Новостные ленты периодически взрываются звучными известиями о том, что, мол, несколько сотен тысяч или миллионов паролей вследствие того что или другого сервиса похищено, как ужасно жить... Абсолютно, пароли крадутся и крадутся регулярно. Но, как показывает практика, большинство аналогичных новостей о кражах являются фейковыми.
Дело в том, что количество украденных паролей берется, конечно же, не у администрации сервиса, а из описания информационной базы, которую в очередной раз предлагают покупать в даркнете — то бишь, «подпольном Интернете», где как раз и пасутся мошенники и хакеры всех мастей. На самом же деле, если покупать такую базу, то оказывается, что записей-то внутри нее много, но вот соответствующих действительности — мизер.
Это похоже на общеизвестный случай мошенничества при аренде квартир, когда агентство продает вам якобы базу дешевой недвижимости, и при обзвоне выясняется, что квартиры или сдаются дороже, или не сдаются вообще. То есть, "пострадавшим" в такой ситуации выступает не владелец аккаунта, а домашнего изготовления кулхацер, полагавшийся получить славу Кевина Митника, покупав вот такую базу безвестно у кого.
Вот только один последний пример: на продажу была выставлена информационная база аж с 272 миллионами учетных записей от почтовых сервисов Gmail, Hotmail, mail.ru и Yahoo, якобы украденных непосредственно у сервисов. Администрации сервисов заинтересовались базой и приобрели ее для проверки причем даже приглашения укравших данные хакеров на работу. Оказалось, что приглашать их можно только дворниками: более 98% аккаунтов Google в базе (из 23 миллионов присутствующих) оказались фиктивными, то бишь, несуществующими, а из 57 миллионов аккаунтов mail.ru фейковыми оказались 99,98%: почти 23% вообще никогда не существовали, 65% содержали неверные пароли, а 12% принадлежали заблокированным аккаунтам, созданными за счет ботов.
То есть, выгоды от покупки базы — совершенно никакой, а немногочисленные реальные пары логин-пароль были, по всей видимости, украдены на пользовательской стороне с помощью клавиатурных разведчиков и фишинга.
Между тем истории о краже множества паролей активно муссируются в глобальной сети интернет. Выгодно это, во-первых, продавцам фейковых баз, а во-вторых, конечно же, компаниям из сферы информационной безопасности, которые активно объясняют аналогичные случаи. Их задача — максимально запугать людей, чтобы потом более удачно продавать свои продукты и услуги. Не стоит, наверное, будить городскую легенду о том, что вирусы создаются разработчиками антивирусов, однако некоторые разработчики антивирусов действительно порой лишне сгущают краски, рассказывая о ужасных уязвимостях той или иной системы, например, Mac OS или Android... Тем временем как на последней все проблемы решаются запретом установки ПО из незнакомых очагов (включен по умолчанию) и отключением автозагрузки MMS в версиях до 5.1 для защиты от уязвимости в библиотеке Stagefright (а кто вообще пользуется MMS?).
Между тем существуют и реальные факты кражи большого количества паролей. Например, в начале мая нынешнего года социальная сеть LinkedIn объявила о компрометации российскими хакерами порядка 100 млн учетных записей и была принуждена сбросить пароли для большого количества пользователей и оповещать их о необходимости возобновленья.
А чуть позднее MySpace, ежели вы помните такую соцсеть, подтвердила компрометацию 360 миллионов учетных записей пользователей, зарегистрированных до 2013 года. Несмотря на то, что сейчас эта сеть всеми забыта, пострадали сторонники использовать один и тот же пароль в различных сервисах.
Если у вас везде различные и трудные пароли, то о страхах вокруг взлома можно пренебрегать.