A magyar adatokat közzétevő hackerek nem a Gmailt törték fel, hanem a futóversenyeket szervező Budapest Sportiroda rendszerét, a futanet.hu oldalt, ezen keresztül szivárogtak ki a regisztrált felhasználók e-mail címei és jelszavai. Az információk egy észtországi fájlmegosztó portálon jelentek meg, az ügyet pedig az Origo hírportál fedezte fel.

Többen is ellenőrizték a saját címüket, a jelszavak jók voltak, bár sok esetben régiek: volt olyan, amelyiket már egy éve lecseréltek. Mivel az iroda nem tárol bankkártya információkat, azokat nem lophatta el senki, a honlap ugyanis egy biztonságos, többlépcsős fizetési felületre irányítja át a felhasználókat.


De mit lehet kezdeni tizenötezer magyar felhasználó e-mail címével és jelszavával? Az adatok értékét elsősorban az adja, hogy az emberek ugyanazzal az e-mail címmel regisztrálnak a legtöbb honlapra, és a felmérések szerint hét emberből legalább egy lustaságból ugyanazt az egy jelszót használja az összes létező fiókjához, igénybe vett szolgáltatáshoz.

Tovább tetézi mindezt, hogy sok esetben ráadásul éveken keresztül így használják, sőt még a pénzmozgásokkal kapcsolatos weboldalakon, például a bank honlapján vagy online piactereken is. Egy ilyen lista éppen ezért sokat ér a feketepiacon, hiszen mindenhol, ahol az adott e-mailcím szerepel, próbálkozni lehet az adott jelszóval is.

Hogyan védekezhetünk? Azon túl persze, hogy egyedi és erős jelszót használunk mindenütt, valamint ezeket rendszeres időközönként - akár történik incidens, akár nem - lecseréljük. Persze ha valamilyen betörés, szivárgás, eszközlopás történik, akkor az azonnali csere kötelező. Itt jöhet jól például a két faktoros azonosítás, amely a banki ügyletek esetében is elterjedt, és használata megnehezíti a bűnözők számára az életet.

Ilyenkor ugyanis a szokásos név-jelszó páros beütése után igénybe kell venni egy jelszógeneráló eszközt is (tokent vagy mobiltelefonra érkező SMS aláírást), ami egy egyedi, egyszer használatos jelszót generál. Vagyis ilyenkor a támadónak még a telefonunkat is el kellene lopnia, hogy ehhez hozzáférjen. (Persze mattot így is sokféleképp adhatunk magunknak: nyitott wifivel, nyilvános helyen a vállunk felett kifigyelhető adatainkkal, hanyagul kezelt elvesző telefonunkkal, stb.)

Sok helyen érhető már el, sőt alapértelmezetten adott nem csak a https titkosított kapcsolat, hanem a kéttényezős hitelesítés is: a Google, PayPal, Yahoo, Twitter, Facebook, az Apple ID, és a Snapchat is rendelkezik ezzel, érdemes tehát használni.

A Gmail esetén kaphatunk értesítést, ha valaki illetéktelenül megpróbálna belépni a fiókunkba, erről e-mailben vagy SMS-ben is értesülhetünk.

Nézzünk rá akkor kicsit a jelszavakra is: a listában sajnos nagyon sok Darwin díjas jelszó szerepel, ami 2016-ban ennyi temérdek biztonsággal foglalkozó cikk után elég gáz. Emellett azt sem szabad elfelejteni, hogy egy kikémlelt jelszó, még ha éppen nem is érvényes, akkor is segíthet a támadónak némely esetben.

Például ha valakinek túlságosan egyszerűek (udvariasan fogalmazva) a jelszó alkotási szokásai, és a "kutyuska5" típusú szuperbiztonságos jelszónál a változtatás nála fél év múlva a "kutyuska6"-ot jelenti, amíg egyszer újra körbe nem ér, akkor ezzel is képes magas labdát adni a támadóknak.