Troy Hunt, expertul de securitate din spatele platformei Have I Been Pwned (HIBP), a procesat un nou set masiv de date: 2 miliarde de adrese de e-mail unice găsite pe liste rău-intenționate și în surse online, împreună cu 1,3 miliarde de parole unice. Ca și în colecțiile anterioare (ex. 183 milioane de e-mailuri), informațiile provin dintr-un agregat furnizat de compania de securitate Synthient, care compilează scurgeri multiple.
Originea datelor: infostealere, forumuri și Telegram
După curățare și deduplicare, setul conține combinații unice (nu duplicate) de acreditări interceptate de malware de tip infostealer. O parte erau deja disponibile gratuit pe internet sau circulau pe grupuri Telegram. Altfel spus, nu vorbim despre o singură breșă, ci despre o colecție consolidată de la mai multe incidente.
Verificări de acuratețe
În analiza sa, Hunt a:
- căutat propriile adrese și a identificat o adresă veche din anii ’90;
- găsit mai multe parole asociate, dintre care doar una era reală;
- cerut unor cititori să verifice: unii au descoperit parole vechi, alții credențiale încă actuale.
Concluzia: colecția combină date vechi și date recente — ambele utile atacatorilor.
De ce contează: „credential stuffing”
Chiar dacă par vechi, aceste date rămân riscante din cauza tehnicii numite credential stuffing: infractorii testează, automat, combinații cunoscute e-mail/parolă pe multe servicii, mizând pe reciclarea parolelor. Parole simple („12345”, nume, date de naștere) sau tipare previzibile se sparg foarte repede.
Cum verifici dacă ai fost expus
- Caută-ți adresa de e-mail pe Have I Been Pwned. Vezi în ce colecții/breșe apare.
- Testează parolele în Pwned Passwords (baza HIBP cu parole cunoscute ca fiind expuse).
- Parolele din această bază sunt stocate fără a fi legate de e-mailuri; verificarea îți spune doar dacă parola, în sine, a apărut într-un incident.
- Dacă o parolă apare în listă, nu o mai folosi niciodată, indiferent cui i-a aparținut inițial.
Ce faci dacă ești în listă (sau nu vrei să fii vreodată)
- Schimbă imediat parolele expuse.
- Parolă unică și lungă pentru fiecare cont important (ideal 14+ caractere, combinație de litere, cifre, simboluri).
- Activează autentificarea multifactor (MFA) – preferabil cu o aplicație autenticatoare sau cheie hardware.
- Folosește un manager de parole pentru a genera și stoca în siguranță combinațiile unice.
- Resetează regulat parolele critice (e-mail, bănci, cloud).
- Revizuiește sesiuni și dispozitive active în conturile importante și revocă ce nu recunoști.
- Pornește alertele de conectare (unde există) și monitorizează notificările de securitate.
- Evită reutilizarea parolelor între servicii – e cea mai mare poartă de intrare pentru atacatori.
- Ferește-te de mesaje suspecte (phishing) ce exploatează „panică” despre expuneri: verifică linkurile, nu descărca atașamente dubioase, validează adresa expeditorului.
„Parola mea e expusă, dar nu pe adresa mea. Contează?”
Da. Dacă o parolă a apărut în orice context public, este compromisă și poate fi încercată împotriva conturilor tale. Chiar dacă apare asociată cu altcineva, nu o mai folosi nicăieri. Invers, dacă o parolă foarte puternică apare în Pwned Passwords, există șanse mari să fi fost chiar a ta la un moment dat — schimb-o peste tot.
Relaționat
Bună practică pe termen lung
- Verifică periodic adresele și parolele pe HIBP/Pwned Passwords.
- Actualizează-ți obiceiurile: manager de parole + MFA ca standard.
- Îți securizezi conturile mai eficient dacă tratezi fiecare serviciu ca pe un „insular”: parole unice, MFA, alerte.
,%20and%20Giovanni%20Zanei,%20vice%20president,%20large%20power%20conversion%20at%20Vertiv.jpg "Vertiv semnează un acord-cadru pe 5 ani cu Universitatea din Bologna pentru cercetare, formare și transfer tehnologic")
