Antivírus blog

vírusok, férgek, botnetek, kártevők

A Gmail-es jelszavak kiszivárgása

2016. április 12. 14:35 - Csizmazia Darab István [Rambo]

Néhány nappal ezelőtt írtak arról, hogy kiszivárgott 15 ezer magyar gmailes jelszava. Egy ideig el is lehetett érni az adatokat sima szöveg formátumban, aztán fél nap után törölték. Összefoglaljuk, mit érdemes megtanulni az esetből.

A magyar adatokat közzétevő hackerek nem a Gmailt törték fel, hanem a futóversenyeket szervező Budapest Sportiroda rendszerét, a futanet.hu oldalt, ezen keresztül szivárogtak ki a regisztrált felhasználók e-mail címei és jelszavai. Az információk egy észtországi fájlmegosztó portálon jelentek meg, az ügyet pedig az Origo hírportál fedezte fel.

Többen is ellenőrizték a saját címüket, a jelszavak jók voltak, bár sok esetben régiek: volt olyan, amelyiket már egy éve lecseréltek. Mivel az iroda nem tárol bankkártya információkat, azokat nem lophatta el senki, a honlap ugyanis egy biztonságos, többlépcsős fizetési felületre irányítja át a felhasználókat.

De mit lehet kezdeni tizenötezer magyar felhasználó e-mail címével és jelszavával? Az adatok értékét elsősorban az adja, hogy az emberek ugyanazzal az e-mail címmel regisztrálnak a legtöbb honlapra, és a felmérések szerint hét emberből legalább egy lustaságból ugyanazt az egy jelszót használja az összes létező fiókjához, igénybe vett szolgáltatáshoz.

Tovább tetézi mindezt, hogy sok esetben ráadásul éveken keresztül így használják, sőt még a pénzmozgásokkal kapcsolatos weboldalakon, például a bank honlapján vagy online piactereken is. Egy ilyen lista éppen ezért sokat ér a feketepiacon, hiszen mindenhol, ahol az adott e-mailcím szerepel, próbálkozni lehet az adott jelszóval is.

Hogyan védekezhetünk? Azon túl persze, hogy egyedi és erős jelszót használunk mindenütt, valamint ezeket rendszeres időközönként - akár történik incidens, akár nem - lecseréljük. Persze ha valamilyen betörés, szivárgás, eszközlopás történik, akkor az azonnali csere kötelező. Itt jöhet jól például a két faktoros azonosítás, amely a banki ügyletek esetében is elterjedt, és használata megnehezíti a bűnözők számára az életet.

Ilyenkor ugyanis a szokásos név-jelszó páros beütése után igénybe kell venni egy jelszógeneráló eszközt is (tokent vagy mobiltelefonra érkező SMS aláírást), ami egy egyedi, egyszer használatos jelszót generál. Vagyis ilyenkor a támadónak még a telefonunkat is el kellene lopnia, hogy ehhez hozzáférjen. (Persze mattot így is sokféleképp adhatunk magunknak: nyitott wifivel, nyilvános helyen a vállunk felett kifigyelhető adatainkkal, hanyagul kezelt elvesző telefonunkkal, stb.)

Sok helyen érhető már el, sőt alapértelmezetten adott nem csak a https titkosított kapcsolat, hanem a kéttényezős hitelesítés is: a Google, PayPal, Yahoo, Twitter, Facebook, az Apple ID, és a Snapchat is rendelkezik ezzel, érdemes tehát használni.

A Gmail esetén kaphatunk értesítést, ha valaki illetéktelenül megpróbálna belépni a fiókunkba, erről e-mailben vagy SMS-ben is értesülhetünk.

Nézzünk rá akkor kicsit a jelszavakra is: a listában sajnos nagyon sok Darwin díjas jelszó szerepel, ami 2016-ban ennyi temérdek biztonsággal foglalkozó cikk után elég gáz. Emellett azt sem szabad elfelejteni, hogy egy kikémlelt jelszó, még ha éppen nem is érvényes, akkor is segíthet a támadónak némely esetben.

Például ha valakinek túlságosan egyszerűek (udvariasan fogalmazva) a jelszó alkotási szokásai, és a "kutyuska5" típusú szuperbiztonságos jelszónál a változtatás nála fél év múlva a "kutyuska6"-ot jelenti, amíg egyszer újra körbe nem ér, akkor ezzel is képes magas labdát adni a támadóknak.

23 komment

A bejegyzés trackback címe:

http://antivirus.blog.hu/api/trackback/id/tr108594510

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben.

onlajnok · http://www.onlajnok.com 2016.04.12. 16:20:46

Egy ideig? Február 20 óta fent volt, több, mint egy hónapig. Csak az nem mentette le, aki nem akarta. Egyébként, mikor ellopták őket, másnap restetleék őket a futanet-en, ahová egyébként sem sok értelme volt belépni. Az, hogy hol máshol használták még ezeket a username password párosokt, más lapra tartozik.

ahha 2016.04.12. 16:54:38

Az csak nekem furcsa, hogy plain textben tárolták a jelszót?

Sam. Joe · http://www.matchboxmemories.hu 2016.04.12. 17:03:55

“No sports, just whisky and cigars.” – Winston Churchill.
8-)

BruceTheHoon 2016.04.12. 17:23:59

Ami nem lett világosabb: mi köze ennek a sztorinak a gmailhez egyáltalán? a futásszervezők szerverét törték fel, vagy oda csak gmaillel lehetett regisztrálni, nem akármilyen emailcímmel? de hát a Google ad olyan szolgáltatást, hogy alkalmazás használhatja a guglis belépést, nem kell külön jelszó meg efféle. Értem én, hogy az origo is ezt a címet adta, de ők sem magyarázták meg, hogy jön a gmail a képbe. Ha Google lennék, perelnék jó hír megsértése miatt.

iQwerty 2016.04.12. 18:30:15

@BruceTheHoon:
Ha már olvasni tudsz is, a szövegértelmezéssel baj van. Ott a cikkben, hogy ugyan azt a jelszót használja sok ember. Hogy te is megértsd. Ha a futanet-re piroska volt a jelszó, nagy valószínűséggel a gmail-re IS piroska volt a jelszó.
És hogy miért gmail? Ha valahova elfelejted a jelszavad (márpedig aki ugyan azt használja, az elég egyszerű ember), kérsz egy jelszó emlékeztetőt. Azt meg jól meg tudja nézni a hacker. Vagy ha regisztrálsz egy oldalra, akkor rendszerint az okosok elküldik a regisztrációs adatokat. Szóval a gmail értékes a hackernek. A céges mail nem, mert oda nehezebb bejutni. Szó sem volt arról, hogy a gmail-t törték volna fel. Szép napot!

randomgenerator 2016.04.12. 19:39:19

Egyrészt ez több hónapos történet, a BSI küldött korrekt módon figyelmeztető levelet róla. Másrészt ezek nem gmailes jelszavak hanem a BSI nevezési rendszerének jelszavai. Hogy van köztük olyan, ami gmailre jó? Biztosan van olyan is. Más része meg gondolom a Disqusra talál. Egy része meg sehová. A "gmailes jelszavak" erős csúsztatás.

BruceTheHoon 2016.04.12. 19:43:01

@randomgenerator: ne implikáljad itten a dzsímélt, mer' minnyá' kapsz te is iQwertytől, hogy rossz a szövegértésed, mert [random-generált szöveg]. De igen, erről beszéltem, hogy nincs semmi látható ok éppen a gmailt név szerint kiemelni, feltehetően le is fogják venni idővel origóék, ha majd a Google telefonál - néhány ex-origós fejlesztő a Google-nél dolgozik már, szóval van sajtófigyelésük is.

Ez a név már foglalt! 2016.04.12. 20:14:50

Csak szólok, hogy még mindig fent a neten a lista (rákerestem) és fent is fog maradni az idők végezetéig. Az oldal neve magyarul az, hogy "bűnözői hálózat", nem vicc!

Másrészt meg ez a plain textes jelszótárolás az IT szakma arconköpése. De most komolyan, kicsinálta ezt a weboldalt, unokaöcsém Pistike ?!?! Az a durva, hogy nem, ott a lap alján: VNM Zrt erp.vnm.hu/
Szégyelljétek magatokat VNM Zrt szoftverfejlesztői!

Eltévelyedés · http://gumimacik.blog.hu/ 2016.04.13. 02:12:48

Minden hétre, két hétre jut egy ilyen virusirtós securtys blognak a jajjveszékelése, hogy megint elloptak x ezer jelszót. Egyszer, valamelyik komoly blogger (Nem csak mindenféle angol nyelvű oldal szorgos forditója) nem akar irni egy cikket, hogyan generáljon az egyszerű júzer bizonságos ÉS számára könnyen megjegyezhető ÉS minden szolgáltatóhoz egyedi jelszavakat?

Mert ugye az

"örg$xhp43--sa*143-dűem!o"

elég bonyolult, ám nem túl megjegyezhető és a sok spec karakter miatt padlót fogsz, ha véletlenül nem a saját billentyűzetkiosztásod elé ülsz le. Mondjuk épp németre van állitva az adott rendszer. Eltart majd 10 percig mire kisakkozod hogy nyomsz ű betűt és dollár jelet.

És akkor ez még csak a gémél jelszóm volt, jegyezzek meg valami hasonló egyszerűt a facebookhoz, a paypalhoz, a 4 netbankomhoz, a nyugdijboztositóhoz, a légitársaságomhoz, a blog-u-hoz, a másik két facebook accountomhoz, és a másik 74 szolgáltatáshoz amit használok.

Szóval kedves security szakértők, engem tényleg érdekel, mit lehet tenni, mert azt ugye senki nem gondolja komolyan, hogy esőemberen kivül bárki észben tud tartani nagyjából 100 féle, 15 random karaktert, és ezeket álmából felébresztve bepötyögni.

Privateer 2016.04.13. 07:02:42

Mindenki pampog a jelszavakról, arról viszont nem, hogy azóta a napi 10 spam megugrott napi 300-ra?
Ingyen hozzájutottak egy 15 ezres élő emailcím adatbázishoz.
Jelszóparára meg van egy megoldás. Minden oldalon külön egyedi jelszót használok. Alapból is értelmetlen szó szám és írásjel kombóval. Csak én tudom melyik karakter van felcserélve. Az a karakter viszont az adott weboldal címénak valahanyadik betűje.
Pl ABcd-1234 az alapjelszó, de a blog.hu címből generálok még két karaktert, mondjuk bg, és ezt hozzácsapom a jelszó végére így:ABcd-1234.nh (billentyűzeten jobbra tolva).
Vagy bármilyen más kifordítási metódus is használható.
Voilá, mindenhol egyforma a jelszó, mégis más.
Jó, ha más a kiosztás, megszívhatom.

abcd1234 2016.04.13. 07:10:23

Nem lenne ekkora jelszó pánik, ha nem kellene minden szutyok oldalra regisztrálni, belépni. Pl. ide a kommenthez SEM! Mi a ráknak jelszó és belépés azért, hogy fussak, olvassak stb.? Kinek mi köze hozzá, hogy én védeni akarom az adataimat vagy sem? Vannak privátabb oldalak, aukciós oldalak, webshopok amiken annyi infó nincs, hogy semmi, nyugodtan kitenném ide a főoldalara is, de még is kisbetű, nagybetű, szám, különleges karakter kell a bejelentkezéshez. Aki nem bűnöző, annak nincs félni, vagy titkolni valója! Vannak itt nagyobb problémák is...

onlajnok · http://www.onlajnok.com 2016.04.13. 08:08:42

@iQwerty: jól van te se érted akkor egészen. Azért gmail-es jelszavak a cím (bár a világ faszsága a címadás mindenki részéről), mert csak a kiszivárgott belépési adatok közül a gmail-es címek vannak a listában. 15ezernél jóval több account van a bsi-nél, de freemail-es, citromail-es, internet szolgáltatói e-mail címek és hasonlók nincsenek benne.

onlajnok · http://www.onlajnok.com 2016.04.13. 08:15:21

És egyébként nem az gáz ezzel az egésszel, hogy az egyszeri usernek password, vagy kutyuska5 volt a jelszava. Mert egy ember aki csak futni szeretne, szabadon lehet hülye. Hanem az hogy a BSI-nél mindezeket a jelszavakat így ahogy vannak, írd és mondd, egyszerű szövegként minden kódolás nélkül tárolták. Akik pedig ezt kitalálták, elvileg szakemberek, nem laikusok. Megérne egy megkeresést az Nemzeti Adatvédelmi és Információszabadság Hatóságnál, hogy kicsit piszkálják már meg a dolgot, vajon minden tőlük telhetőt megtettek-e az emberek adatainak a biztonságáért....

ekat 2016.04.13. 08:45:14

@Eltévelyedés: Teljes szívemből egyetértek, erről az apróságról én sem olvastam még soha. Azt viszont persze igen, ami amúgyis egyértelmű, hogy fel se írjuk sehova.... És akkor?

ekat 2016.04.13. 08:49:19

@Privateer: Igen, én is hasonló módon oldom meg. :)

Mérnork 2016.04.13. 08:57:30

Az ilyen futanet szerű nevetséges oldalakra tök gagyi jelszavakkal szoktam beregelni, mert a kutyát nem érdekli ha feltörik, de véletlenül se valamelyik komoly emil címem jelszavával.

tükörfúró 2016.04.13. 10:46:33

@Eltévelyedés: Egyrészt, vannak jelszótároló alkalmazások, hogy ne kelljen 700jelszót megjegyezni.
Ezeknek nyilván van egy fő jelszava, és ha azt törik, oda van mindend. Valamit- valmiért.
Ha a böngésződdel tároltatod, az kicsit ellentmondásos, mert így minden oldalon egyedi és nagyon erős lehet, hátrány, ha elveszti a böngésző, nem fogod már tudni, vagy betörnek a gépedre, megintcsak bejutnak mindenedbe.
(bár ha betörnek, akkor tárolt jelszavak lelopása nélkül is akár, pl keyloggerrel)
A darwin díjas "password1" től, amitn minden hacker odapróbál azonnal, az egy fokkal jobb "gyerekemneve1" jelszón át vannak fokozatok.
A legdurvább védelmet a random kombinációk jelentenék, ezek nem tul megjegyezhetőek, de könnyen szintetizálható hasonló jelszó, ami már megjegyezhető.
Alapvetésként érdemes halandzsákat és nem szótári szavakat használni.
A szuptoporigátok pl olyan gyerekkori halandzsa, amit csak te tudsz, és baromi nehéz bárhogy kisakkozni.
Most csinálunk belőle biztonságos jelszót: !SuPt0P0r1G4t0K
Ez egy nem túl szofisztikált módszer, de mivel halandzsából indult és fűszert is kapott, a "Tgs6S5!dkj+2" karaktersorozathoz képest a feltörőnek kb hasonló (képtelenül nagy) energiát kellene befektetni.

tükörfúró 2016.04.13. 10:51:43

Sztem ez nem bizonyított, nem tárolták plaintextben.
Tévedhetek is, de nekem úgy tűnik, amit a hackerek feltettek file megosztóra, az egy plaintext.Ez nem okvetlenül jelenti azt, hogy ez a site-ról lelopott pimfli "jelszótároló file" egy az egyben.

báró Csekonics 2016.04.13. 11:06:16

"Mivel az iroda nem tárol bankkártya információkat, azokat nem lophatta el senki, a honlap ugyanis egy biztonságos, többlépcsős fizetési felületre irányítja át a felhasználókat."

Lehet véletlen, de pont akkortájt loptak arról a bankszámláról, aminek a kártyájával neveztem. Sok idő után újra ott. Rendőrségi feljelentésbe is bekerült, hogy minden más hely teljesen mindennapi rutin, ahol használtam az említett (nyilván azonnal, már a bank által automatikusan letiltott) kártyát. Ez az egy nem.

De ettől még miért ne hinném el amit állítanak.
Hiszen ha mégis igaz lenne, amit a bank mond, hogy manapság már nem a végfelhasználó gépét éri meg feltörni (mert az egy-két kártyaadat és ki tudja mennyi pénze van a csókának) és nem is a bank rendszerét (mert azt meg aránytalanul nehéz), ezért a kereskedők oldalaira utaznak a csalók, mert ott egy helyen koncentrálódik a sok kártyaadat, de sokkal kevésbé védetten a bankhoz képest.
Ha ezt elhinném és még sokan mások is, az nyilván nagyon komoly mélyütést jelentene a (magyar) e-kereskedelemnek...

Ez a név már foglalt! 2016.04.13. 18:18:46

@báró Csekonics: " Rendőrségi feljelentésbe is bekerült, hogy minden más hely @tükörfúró: teljesen mindennapi rutin, ahol használtam az említett (nyilván azonnal, már a bank által automatikusan letiltott) kártyát. Ez az egy nem"

Ezt kifejtenéd, mert nem értem. Köszi!

@tükörfúró: "Sztem ez nem bizonyított, nem tárolták plaintextben.
Tévedhetek is, de nekem úgy tűnik, amit a hackerek feltettek file megosztóra, az egy plaintext."

Nem így értettük, nyilván nem egy text fájlban tárolták a userneveket és hozzájuk a jelszót, hanem egy valamilyen sql adatbázisban (valszeg mysql, de ez mindegy), de a jelszót egy az egyben írták be az adatbázismezőbe és nem hashelve, "titkosítva", így aki hozzáfér az adatbázishoz, a hackerek, de akár a rendszergazda is, az egyből megkapja a jelszavakat is. Normális helyeken már kb 20 éve ez úgy működik, hogy van egy egyirányú titkosító eljárás, hash, ami a jelszóból egy krikszkraksz karaktersorozatot generál és ezt tárolják az adatbázisban. Amikor a user pedig be akar lépni a rendszerbe akkor beírja a jelszavát, elküldi a szervernek (ha nem titkosított httpS protokollon akkor azt le is lehet hallgatni) és a szerver a beírt jelszóra is megfuttatja a hash eljárást, majd az így kapott krikszkrakszot összehasonlítja az adatbázisban a userhez tárolt krikszkraksszal. Ha egyezik akkor beléphet ha nem akkor nem jó a beírt jelszó. Persze ez a hashelt krikszkraksz is visszafejthető, de azért már nem olyan egyszerűen, 15.000 jelszónál meg ugye még több idő és akkor nem beszéltem még arról, hogy hash algoritmus és hash algoritmus közt is van különbség, na meg ottvan a sózás is stb.

De minek koptatom a klaviatúrámat itt leírták már ugyanezt, 9 évvel ezelőtt :)
index.hu/tech/szoftver/passwd110907/

Másrészt megnéztem a "javított" BSI oldalt, továbbra sincs httpS, tehát hash ide vagy oda, ha valaki lehallgatja a hálózati forgalmat akkor amikor a szervernek elküldöm a jelszavamat, akkor az egy az egyben szövegként jelenik meg a hálózaton. Persze ez a hálózati forgalom lehallgatással már nem lehet 15.000 user jelszavát lehallgatni, hanem mindig csak egy konkrét kiszemelt áldozatét, de azért egy ilyen incidens után érdemes lett volna ezt a rést is befoltozni, már csak presztízsből is.

Bálint223 2016.05.03. 07:33:58

Én nem vettem észre semmit.

röntgenszeműlány 2016.08.14. 10:24:43

" "kutyuska5" típusú szuperbiztonságos jelszónál a változtatás nála fél év múlva a "kutyuska6"-ot jelenti, amíg egyszer újra körbe nem ér, akkor ezzel is képes magas labdát adni a támadóknak."

Tökéletesen elég ennyit változtatni, ugyanis a lényeg, hogy a hash legyen más. Brute force támadást nem tud és nem is akar senki végezni a gmailes fiókom ellen.