Z pomocą chce przyjść Ministerstwo Cyfryzacji. Minister Janusz Cieszyński poinformował na Twitterze o uruchomieniu narzędzia, dzięki któremu można sprawdzić, czy jesteśmy bezpieczni.
Wyciek, który nie jest wyciekiem
Na początek warto podkreślić coś, o czym wspominałem już we wczorajszym tekście: nie mamy do czynienia z zaniedbaniami po stronie dostawców usług. Chociaż wspominamy i piszemy o tym jako o wycieku, to jego źródłem są prywatne komputery użytkowników, z których za pomocą programów – data stealerów wykradziono zapisane w przeglądarkach hasła. Hulająca w internecie baza zawiera po prostu kompilację danych z naszych prywatnych komputerów.
Udostępniona przez Ministerstwo Cyfryzacji strona nie miała łatwego startu – poległa niemal natychmiast. Użytkownicy najpierw zgłaszali, że usługa nie działa, a potem przez dłuższy czas jedynym komunikatem, jaki można było przeczytać, to informacja o aktualizacji.
Dostęp udało mi się uzyskać około godziny 14:00. Aby sprawdzić, czy wykradziono nam dane trzeba się niestety zalogować na stronie Profilem Zaufanym – po co? Jeden minister być może wie. Po zalogowaniu zyskujemy dostęp do pola wyszukiwania, w które wpisujemy sprawdzany email.
Wyszukiwarka działa szybko, prezentacja wyniku nie pozostawia wątpliwości. W moim przypadku żadne dane nie wyciekły.
Inne narzędzia do sprawdzania naszych danych po wycieku
Narzędzie udostępnione przez Ministerstwo nie jest oczywiście jedynym dostępnym. Od dawna w przypadku wycieków można sprawdzić, czy nasze dane są w niebezpieczeństwie za pomocą popularnego serwisu Have i been pwned, który nie wymaga rzecz jasna żadnego logowania. Drugim serwisem, nieco bardzie wyspecjalizowanym właśnie w sprawdzaniu danych z data stealerów jest HudsonRock. Warto sprawdzić loginy za pomocą obu z nich. Osobną kwestią jest zaufanie narzędziom rządowym – to naprawdę nie jest łatwe, jeśli ma się w pamięci ciekawostki z wycieków korespondencji ministrów, zwane potocznie „mailami Dworczyka” i jeśli się weźmie pod uwagę, że w ujawnionej bazie jest 44 385 rekordów dotyczących domen .gov.pl
Korzystając z okazji raz jeszcze mocno sugeruję włączenie gdzie się da dwuetapowego logowania, które daje dość dobre zabezpieczenie nawet w przypadku ujawnienia loginu i hasła oraz korzystanie z wyspecjalizowanych programów do zarządzania hasłami. Oferują one znacznie lepszy poziom zabezpieczeń niż rozwiązania wbudowane w przeglądarki, mają mechanizmy generowania haseł, dzięki którym unikniemy duplikowania i w konsekwencji konieczności masowego ich zmieniania w przypadku wycieku. Część tego typu programów posiada także mechanizmy pozwalające na automatyczne sprawdzanie, czy nasze dane nie wyciekły – w przypadku 1Passsword odpowiada za to mechanizm Watchtower. W razie potrzeby podniesie on alarm i pomoże zmienić ujawnione hasła. Podobne mechanizmy dostępne są także w innych programach.
