OVOG tjedna otkriveno je masovno curenje podataka koje bi moglo sadržavati ukradene lozinke stotine milijuna ljudi.

Riječ je konkretno o oko 183 milijuna jedinstvenih e-mail adresa zajedno s pripadajućim lozinkama i web-stranicama na kojima su korištene, a koje su objavljene nakon što su ukradene pomoću zlonamjernog softvera.

Baza dopunjena sa 183 milijuna kompromitiranih podataka

Podaci nisu rezultat pojedinačnog hakerskog napada na Google, Microsoft ili bilo koju drugu veliku platformu, već su milijuni korisničkih računala diljem svijeta zaraženi zlonamjernim softverom specijaliziranim za krađu osjetljivih informacija.

Razgovarali smo s informatičkim stručnjacima Markom Rakarom i Lucijanom Carićem o ovom incidentu. Carić u razgovoru za Index ističe kako se ne radi o nekom novom velikom sigurnosnom incidentu, već o kontroliranoj i korisnoj objavi agregiranih, odnosno prikupljenih i pročišćenih podataka iz mnogih prošlih incidenata, čiji je broj zapravo teško utvrditi.

Riječ je konkretno o korisnoj web-stranici Have I Been Pwned (HIBP) koja je ovog tjedna dopunjena s novih 183 milijuna kompromitiranih podataka. Na toj stranici moguće je utvrditi jesu li vaši podaci kompromitirani. 

"Ova internetska stranica sadrži milijarde zapisa o kompromitiranim korisničkim računima i tamo možete besplatno i trenutačno provjeriti je li vaša e-mail adresa kompromitirana i na koji način", kaže Rakar u izjavi za Index.

HIBP sadrži podatke iz čak 917 poznatih incidenata curenja podataka, s ukupno više od 15,32 milijardi kompromitiranih računa i identiteta. Ovi podaci obuhvaćaju više godina. Najstarije zabilježene povrede potječu iz ranih 2000-tih, dok najnoviji unosi u bazu podataka pokrivaju curenja do listopada 2025 kada je dopunjena s najnovijih 183 milijuna kompromitiranih podataka.

Naime, na toj stranici dovoljno je unijeti svoju adresu e-pošte u traku za pretraživanje, a stranica će vam tada pokazati jesu li vaša adresa i povezane lozinke bile uključene u neku od povreda podataka tijekom posljednjeg desetljeća.

Evo što napraviti ako su vam podaci na popisu

Ako se vaši podaci pojave na popisu, preporučuje se da odmah promijenite lozinku za tu e-mail adresu i razmislite o korištenju dvostupanjske provjere.

"Što je prije moguće, promijenite korisničke podatke, a osobito zaporku", preporučuje Rakar u slučaju da su se vaši podaci pojavili u tražilici. Rakar preporučuje kao opću sigurnosnu mjeru, gdje je god to moguće, aktivirati višefaktorsku autentikaciju.

"Dakle, riječ je o kombinaciji korisničkog računa, zaporke i jednokratne brojčane kombinacije, slično kao što to koristite kod internetskog bankarstva. Osim toga, potrebno je paziti na dužinu i kompleksnost zaporki/šifri te je u 2025. godini poželjno da šifra koju koristite ima najmanje 14 znakova, a ako je moguće i više", kaže Rakar u razgovoru za Index.

Bolje imati dugačku, a lako pamtljivu šifru

"S pozicije sigurnosti je daleko bolje imati dugačku, a lako pamtljivu šifru, primjerice omiljenu rečenicu ili stih, nego kratku šifru s kombinacijama slova, brojeva i posebnih znakova - dakle šifri koje je ljudima teško pamtiti, a računalu lako pogoditi", ističe Rakar.

Carić ističe da ako i ne nađete potvrdu o kompromitaciji, to je dobar znak, no ne znači da niste izloženi riziku, pa je zato preporučena praksa koristiti autentikaciju putem dva faktora (2FA) gdje god je to moguće.

"Također, postoje brojna rješenja za generiranje sigurnih lozinki. Naravno, takve lozinke su u pravilu nepamtljive, pa ih je potrebno sigurno zabilježiti. Za to postoje posebne aplikacije, no i tu treba postupati s oprezom", kaže na kraju Carić.

Iz Googlea također upućuju korisnike kako je najbolje ojačati vlastitu obranu "uključivanjem dvostupanjske provjere i usvajanjem pristupnih ključeva kao jednostavnije i jače alternative lozinkama".

Antivirusna zaštita nekada nije dovoljna

Kako je objavilo više specijaliziranih web stranica za Internet sigurnost ukradeni podaci obično se objavljuju odnosno prodaju na privatnim telegram kanalima kao i na Dark web tržištu. Tu su i specijalizirani kriminalci koji kupuju pakete ukradenih podataka i prodaju pristup korporativnim mrežama ransomware grupama i drugim napadačima za cijene od nekoliko stotina do stotina tisuća dolara.​

Istraživanja su pokazala da je oko 20 posto zaraženih računala imalo instaliran antivirusni program u trenutku zaraze te se preporučuje da nikada ne preuzimate softver s neprovjerenih izvora ili piratskih stranica, ne klikate na lažne oglase koje vode na klonirane stranice a posebno ne na linkove u neželjenim emailovima ili porukama.