat za jeden den, protože těch webů a aplikací bude hodně, ale měli byste si zkontrolovat alespoň přístup ke Gmailu a sociálním sítím.
Co dělat, pokud byly vaše údaje ohroženy
Pokud zjistíte, že vaše údaje byly ohroženy, je nutné jednat rychle, abyste minimalizovali případné škody. Zde je několik dalších kroků, které můžete podniknout:
- Sledování bankovních účtů: Pokud byl některý z vašich bankovních účtů kompromitován, zkontrolujte nedávné transakce a zjistěte, zda na nich neprobíhají podezřelé aktivity. Pokud zjistíte něco neobvyklého, okamžitě informujte svou banku.
- Aktualizujte bezpečnostní otázky: Ujistěte se, že bezpečnostní otázky spojené s vašimi účty je obtížné uhodnout. Vyvarujte se používání informací, které lze snadno zjistit na sociálních sítích.
- Zvažte službu sledování identity: Služby jako LifeLock nebo IdentityForce vám mohou pomoci sledovat zneužití vašich osobních údajů.
- Informujte se o nejnovějších hrozbách: Sledujte aktuální zprávy o kybernetické bezpečnosti, abyste měli přehled o nových hrozbách a o tom, jak se proti nim chránit.
Kybernetická bezpečnost je zkrátka nepřetržitý proces, který vyžaduje, abyste byli ostražití a připravení jednat v případě jakékoliv eventuality. Díky těmto tipům budete lépe vybaveni pro ochranu svých osobních údajů ve stále složitějším digitálním světě.