Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Rząd uruchomił serwis, umożliwiający sprawdzenie czy Twoje dane wyciekły
Chodzi o ostatni „incydent”, o którym jeszcze napiszemy. Tymczasem zerknijcie na tego tweeta:
No właśnie, bezpiecznedane.gov.pl wymagają zalogowania Profilem Zaufanym (więc przynajmniej w teorii administratorzy serwisu wiedzą, kto wyszukiwał jakie dane), później mamy dostęp do prostej wyszukiwarki:
Jak widać pojawiają się tutaj również pierwsze znaki hasła:
Dla pewności – wpis nie jest rekomendacją „świetnej wyszukiwarki wycieków”, to po prostu zaznaczenie faktu powstania takiego „nowego bytu”.
Dane z ~ostatniego incydentu zostały również zaimportowane do serwisu haveibeenpwned (gdzie możecie wyszukiwać ew. wycieku Waszych kont).
~ms
Chyba kogoś pogrzało w rządzie. Mamy dać im powiazać nasze loginy i hasła z naszym peselem – bo to właśnie umożliwi logowanie profilem zaufanym. Masakra.
Dokładnie!
Gdzie mogę zobaczyć nie tylko mój login (e-mail) ale też hasło jakie wyciekło?
Pozdrawiam
Jak sprawdzisz na tamtej stronce czy wyciekły Twoje dane, to pokaże Ci nazwę wycieku. Potem możesz pobrać cały wyciek z torrentow (2 min. Googlowania zajmuje znalezienie listy wszystkich wycieków). Paczki te ważą zazwyczaj po kilkaset GB dlatego potrzebujesz konkretnej nazwy wycieku, żeby nie szukać we wszystkich. Potwierdzone, swoje dane znalazłem
Chyba źle interpretujesz sytuację, ewentualnie nadinterpretujesz. Przeczytaj uważnie artykuł.
Swego czasu miałem powiązany profil zaufany z kontem bankowym – raz dwa z tego dobrodziejstwa zrezygnowałem. A ile problemu z rozpięciem tego było – musiałem od nowa profil zaufany tworzyć, tak się profil do banku przylepił…
Chłopie, jeśli coś odjaniepawlisz to i tak cię namierzą.
Może byś się jednak odurbanił.
A co lepiej dawać dane ruskim i chinczykom zamiast w swoim kraju. Pamiętaj, ze rząd posiada większość twoich danych i nie jest po to, aby je rozdawał burakom z podlasia?
Od dawna jest strona https://haveibeenpwned.com/ na której można sprawdzić czy swój email nie był przedmiotem jakiegoś wycieku.
Ale przecież o tym piszemy w poście :-)
Tak, ale na hibp jest tylko wpis że adres email znajduje się w tej zbiorowej paczce bez info skąd pochodzi wyciek. Trochę za mało info żeby móc poprawnie zareagować. Zmiana haseł wszędzie to trochę sporo roboty.
No to rzeczywiście super bezpiecznie że masz jedno hasło do wszystkiego.
Tylko że na tej stronie po wpisaniu email mamy np. informację że hasło wyciekło tylko nie wiadomo skąd: może to być np. dawno zapomniane forum gdzie hasło było unikalne. Czyli tak naprawdę nic wartościowego.
Przed chwilą wpisałem swój email na hibp i mam normalnie listę breachy skąd i kiedy, więc może coś zaktualizowali od Twojej ostatniej wizyty
A w sekcji „Breaches you were pwned in” znajduje się namiar na stronę, z której twój mail wyciekł.
Jak nie wiadomo skąd, jak pod spodem wyraźnie jest napisane skąd, wystarczy przescrollować w dół :D
No cóż, takie czasy. Jak nawet tu widać, mało kto wpada na pomysł by przescrollować w dół :)
Najlepsze jest to, że ja wiem że moje dane wyciekły, haveibeenpwned też o tym wie i mi to pokazuje a Nasz piękny, niezawodny system na które rząd wyje**ł kilkadziesiąt milionów pisze że moje dane nigdzie nie wyciekły i są bezpieczne… No ku**a ludzie obudźcie się i patrzcie na co idą Wasze podatki bo to się już robi śmieszne jak z głosowaniem pocztowym…
Sprawdź jeszcze na f-secure. W moim przypadku pokazuje więcej niż HIBP.
Z całym szacunkiem do bezpieczników gov.pl
Uważam że dane które zbierane są przez GOV mogę jednak pozostać szybko opublicznione.
?intitle:index.of? site:gov.pl
Nie należy ufać gov
Niektórzy w komentarzach chyba nie umieją czytać. Aby znaleźć wyciek nie trzeba podawać swoich danych logowania, a tylko zalogować się do strony gov, a następnie wpisać login lub adres e-mail. Który został skradziony. Przecież skoro wyskoczy wam że został skradziony to znaczy że już ktoś to hasło zna więc trzeba wtedy działać a nie myśleć skąd oni to mają. Ewentualnie jak i w artykule macie dostępne narzędzie haveibeenpwned.com.
Oczywiście konieczny jest profil zaufany, jakby ta strona, za którą zapłaciliśmy z naszych podatków nie mogła być dostępna od ręki, dla każdego, bez konieczności logowania. Śmieszne bo to tylko sprawdzacz w bazie danych, wątpliwej jakości i jeszcze z podejrzeniem powiązania danych z naszym PESEL itp.
Pani Katarzyna jest świadoma. Hasła do różnych serwisów są różne. Wyciek może pochodzi z zapamiętanych w przeglądarce.
Widać początek hasła, to jest masakra. Login tomek hasło tom***. Ja wiem że w takich wypadkach i tak hasło było łatwe do odgadnięcia. Ale co innego jest gdy wiemy jaki jest login i wiemy że łatwo odgadnąć.
Czy jestem tam w stanie wyszukać jakikolwiek mail? np maile moich kolegów i koleżanek, których adresy mailowe znam? I będę widział jakie mają początki haseł?! :o
tak
Po zalogowaniu nalezy tylko podac pin i haslo do konta 🤣
https://haveibeenpwned.com/
Uzytkownik: sprawdze czy moje haslo wycieklo, przecież używam go na 20 serwerach
Haker: Wyciekło milion haseł. Kaszanka nie do ogarnięcia. Załóżmy sobie stronkę, dowiemy się które hasła są aktywne.
Nie sprawdzajcie haseł….. to najgorsze co można zrobić.
Da się sprawdzić hasło bez wpisywania go na tej podejrzanej stronie, pod warunkiem, że zaakceptujesz ryzyko ujawnienia pięciu pierwszych znaków hasha hasła.
Załóżmy, że chcemy sprawdzić hasło zaq12wsx. Obliczasz SHA1 tego hasła (najlepiej wyliczyć go samodzielnie w pamięci) i jeśli się nie pomylisz otrzymasz wartość cdf547ed4c64e6994af35cfcd69c4204c9227a97. Dzielisz to na dwie części: 5 znaków cdf54 i cała reszta 7ed4c64e6994af35cfcd69c4204c9227a97. Teraz otwierasz stronę https://api.pwnedpasswords.com/range/cdf54 (gdzie cdf54 to te pierwsze pięć cyfr) i sprawdzasz czy na liście jest cała reszta 7ed4c64e6994af35cfcd69c4204c9227a97. Jeśli nie ma, to możesz założyć wyciek Twojego hasła nie został ujawniony.
Sprawdzanie haseł akurat na stronie haveibeenpwned jest zrobione bezpiecznie – sprawdzałem jak to działa. Po stronie klienta generowany jest hasz hasła. Początek haszu tego hasła jest wysyłany na serwer. Serwer zwraca nam wszystkie hasze które zaczynają się od tego hasza. To może być nawet 100 różnych hashy. Po stronie klienta szukane jest czy dany hasz występuje na liście zwróconych haszy.
Serwer nie wie jakie hasło było wpisane, nie zna nawet hasza tego hasła. Zna tylko kilka początkowych znaków z hasza.
A kiedy będzie można zobaczyć kto komu , gdzie i za ile sprzedaje nasze dane?
Na stronie rzadowej nie wykryto wycieków a na stronie podanej w komentarzach jest wyciek. Czyli strona rządowa o kant D..
a u mnie na podanych stronach brak wycieku, a tak przypadkowo zaczął przychodzić spam na wp.pl, które adresowane są na inne adresy z wp.pl