Gotovo pet miliona Google-ovih korisničkih naloga (lozinki i korisničkih imena) objavljeno je sredinom protekle nedjelje na jednom ruskom forumu. U trenutku objave, navodno je oko 60% tih naloga bilo aktivno.
Google-ova reakcija bila je slična Apple-ovoj pri nedavnom Celebgate-u kada su sa servisa iCloud procurile golišave fotografije brojnih glumica i ostalih poznatih ličnosti – sami ste krivi ukoliko vam je hakovan nalog. Takođe, ova kompanija je kategorički demantovala informaciju kao netačnu da je 60% lozinki tačno, tvrdeći da je moguće da je svega oko 2 odsto objavljenih lozinki validno, kao i da se nad tim nalozima sprovode mjere zaštite kako bi ostali bezbjedni.
Google je saopštio da ne postoje dokazi da je njihov sistem kompromitovan, te da je sigurnost korisničkih podataka najviši prioritet pretraživačkog diva.
Naime, hakeri su do podataka najvjerovatnije došli hakovanjem drugih stranica, a na kojima su korisnici koristili iste lozinke kao na Gmail-u. Drugi, najvjerovatniji način na koji su došli do lozinki je tzv. phishing.
Prema navodima ruske novinske agencije RIA Novosti, osim objavljivanja Google korisničkih naloga, ubrzo je na istom forumu objavljeno i nekoliko miliona pristupnih podataka za naloge nekoliko ruskih email servisa.
Veoma brzo je online postavljen i servis (isleaked.com) na kojem možete provjeriti da li se i vaša email adresa nalazi među milionima hackovanih naloga. Međutim, ne preporučujemo vam da provjeravate svoj nalog na ovaj način. Najsigurnije je da promijenite lozinku vašeg Google naloga, kao i da ne koristite iste kombinacije korisničkih imena i lozinki na svim servisima koje koristite, kao i da vaše lozinke budu, prije svega, dugačke najmanje 15 karaktera, te da budu neizgovorljivi niz malih i velikih slova, brojki i znakova – npr: Zyxbw5278$232#Ts=27>#>.
Ukoliko vam se “pravljenje” ovakvih lozinki čini komplikovanim, na internetu postoji i nekoliko alata, password generatora, koji vam mogu olakšati taj posao.
Nakon promjene lozinki na servisima koje koristite, obavezno uključite dvostepenu verifikaciju ukoliko je servis pruža. Dvostepena verifikacija podrazumijeva da nakon unošenja vaših pristupnih podataka, imena i lozinke, u formular za logovanje, od provajdera usluge SMS porukom na vaš telefon dobijate i jednokratni PIN kod koji je neophodno unijeti u drugom koraku autorizacije, kako bi se ulogovali tamo gdje ste naumili.
Na ovaj način, čak i u slučaju da vam je lozinka „provaljena“, haker se ne može ulogovati na vaš nalog bez pristupa vašem mobilnom telefonu. Dvostepenu verifikaciju od najčešće korišćenih servisa pružaju i Google i Facebook. Ne budite lijeni, promijenite vaše lozinke i obavezno aktivirajte dvostepenu verifikaciju. Osim zaštite vašeg identiteta, zahvaljujući ovoj vrsti verifikacije, uvijek ćete znati ukoliko je neko pokušao hakovati vaš nalog, jer kada dobijete SMS sa PIN kodom od npr. Google-a, a niste recimo nigdje pri računaru, znaćete da vam je lozinka “provaljena” i da je vrijeme za njeno mijenjanje.
Što je Phishing?
Nekoliko smo puta pisali o tome, ali nije na odmet ponoviti o čemu se radi. Riječ je o omiljenoj tehnici za krađu podataka, a ona se sastoji u tome da hakeri prvo pripreme identičnu kopiju neke web stranice ili servisa na koji se morate ulogovati kako bi vidjeli ono što vas zanima.
U našem primjeru „koristićemo“ Facebook. Nakon što se napravi identična kopija stranice (za što nije potrebno više od par minuta) zajedno sa skriptom koja će umjesto da vas uloguje na omiljenu društvenu mrežu, username i password koji unesete poslati hakeru, ona se najčešće postavlja na domen veoma sličan originalnom. Na pratećoj ilustraciji možete vidjeti lažni domen koji je veoma sličan originalnom. U ovom primjeru smo umjesto dva slova „o“, koristili dvije nule i domen (ekstenziju) .me.

Primjer lažne Facebook stranice. Obratite pažnju na domen u address baru.
Kada se sve pripremi slijedi masovno slanje email poruka koje su takođe identična kopija mail-ova koje korisnici inače dobijaju od Facebook-a, a mogu biti npr. obavještenja o tome da vas je neko tag-ovao na fotografiji, ili komentarisao vaš status i sl., sa pozivom da pogledate fotografiju ili status o kojima je riječ.
Nakon što korisnik klikne na link ka lažnoj starnici, oni manje oprezni će po inerciji unijeti svoje korisničko ime i lozinku i kliknuti Log In dugme. Tim klikom će korisnik svoje pristupne podatke poslati hakeru, a lažna stranica će ga (ako je haker pametan) neprimjetno preusmjeriti na pravu Facebook stranicu kako korisnik ne bi ništa posumnjao. Možda korisniku može biti čudno što tagovane fotografije nema, ali kako nije riječ o nečemu neuobičajenom na Facebook-u, jer korisnici stalno brišu fotografije i statuse, neće izazavati nikakvu sumnju.
Kako ljudii i pored bezbroj upozorenja i savjeta u najvećem broju slučajeva koriste iste pristupne podatke (username i password) za mnoge servise, eto nevolje za korisnika, jer hakeru nije otkrio samo podatke za pristup Facebook-u, već i svom gmail ili drugom email nalogu, bankovnom računu i tako dalje…, a to onda može voditi i kompletnoj krađi identiteta korisnika.