Μια νέα ανάλυση της πλατφόρμας Have I Been Pwned αποκάλυψε ότι τουλάχιστον 183 εκατομμύρια διαπιστευτήρια λογαριασμού email, που εκτείνονται σε υπηρεσίες όπως το Gmail, Αυτά τα δεδομένα παραβιάστηκαν μέσω κακόβουλων προγραμμάτων γνωστών ως infostealers, τα οποία μολύνουν συσκευές και συλλαμβάνουν ευαίσθητες πληροφορίες από τους χρήστες. Η αρχική ανακάλυψη, με ημερομηνία τον Απρίλιο του 2025, ενημερώθηκε πρόσφατα με την προσθήκη 16,4 εκατομμυρίων νέων εγγραφών, αυξάνοντας τον συνολικό αριθμό των επηρεαζόμενων λογαριασμών.
Η Google, μία από τις υπηρεσίες που αναφέρονται στη διαρροή, διευκρίνισε ότι οι εκτεθειμένοι λογαριασμοί δεν περιορίζονται αποκλειστικά στο Gmail. Η εταιρεία τόνισε ότι το περιστατικό είναι αποτέλεσμα γενικών κακόβουλων δραστηριοτήτων και όχι άμεση επίθεση στα συστήματά της. Até Προς το παρόν, οι Microsoft και Yahoo δεν εξέδωσαν επίσημες θέσεις για την υπόθεση, παραμένοντας σιωπηλοί απέναντι στις επιπτώσεις.
Τα κακόβουλα προγράμματα, όπως οι κλοπές πληροφοριών, αντιπροσωπεύουν μια συνεχή απειλή για το απόρρητο και την ασφάλεια στο διαδίκτυο, λειτουργώντας κρυφά για να κλέψουν πολύτιμες πληροφορίες.
Αύξηση του όγκου των παραβιασμένων διαπιστευτηρίων
Η ομάδα που είναι υπεύθυνη για την πλατφόρμα Have I Been Pwned εντόπισε 16,4 εκατομμύρια νέα αρχεία σε έναν πρόσφατο έλεγχο, τα οποία δεν είχαν εντοπιστεί στην αρχική ανάλυση που πραγματοποιήθηκε τον Απρίλιο. Η προσθήκη Este φέρνει το συνολικό ποσό σε 183 εκατομμύρια διαπιστευτήρια, αντικατοπτρίζοντας τη συλλογή πολλαπλών περιστατικών που αφορούν τη δράση των infotealers. Tais Τα κακόβουλα προγράμματα έχουν σχεδιαστεί για τη συλλογή δεδομένων απευθείας από μολυσμένες συσκευές, χωρίς ο χρήστης να γνωρίζει τη δραστηριότητα.
Ο Troy Hunt, δημιουργός του Have I Been Pwned, ανέφερε ότι και άλλες εταιρείες περιλάμβαναν τα δεδομένα τους στα συγκεντρωμένα αρχεία. Σε δήλωσή του, επέλεξε να μην προσδιορίσει επιπλέον ονόματα, αλλά τόνισε την επεμβατική φύση της τεχνικής κλοπής, η οποία εκδηλώνεται μέσω μολύνσεων σε υπολογιστές και κινητά τηλέφωνα. Η εξάπλωση αυτού του κακόβουλου λογισμικού γίνεται με διάφορα μέσα, συχνά εκμεταλλευόμενα τρωτά σημεία ή λάθη των χρηστών.
Προστασία για την αποφυγή παραβίασης δεδομένων
Οι χρήστες των οποίων οι λογαριασμοί έχουν εκτεθεί πρέπει να ενεργήσουν άμεσα για την προστασία των πληροφοριών τους. Η αλλαγή κωδικών πρόσβασης σε όλες τις εμπλεκόμενες υπηρεσίες είναι το πρώτο και πιο κρίσιμο μέτρο. Συνιστάται ιδιαίτερα κάθε πλατφόρμα να έχει έναν μοναδικό και πολύπλοκο συνδυασμό κωδικών πρόσβασης, αποφεύγοντας την επαναχρησιμοποίηση που θα μπορούσε να αυξήσει τον κίνδυνο σε περίπτωση νέων διαρροών.
Η χρήση διαχειριστών κωδικών πρόσβασης είναι μια αποτελεσματική πρακτική για τη δημιουργία και την αποθήκευση ασφαλών διαπιστευτηρίων. Τα εργαλεία Essas, όπως το LastPass και το 1Password, κρυπτογραφούν δεδομένα, απαιτώντας μόνο έναν κύριο κωδικό πρόσβασης για πρόσβαση. Além Επιπλέον, η ενεργοποίηση του ελέγχου ταυτότητας σε δύο βήματα (2FA) προσθέτει ένα ισχυρό επίπεδο ασφάλειας, ζητώντας έναν πρόσθετο κωδικό, συνήθως μέσω εφαρμογής ή SMS, για επιβεβαίωση της πρόσβασης σε νέες συσκευές.
Μηχανισμοί δράσης πληροφοριοκλοπών
Τα προγράμματα Infostealer, τα οποία προκαλούν έκθεση δεδομένων, εγκαθίστανται συχνά σε συσκευές μέσω κακόβουλων λήψεων ή δόλιων συνδέσμων. Μόλις ενεργοποιηθούν, μπορούν να έχουν πρόσβαση και να εξάγουν πληροφορίες που είναι αποθηκευμένες σε προγράμματα περιήγησης όπως τα Chrome και Edge, συλλέγοντας κωδικούς πρόσβασης, cookie και δεδομένα αυτόματης συμπλήρωσης. Η διαδικασία Este πραγματοποιείται εμπιστευτικά, χωρίς ο χρήστης να παρατηρήσει την εισβολή σε εξέλιξη.
Το κακόβουλο λογισμικό λειτουργεί συλλαμβάνοντας αυτά τα ευαίσθητα δεδομένα και, σε πολλές περιπτώσεις, ανταλλάσσοντάς τα σε μυστικά φόρουμ στον σκοτεινό ιστό, όπου οι εγκληματίες του κυβερνοχώρου το χρησιμοποιούν για οικονομική απάτη, κλοπή ταυτότητας και άλλες επιθέσεις. Τα θύματα μπορεί να προέρχονται από οποιοδήποτε λειτουργικό σύστημα, συμπεριλαμβανομένων των Windows, macOS και διαφόρων φορητών συσκευών.
Συμβουλές για να παραμείνετε ασφαλείς στο διαδίκτυο
Ο προσεκτικός έλεγχος των διευθύνσεων URL προτού εισαγάγετε διαπιστευτήρια σε ιστότοπους είναι ένα ουσιαστικό μέτρο για να αποφύγετε να πέσετε σε παγίδες phishing. Τα ύποπτα email και τα μηνύματα συχνά ζητούν προσωπικά δεδομένα χωρίς προφανή λόγο ή έχουν γραμματικά και οπτικά λάθη που προδίδουν απάτη. Είναι σημαντικό να αποφύγετε να κάνετε κλικ σε συνδέσμους που περιέχονται σε ανεπιθύμητα μηνύματα ή από άγνωστους αποστολείς.
Για να ενισχυθεί η άμυνα κατά της μη εξουσιοδοτημένης πρόσβασης, οι κωδικοί πρόσβασης πρέπει να έχουν μήκος τουλάχιστον 12 χαρακτήρες, να συνδυάζουν κεφαλαία και πεζά γράμματα, αριθμούς και σύμβολα. Η δημιουργία αξέχαστων φράσεων που είναι εύκολο να θυμάται ο χρήστης, αλλά είναι δύσκολο για τους άλλους να σπάσουν, χρησιμεύει ως ισχυρή βάση για ισχυρότερους συνδυασμούς κωδικών πρόσβασης.
Τοποθέτηση των επηρεαζόμενων εταιρειών
Η Google, μία από τις εταιρείες των οποίων οι χρήστες επηρεάστηκαν έμμεσα, επανέλαβε ότι δεν υπήρξε συγκεκριμένη παραβίαση των δικών της συστημάτων ασφαλείας. Η εταιρεία συνεχίζει να ενθαρρύνει ενεργά τη χρήση επαλήθευσης σε δύο βήματα και την υιοθέτηση κωδικών πρόσβασης, που είναι πιο σύγχρονες και ασφαλείς μέθοδοι ελέγχου ταυτότητας. Ο Microsoft, με τη σειρά του, δεν σχολίασε το περιστατικό μέχρι τη δημοσίευση αυτής της είδησης, τηρώντας σιωπή απέναντι στις αποκαλύψεις.
Το Yahoo δεν εξέδωσε επίσης καμία επίσημη θέση σχετικά με την έκθεση των διαπιστευτηρίων των χρηστών του. Enquanto αυτό, η πλατφόρμα Have I Been Pwned συνεχίζει να παρακολουθεί ενεργά νέες διαρροές και περιστατικά ασφάλειας, προσφέροντας μια ζωτικής σημασίας υπηρεσία ώστε οι χρήστες να μπορούν να ελέγχουν εάν τα δεδομένα τους έχουν παραβιαστεί και να λαμβάνουν ειδοποιήσεις μέσω email κατά την καταχώρηση των διευθύνσεών τους.
Εργαλεία για την ενίσχυση της πρόληψης
Η ενεργοποίηση κλειδιών πρόσβασης (κλειδιά πρόσβασης) σε υπηρεσίες όπως τα Google, WhatsApp και Microsoft προσφέρει μια ασφαλή εναλλακτική στους παραδοσιακούς κωδικούς πρόσβασης. Η μέθοδος Este χρησιμοποιεί βιομετρικά στοιχεία, όπως δακτυλικό αποτύπωμα ή αναγνώριση προσώπου, ή το PIN της συσκευής για έλεγχο ταυτότητας, εξαλείφοντας την ανάγκη απομνημόνευσης και εισαγωγής πολύπλοκων συνδυασμών. Οι εταιρείες τεχνολογίας Empresas έχουν εφαρμόσει αυτήν την τεχνολογία για να μετριάσουν τους κινδύνους που σχετίζονται με τη χρήση κωδικών πρόσβασης.
Οι διαχειριστές κωδικών πρόσβασης, με τη σειρά τους, κρυπτογραφούν τα διαπιστευτήρια, αποθηκεύοντάς τα με ασφάλεια τοπικά ή στο cloud, επιτρέποντας το συγχρονισμό μεταξύ πολλών συνδεδεμένων συσκευών. Η διατήρηση του λογισμικού και των λειτουργικών συστημάτων με τις πιο πρόσφατες ενημερώσεις είναι κρίσιμης σημασίας, καθώς αυτές οι ενημερώσεις συχνά επιδιορθώνουν γνωστά τρωτά σημεία που θα μπορούσαν να εκμεταλλευτούν οι infotealers και άλλα κακόβουλα προγράμματα.