Zatím největší leak... jmen a uživatelských údajů.
Zajímalo mě, co se nachází v zatím největší sbírce uniklých údajů - Collection #1. Stáhl jsem necelých 40GB dat. Po rozbalení se jednalo o necelých 100GB. Nahodil jsem Splunk a začal indexovat. Trvalo to téměř celé dopoledne, zaindexováno bylo něco přes 300G dat. Nutno dodat, že jsem parsoval e-mail, doménu, uživatelské údaje (heslo/hash) a také jsem vytvořil pole s typem uživatelských údajů (plain text, MD5, SHA1, bcrypt). Ne všechna data se podařilo takto zpracovat, tabulky (DB) a jiné jsem takto neparsoval.
Teď k těm statistikám. Protože jsem dřív pracoval pro GovCERT.CZ zajímala mě státní správa. Nejdřív tedy, které instituce jsou zastoupeny nejpočetněji. Vyhledával jsem jen ministerstva a ústřední orgány státní správy. Téměř čtvrtina patří do resortu spravedlnosti, následoval resport financí a pak sociální věci.

Samozřejmě došlo i na rozložené délky hesel. Délka hesla osm znaků je zřejmě stále populární. Zajímavé je, že více než 5/6 uživatelů používají heslo v rozmězí 3-8 znaků. To je pro útočníky vcelku cenná informace.

A nakonec i to jaký počet hesel je v čitelné podobně/zahashován. Z této statistiky nejde předjímat kvalitu napadených webů, lze konstatovat, že hesla v kolonce bcrypt jsou téměř v bezpečí. Což se o těch hashovaných MD5 uplně říct nedá, pokud nemají více než 12 znaků, jak píše Michal Špaček zde. Jak je, ale uvedeno výše, takových lidí moc nebude.

Co se týče české domény (graf je pro TOP10), jsou výsledky téměř jasné. Domény patříčí společnosti Seznam.cz dávají dohromady téměř než 3/4. Graf ukazuje popularitu služeb Seznamu.
A nakonec si nechávám statistiku lidu, tzn. bez státní správy. Ano, délka hesla 8 znaků. Nicméně, co je zajímavé je zastoupení delších hesel. Deset a více znaků má téměř 1/6. Mohlo by to být, samozřejmě, lepší. Ale tohle chce čas.
Jaké z toho všeho plyne poučení? Používejte správce hesel: KeePass, Bitwarden anebo 1password. Kontrolujte si, čas od času, Váš e-mail na haveibeenpwned. Některé password managery to udělají za Vás, případně si můžete nastavit upozornění na již zmíněném webu.
P.S. Toto je pouze první část, ještě existují 4 další…