Récemment, un fichier de 100 Go contenant 8,4 milliards de mots de passe (8 459 060 239 enregistrements uniques) est apparu sur le réseau. Les experts suggèrent que ces mots de passe sont une compilation de fuites précédentes. Il n'y a pas de logins dans le fichier, seulement des mots de passe dont la taille va de 6 à 20 caractères. Un grand nombre d'entre eux sont des mots de passe complexes avec des caractères spéciaux. Ils sont tous contenus dans un seul fichier appelé RockYou2021.txt.
Ce fichier a été téléchargé par un utilisateur avec le pseudo du même nom - RockYou2021. Ce surnom est très probablement une référence à une fuite de 2009 appelée Rock You . Mais cette fuite était plusieurs fois moindre - le fichier, publié en 2009, ne contenait que 32 millions de lignes.
Le nombre de mots de passe dans le fichier dépasse la population mondiale, qui n'a pas encore atteint le milliard de 8. Le nombre total d'internautes sur la planète, selon diverses estimations, est d'environ 5 milliards de personnes. On peut supposer que de nombreux mots de passe sont réels et sont encore utilisés aujourd'hui.
On pense que ce fichier est le résultat d'une génération normale utilisant un algorithme avancé. Selon Troy Hunt, la plupart des éléments du fichier posté sur Internet n'ont jamais été utilisés comme mots de passe. C'est juste une compilation des éléments générés avec de vraies listes.
Mais de nombreux experts en sécurité de l'information ne sont pas d'accord avec l'opinion, y compris des représentants de la publication BoyGeniusReport. Les mots de passe sont très similaires à ceux que les utilisateurs ordinaires proposent généralement.
Le fichier lui-même est sûr car il ne contient aucune combinaison nom d'utilisateur/mot de passe pouvant être utilisée immédiatement. Mais, si vous combinez ce fichier avec l'un des documents précédemment divulgués contenant les adresses e-mail des utilisateurs, vous obtenez une base magnifique pour la force brute. De plus, le fichier peut être utilisé pour les dictionnaires de mots de passe utilisés pour effectuer des attaques par force brute. Le fichier contient à la fois des mots de passe simples et très complexes.
Selon certains experts, ce fichier augmente la menace de compromettre les comptes d'utilisateurs de divers services. CyberNews, l'un des premiers à découvrir la fuite, estime que la menace est réelle pour des milliards d'utilisateurs. En réalité, tout n'est pas si effrayant, bien sûr, mais la situation n'est toujours pas des plus agréables.
Comme toujours, sous la menace maximale se trouvent les utilisateurs qui ont trouvé un ou deux mots de passe pour différents services et les utilisent à tout moment qui leur convient. Considérant qu'une personne ordinaire n'a qu'une seule adresse e-mail, la menace qu'un tel compte soit compromis est vraiment élevée.
Pour réduire la menace, il vaut la peine de changer le mot de passe habituellement utilisé. Probablement rien à craindre pour ceux qui utilisent des générateurs de mots de passe forts avec une sécurité renforcée, avec un mot de passe pour chaque nouveau compte. Certes, le fichier contient des mots de passe complexes, mais la plupart ressemblent toujours à ce que les gens eux-mêmes proposent généralement, pas à un générateur. Eh bien, maintenant, dans la plupart des services, l'authentification à deux facteurs est introduite, donc dans ce cas, la menace est encore plus faible.
Afin de vérifier vos propres données, vous pouvez utiliser des services spécialisés qui vous permettent de vous renseigner sur les fuites de données personnelles et de mots de passe.... Ici, cependant, il convient de se demander s'il vaut la peine de "briller" le mot de passe d'un tel service - il se peut bien que de telles bases de données apparaissent après le piratage de services-checkers. Ils sont, bien sûr, protégés, mais ...
Soit dit en passant, en février 2021, une autre liste est apparue sur le réseau - 3,2 milliards de bundles login / mot de passe provenant de comptes de services de messagerie Microsoft et Google. Ce fichier était une compilation de nombreuses autres fuites qui s'étaient produites plus tôt.
Et les autres fuites ?
Soyons objectifs : le fichier uploadé avec les mots de passe n'est pas vraiment une fuite. Mais lorsque les données des clients d'une entreprise avec des mots de passe, des identifiants, des données personnelles, etc. apparaissent sur le réseau, la situation peut être qualifiée de véritable fuite.
En Russie, selon un certain nombre de données, en 2020, le nombre de fuites a augmenté d'environ un tiers, bien que dans le monde entier cet indicateur ait légèrement, mais a diminué.
En 2020, environ 100 millions d'enregistrements de données personnelles de Russes ont été divulgués sur le réseau, ce qui est beaucoup plus dangereux qu'un fichier publié par quelqu'un avec des milliards de mots de passe. Dans le même temps, environ 80 % des violations ont été commises par des employés de l'entreprise, la plupart à la suite d'actions délibérées. En Russie, les fuites se produisent plus souvent dans les services financiers, le secteur public et l'industrie de haute technologie.
Quant au monde, fin 2020, environ 11 milliards d'enregistrements de données personnelles et d'informations de paiement sont apparus sur le réseau (il est clair que dans de telles fuites il y a plusieurs comptes par utilisateur, ce ne sont pas 11 milliards de comptes séparés). La plus grande fuite peut être considérée comme le problème de Whisper - 900 millions d'enregistrements ont été volés du service à la fois, c'est-à-dire que tous les enregistrements ont été divulgués au réseau depuis la création de la ressource en 2021. En deuxième position se trouve le service chinois Weibo, qui a divulgué environ 500 milliards de dossiers. La troisième est Estée Lauder. Aucun pirate informatique n'était nécessaire ici, la société elle-même a publié 440 millions de comptes sur l'un des services cloud.
