افشای ۱.۳ میلیارد گذرواژه در بزرگ‌ترین نشت داده امنیتی سال

افشای «۱.۳ میلیارد گذرواژه منحصربه‌فرد» در یک نشت عظیم داده، بار دیگر موج نگرانی‌های امنیتی را در سراسر جهان برانگیخته است.

به گزارش تکناک بخش فناوری، این حادثه تنها چند روز پس از آن رخ می‌دهد که گوگل گزارش‌های نادرست درباره یک نفوذ گسترده به Gmail را تکذیب کرد اما اکنون اعداد جدید بسیار سنگین‌تر و واقعی‌تر هستند. بر اساس اطلاعات منتشرشده، دو میلیارد آدرس ایمیل و یک میلیارد و سیصد میلیون گذرواژه در این مجموعه قرار دارد و ۶۲۵ میلیون مورد از این گذرواژه‌ها پیش از این هرگز دیده نشده بودند.

تروی هانت، بنیان‌گذار پلتفرم HaveIBeenPwned، که این بار نیز منبع هشدار امنیتی جدید است، تأکید می‌کند که این گزارش برخلاف برخی برداشت‌ها، هیچ ارتباطی با یک حمله مستقیم به جیمیل ندارد. او با اشاره به موج تیترهای اشتباه هفته‌های گذشته درباره لاگ‌های مربوط به stealer می‌گوید «این یک نفوذ به Gmail نیست و لازم است این را صریح بگویم چون همان گزارش‌های نادرست به سرعت منتشر شدند و باعث برداشت‌های غلط شدند.»

طبق داده‌های بررسی‌شده، جیمیل به‌عنوان بزرگ‌ترین سرویس ایمیل جهان بیشترین حضور را در این مجموعه دارد و «۳۹۴ میلیون آدرس ایمیل منحصربه‌فرد» متعلق به آن است. با این حال، هانت یادآور می‌شود که «هشتاد درصد این مجموعه هیچ ارتباطی با Gmail ندارد و بیست درصد آدرس‌های Gmail هم نشانه هیچ ضعف امنیتی در گوگل نیست.»

گوگل در واکنش به این خبر، توصیه‌های امنیتی خود را برای همه کاربران—صرف‌نظر از سرویس ایمیلی که استفاده می‌کنند—تکرار کرده است؛ از جمله فعال‌سازی احراز هویت دومرحله‌ای، استفاده از passkey به‌جای گذرواژه و تغییر فوری رمزها در صورت قرار گرفتن در چنین نشت‌هایی.

کارشناسان هشدار می‌دهند که نشت اطلاعات دیجیتال روندی ادامه‌دار است و روزبه‌روز گسترده‌تر می‌شود. به گفته هانت «این گسترده‌ترین مجموعه داده‌ای است که تاکنون پردازش کرده‌ایم و اختلاف آن با نمونه‌های قبلی بسیار زیاد است.» او تأکید می‌کند که کاربران نباید تصور کنند می‌توانند در رقابت با صنعت سرقت اطلاعات پیروز شوند، زیرا هکرها اغلب «وارد نمی‌شوند، بلکه لاگین می‌کنند» یعنی از اطلاعات واقعی کاربران استفاده می‌کنند.

این در حالی است که بیشتر وب‌سایت‌ها و پلتفرم‌های معتبر ابزارهای کافی برای افزایش امنیت در اختیار کاربران قرار داده‌اند اما بخش بزرگی از کاربران هنوز در فعال‌سازی این امکانات کوتاهی می‌کنند. متخصصان امنیت سایبری می‌گویند ترکیب ایمیل و گذرواژه بدون هیچ لایه محافظتی دقیقاً مانند رها کردن کلید در قفل درِ خانه است.

به نقل از forbes، شرکت‌هایی مانند مایکروسافت سال‌هاست به‌دنبال حذف کامل گذرواژه‌ها هستند و اکنون بیش از یک میلیارد حساب را بدون گذرواژه مدیریت می‌کنند. با این حال، کاربران هنوز باید در سرویس‌های مختلف خود احراز هویت دومرحله‌ای یا چندمرحله‌ای را فعال کنند و از تکیه بر SMS خودداری کنند چون پیامک روش امنی برای تأیید هویت نیست. استفاده از اپلیکیشن‌های authenticator و همچنین استفاده از passkeyها در سرویس‌هایی مانند گوگل، مایکروسافت، متا، آمازون و اپل بهترین شیوه‌های محافظت فعلی محسوب می‌شود.

کارشناسان می‌گویند اگر کاربران این اقدامات ساده را انجام دهند، حتی در صورت حضور گذرواژه‌شان در این نشت عظیم، امکان سوءاستفاده از آن وجود نخواهد داشت. اما کسانی که همچنان از فعال‌سازی ابزارهای امنیتی خودداری می‌کنند در معرض خطر جدی قرار دارند و ممکن است هدف حملات بعدی قرار بگیرند.

نوشته افشای ۱.۳ میلیارد گذرواژه در بزرگ‌ترین نشت داده امنیتی سال اولین بار در Technoc. پدیدار شد.