تلقى الخبير الأمني تروي هانت، الذي يدير برنامج Have I Been Pwned، مؤخرًا 2 مليار عنوان بريد إلكتروني فريد تم العثور عليه عبر العديد من القوائم الضارة ومصادر الإنترنت، بما في ذلك 1.3 مليار كلمة مرور فريدة. مثل 183 مليون عنوان بريد إلكتروني تم اختراقه من قبل، تأتي هذه البيانات من مجموعة مجمعة بواسطة شركة الأمن Synthient، والتي تقوم بجمع وتلخيص العديد من عمليات تسريب البيانات.
بعد المعالجة، تحتوي مجموعة البيانات الآن فقط على بيانات اعتماد فريدة (أي لا توجد مجموعات مكررة) تم اعتراضها بواسطة برنامج Infostealer. كانت هذه إما متاحة مجانًا على الإنترنت أو يمكن جمعها عبر مجموعات Telegram. يجب عليك بالتأكيد التحقق من موقع HIBP لمعرفة ما إذا كانت حساباتك قد تم اختراقها.
كيف تم فحص البيانات
في منشور بالمدونة، يصف تروي هانت كيف قام بفحص سجلات البيانات للتأكد من صحتها ودقتها. أولاً، قام بإدخال اسمه ووجد عنوان بريد إلكتروني قديمًا من التسعينيات كان يستخدمه بالفعل. كما عثر أيضًا على العديد من كلمات المرور المرتبطة، لكن كلمة مرور واحدة فقط تخص حسابه.
ثم اتصل بالعديد من الأشخاص الذين تابعوا قائمة بريده الإلكتروني، والذين طُلب منهم أيضًا التحقق من بياناتهم. وذكر البعض أنهم عثروا على كلمات مرور قديمة لم تعد مستخدمة، بينما اكتشف آخرون أيضًا بيانات الوصول الحالية لحساباتهم. ولذلك فإن بعض البيانات يعود تاريخها إلى عدة عقود، في حين أن البيانات الأخرى كانت جديدة.
يستخدم المتسللون أيضًا هذا الإجراء لتجربة مجموعات مختلفة. مع “حشو بيانات الاعتماد” (كما تسمى هذه الطريقة)، لا يهم عمر البيانات. نظرًا لأن العديد من الأشخاص نادرًا ما يغيرون كلمات المرور الخاصة بهم، فيمكن للمهاجمين اختبار العديد من بيانات الاعتماد المعروفة حتى ينجحوا في النهاية. حتى كلمات المرور غير الآمنة (مثل “12345”) أو تواريخ الميلاد أو الأسماء يمكن اختراقها بسرعة.
تحقق مما إذا كانت كلمة المرور الخاصة بك قد تم اختراقها
قام هانت بتحميل كلمات المرور إلى قاعدة بيانات كلمات المرور الخاصة به، حيث يمكنك أيضًا التحقق مما إذا كانت كلمة مرور معينة قد تم اختراقها بالفعل. يتم حفظ كلمات المرور بدون عنوان بريد إلكتروني مرتبط، لذا فالأمر يتعلق فقط بأمان كلمة المرور نفسها.
لأغراض أمنية، لا يهم ما إذا كنت قد استخدمت بالفعل كلمة مرور غير آمنة أو أن شخصًا آخر لديه: “إذا كان لديك كلمة مرور ‘Fido123!’ وتجد أنه قد تم كشفه مسبقًا (وهذا ما حدث)، فلا يهم إذا تم كشفه ضد عنوان بريدك الإلكتروني أو عنوان شخص آخر. لا تزال كلمة المرور سيئة لأنها تحمل اسم كلبك متبوعة بنمط يمكن التنبؤ به للغاية. إذا كانت لديك كلمة مرور قوية حقًا وكانت موجودة في Pwned Passwords، فيمكنك الابتعاد ببعض الثقة في أنها ملكك حقًا. وفي كلتا الحالتين، يجب ألا تستخدم كلمة المرور هذه مرة أخرى في أي مكان.
يوصي هانت بالتحقق بانتظام من كلمات المرور وحسابات البريد الإلكتروني الخاصة بك (حتى لو كانت مجرد عناوين بريد إلكتروني غير مهمة). ففي النهاية، أنت لا تعرف أبدًا من يمكنه الحصول على بياناتك.
مزيد من القراءة: كيفية التحقق مما إذا كان عنوان بريدك الإلكتروني قد تم اختراقه
ظهرت هذه المقالة في الأصل على منشورنا الشقيق PC-WELT وتمت ترجمتها وتعريبها من الألمانية.