Zatím největší leak... jmen a uživatelských údajů.

Zajímalo mě, co se nachází v zatím největší sbírce uniklých údajů - Collection #1. Stáhl jsem necelých 40GB dat. Po rozbalení se jednalo o necelých 100GB. Nahodil jsem Splunk a začal indexovat. Trvalo to téměř celé dopoledne, zaindexováno bylo něco přes 300G dat. Nutno dodat, že jsem parsoval e-mail, doménu, uživatelské údaje (heslo/hash) a také jsem vytvořil pole s typem uživatelských údajů (plain text, MD5, SHA1, bcrypt). Ne všechna data se podařilo takto zpracovat, tabulky (DB) a jiné jsem takto neparsoval.

Teď k těm statistikám. Protože jsem dřív pracoval pro GovCERT.CZ zajímala mě státní správa. Nejdřív tedy, které instituce jsou zastoupeny nejpočetněji. Vyhledával jsem jen ministerstva a ústřední orgány státní správy. Téměř čtvrtina patří do resortu spravedlnosti, následoval resport financí a pak sociální věci.

![Instituce státní správy v Collection #1](Screenshot 2019-01-21 at 16.09.48.png)

Samozřejmě došlo i na rozložené délky hesel. Délka hesla osm znaků je zřejmě stále populární. Zajímavé je, že více než 5/6 uživatelů používají heslo v rozmězí 3-8 znaků. To je pro útočníky vcelku cenná informace.

![Rozložení délky hesel ve státní správě](Screenshot 2019-01-22 at 16.30.52.png)

A nakonec i to jaký počet hesel je v čitelné podobně/zahashován. Z této statistiky nejde předjímat kvalitu napadených webů, lze konstatovat, že hesla v kolonce bcrypt jsou téměř v bezpečí. Což se o těch hashovaných MD5 uplně říct nedá, pokud nemají více než 12 znaků, jak píše Michal Špaček zde. Jak je, ale uvedeno výše, takových lidí moc nebude.

![Rozložení čistého textu vs. hashů pro státní správu](Screenshot 2019-01-23 at 14.38.19.png)

Co se týče české domény (graf je pro TOP10), jsou výsledky téměř jasné. Domény patříčí společnosti Seznam.cz dávají dohromady téměř než 3/4. Graf ukazuje popularitu služeb Seznamu.

![Přehled domén .cz v Collection #1](Screenshot 2019-01-25 at 09.58.04.png)A nakonec si nechávám statistiku lidu, tzn. bez státní správy. Ano, délka hesla 8 znaků. Nicméně, co je zajímavé je zastoupení delších hesel. Deset a více znaků má téměř 1/6. Mohlo by to být, samozřejmě, lepší. Ale tohle chce čas.

![Délka hesel bez státní správy](Screenshot 2019-01-24 at 12.47.21.png)Jaké z toho všeho plyne poučení? Používejte správce hesel: KeePass, Bitwarden anebo 1password. Kontrolujte si, čas od času, Váš e-mail na haveibeenpwned. Některé password managery to udělají za Vás, případně si můžete nastavit upozornění na již zmíněném webu.

P.S. Toto je pouze první část, ještě existují 4 další…

Other Related Posts:

Kompromitace webu

Přišel mi e-mail...

Stálo v něm následující,

Dear support portal user,

as you may have noticed, our portal has been unavailable. We identified an unknown party's attempt to breach the Flowmon's support portal yesterday. As a part of the internal security process, we took the portal offline.

W...

1st Feb 2019

Heslo k datové schránce

Takhle ne…

Datové schránky získaly nový vzhled. S tím opustily i CAPTCHA ověření, při přihlášení. Primárně jsem chtěl odeslat daňové přiznání, měl jsem ale expirované heslo. Takže přihlásit, změnit a odeslat. Jenže… dal jsem generovat heslo v password manageru, zadám ho do formuláře a vidím: H...

28th Jan 2019