En massiv lekkasje har avslørt mer enn 183 millioner e-postpassord, inkludert titalls millioner knyttet til Gmail-kontoer, i det cybersikkerhetsanalytikere kaller en av de største legitimasjonsdumpene som noen gang er avdekket.
Den stjålne bunken som inneholder 3,5 terabyte med data dukket opp på nettet denne måneden, ifølge Troy Hunt, den australske sikkerhetsforskeren som driver nettstedet Have I Been Pwned for bruddsvarsling.
Hunt uttalte at informasjonen stammet fra et årelangt sveip av «infostealer»-plattformer – malware-nettverk som i hemmelighet henter brukernavn, passord og nettstedsadresser fra infiserte enheter.
Dataene består av både «tyverlogger og påloggingslister,» skrev Hunt i et blogginnlegg.
«Noen som logger på Gmail, ender opp med at e-postadressen og passordet er registrert mot gmail.com.»
Det nye datasettet inneholdt 183 millioner unike kontoer, inkludert omtrent 16,4 millioner adresser som aldri er sett før i noe tidligere brudd, skrev Hunt.
For å finne ut om deres legitimasjon er blant de kompromitterte, kan brukere besøke HaveIBeenPwned.com og skrive inn e-postadressene deres. Hvis det er flagget, oppgir nettstedet datoen og arten av bruddet.
Sikkerhetsfirmaet Synthient, som samlet inn loggene, sa at postene ble hentet fra kriminelle markedsplasser og underjordiske Telegram-kanaler der hackere deler stjålet legitimasjon i bulk.
Analytiker Benjamin Brundage fra Synthient sa at funnene viser den svimlende rekkevidden til infostealer-malware.
Ifølge forskere er de fleste oppføringene resirkulert fra eldre brudd, men millioner av nylig kompromitterte Gmail-kontoer ble bekreftet da berørte brukere bekreftet at utsatte passord fortsatt samsvarte med deres aktive legitimasjon.
Lekkasjen, først oppdaget i april og offentliggjort i forrige uke, dekker ikke bare Gmail-data, men også påloggingsinformasjon for Outlook, Yahoo og hundrevis av andre nettjenester.
Cachen, sa Hunt, viser hvordan stjålet legitimasjon ofte dukker opp igjen på tvers av fora i årevis, og gir kriminelle nye muligheter til å utnytte gjenbrukte passord.
Hunt sa at bruddene ikke innebar et direkte hack av Gmail; den brukte skadelig programvare på brukernes datamaskiner som fanget inn påloggingene deres.
Sikkerhetseksperter sa at det er grunnen til at virkningen av bruddene strekker seg langt utover e-post.
Mange ofre gjenbruker passord på tvers av flere nettsteder – fra skylagring og banktjenester til sosiale medier – slik at angripere kan infiltrere ofrenes digitale liv gjennom «legitimasjonsfylling», den automatiserte prosessen med å teste stjålne brukernavn-passord-par på flere plattformer.
«Rapporter om et «brudd» på Gmail-sikkerheten som påvirker millioner av brukere er helt unøyaktige og feilaktige,» sa en talsperson for Google til The Post.
«De stammer fra en feillesing av pågående oppdateringer av legitimasjonstyveridatabaser, kjent som infostealer-aktivitet, der angripere bruker forskjellige verktøy for å høste legitimasjon kontra et enkelt, spesifikt angrep rettet mot en person, verktøy eller plattform.»
«Vi oppfordrer brukere til å følge beste praksis for å beskytte seg mot legitimasjonstyveri, for eksempel å slå på 2-trinns bekreftelse og ta i bruk passord som et sterkere og tryggere alternativ til passord, og tilbakestille passord når de blir utsatt i store grupper som dette.»
Eksperter på nettsikkerhet over hele verden oppfordret Gmail-brukere til å handle umiddelbart.
«Hvis du er en av de 183 millioner menneskene som er berørt, må du endre e-postpassordet ditt umiddelbart og aktivere tofaktorautentisering hvis du ikke allerede har gjort det,» sa Hunt.
Den britiske sikkerhetsanalytikeren Michael Tigges fra Huntress sa til Yahoo News at selv om Gmail i seg selv ikke ble direkte brutt, burde angrepet være en vekker for alle som er avhengige av nettleserne deres for å lagre legitimasjonen.
«Hendelsen her er ikke et spesifikt datainnbrudd, men i stedet aggregerte og opplastede data fra millioner av tyveriske skadevarelogger,» sa Tigges.
«Dette understreker viktigheten av å unngå delt legitimasjon på tvers av tjenester og fremhever hvorfor det er viktig å ha utmerket synlighet på både din personlige e-postsikkerhet, så vel som bedriftens e-postsikkerhet.»
Andre sikkerhetsblogger Graham Cluley sa til Daily Mail at folk «alltid bør bruke forskjellige passord for forskjellige nettkontoer» og lagre dem i krypterte passordbehandlere i stedet for nettlesere, som skadelig programvare lett kan skrape.
Googles eget Password Manager Checkup-verktøy skanner også lagrede pålogginger i Chrome og advarer mot svake, gjenbrukte eller brutte passord. Selskapet sa at det automatisk ber om tilbakestilling av passord når store legitimasjonsdumper oppdages.
Forskere bemerket at de fleste av de stjålne legitimasjonene sannsynligvis ble høstet gjennom falske programvarenedlastinger, phishing-vedlegg eller nettleserutvidelser. Ofre har ofte ingen anelse om at enhetene deres var infisert.
Det viktigste steget er forebygging, sa Tigges.
«Sørg for at antiviruset ditt er oppdatert og at du laster ned programvare fra anerkjente kilder,» sa han.
«Disse legitimasjonene ble først og fremst oppnådd gjennom skadevare av typen ‘tyver’; forebygging er den viktigste avbøtelsen.»
Mens omfanget av datadumpen ser ut til å være enestående, understreket Hunt at den virkelige trusselen kommer fra selvtilfredshet.
«Å gjenbruke passord er en oppskrift på katastrofe,» forklarte han.
Eksperter advarte om at angripere kunne bevæpne databasen i måneder eller år ved å selge verifiserte Gmail-pålogginger til svindelnettverk.
