123456: עדיין הסיסמה הנפוצה ביותר
הפריצה לרשת אתרי Gawker חושפת שוב: רוב הגולשים משתמשים בסיסמאות קלות לניחוש כמו 111111 או password
הפריצה לרשת אתרי חברת גוקר מדיה ביום ראשון האחרון גרמה, על פי הדיווחים, לחשיפת מעל מיליון כתובות דואר אלקטרוני של עובדי החברה והגולשים באתרי החברה השונים. רשת גוקר כוללת אתרים פופולריים כמו בלוג הטכנולוגיה גיזמודו, אתר מדריכי הטכנולוגיה Life Hacker ואתר הגיימינג Kotaku. ההאקרים לא הסתפקו בבסיס הנתונים של משתמשי האתר ומפעיליו, אלא הורידו גם מידע נוסף כמו התכתבויות פנימיות בארגון, סקיצת עיצוב חדש לאתר הבית של גוקר וכן פרטי גישה לשרתי שותפים ושרותים מקוונים בהם השתמשו בגוקר.
הסיסמאות אמנם נשמרו בבסיס הנתונים כשהן מוצפנות, אך 188,279 מהן פוענחו על ידי ההאקרים - והופצו כשהן חשופות ביחד עם הקובץ הכולל את בסיס הנתונים המוצפן.הוול סטריט ג'ורנל היה הראשון שמיין את אותן סיסמאות על פי פופולריות ותפוצה. התוצאות מדאיגות, אך לא מפתיעות.
הסיסמה הפופולרית ביותר: 123456
רשימת 50 הסיסמאות הנפוצות בבסיס הנתונים שערך הוול סטריט ג'ורנל כוללת, כמובן, שמות של אתרים בבעלות גוקר מדיה אבל הסיסמה הנפוצה ביותר היא סדרת המספרים 123456. במקום השני ממוקמת סיסמה בנאלית לא פחות: password, ובמקום השלישי סדרת המספרים 12345678.
סיסמאות נפוצות אחרות כוללות את הביטוי letmein, את רצף האותיות qwerty (המהווה כינוי לסידור המקשים במקלדת), הספרה 0, ואף 111111 ו-abc123.
על פי הדיווח של פורבס, לא רק משתמשי האתר אלא גם עובדי גוקר התרשלו בבחירת סיסמאות מאובטחות - אחד מהם אף השתמש בשמו בתוספת הסיפרה 1 כסיסמת הכניסה למערכת האתר. בדיווח נכתב גם שנראה כי לפורצים היתה גישה לממשקי הניהול של גוקר מזה מספר שבועות, ורק בתחילת השבוע הם חשפו את הפריצה לכלל האינטרנט.
קבוצת Gnosis, שביצעה את התקיפה, קיבלה לא מעט הצעות למכור את בסיס הנתונים הגנוב תמורת סכומים גבוהים - אך חברי הקבוצה העדיפו להפיץ את המידע באופן חופשי. נציגי הקבוצה צוטטו באתר Techcrunch וטענו שגם אם רשת האתרים של גוקר תתאושש מהמתקפה, העובדה שקוד המקור של האתר נכלל בקובץ המופץ יסייע לקבוצת הפורצים הבאה לאתר חולשות שיתנו להם גישה למערכות החברה.
עיקר הבעיה: סיסמאות המשותפות למספר אתרים
רשת אתרי גוקר עצמה אינה מאחסנת על שרתיה מידע של גולשים, פרט לנתונים שהכניסו בעת ההרשמה ותגובות שלהם לכתבות. עיקר הבעיה היא במשתמשים שסיסמאותיהם, המשויכות לכתובות הדואר האלקטרוני שלהם כפי שהן מופיעות בבסיס הנתונים הפרוץ, זהות לסיסמאות שלהם בשירותים אחרים בהם הם מזדהים באמצעות אימייל. שירותים מעין אלו הם טוויטר, פייסבוק ואף תיבת הדואר האלקטרוני עצמה.
בעקבות הפצת רשימת הכתובות והסיסמאות הצמודות להן, נפרצו מספר חשבונות טוויטר, יהאו וכן חשבונות גישה למשחק המקוון הפופולרי World of Warcraft. על פי הדיווח של אתר All Things Digital, גם הרשת החברתית לינקדאין יעצה לחברים ברשת לשנות את הסיסמה שלהם וביאהו אף פנו למשתמשים באופן עצמאי בבקשה לשנות את סיסמתם במידה שכתובת הדואר האלקטרוני שלהם נמצאה בקבצים שהפיצו הפורצים. הפריצה לחשבונות טוויטר גררה בין היתר מתקפה של וירוס תולעת שפרסם קישורים לאתרים המוקדשים לכאורה לתוספי תזונה.
אם נרשמתם בעבר לאחד מאתרי גוקר ואתם מודאגים, תוכלו לבדוק אם כתובת הדואר האלקטרוני שלכם נמצאת ברשימות באתר יעודי שהוקם לצורך כך, וכמובן להחליף את הסיסמה באתרים שבהם הזנתם פרטי כניסה הזהים לאלו של אתרי גוקר.
הפתרון: ניהול סיסמאות נכון
לא מדובר במקרה הראשון של גניבת בסיס נתוני אימות משתמשים מאתר גדול. בשנה שעברה הופצו ברשת עשרות אלפי סיסמאות לחשבונות הוטמייל וכן משתמשי אתר Rock You. בישראל, הניחו ההאקרים הטורקים את ידיהם על מספר בסיסי נתונים של אתרים מוכרים, לרבות פיצה האט ואתר המודעות הומלס. נתונים אלו לבדם הם חסרי ערך, אך נטייתם של משתמשים לבחור מעין סיסמת "מאסטר" עבור שרותים מקוונים מרובים, גורמת לכך שחשיפת הנתונים במקום אחד, מסכנת את פרטיות המשתמש גם באתרים אחרים. כך, בדומה לגל פריצות חשבונות הדואר האלקטרוני וחשבונות הפייסבוק של ישראלים שהופיעו בבסיסי הנתונים הפרוצים, משתמשי גוקר מדיה שלא השכילו לבחור סיסמה שונה עבור שרותים אחרים, עומדים כעת בפני שוקת שבורה.
בהיעדר דרישות אורך ומגוון תוים בעת קביעת סיסמה באתר או שרות כלשהו, חשוב להקפיד שלא לבחור סיסמה קלה לניחוש כמו 123456. מובן שעבור אתרים שאינם מאכסנים את פרטיכם האישיים, תוכלו להשתמש בסיסמא גנרית פשוטה יחסית, אבל עבור שרותי דואר אלקטרוני, רשתות חברתיות, שרותים פיננסיים וכדומה, חובה לבחור סיסמה המורכבת מאותיות אנגליות קטנות, גדולות וכן סימנים מיוחדים. כאמור, מומלץ גם לבחור סיסמה שונה עבור כל אתר ושרות, וקיימים פתרונות רבים לניהול נוח של סיסמאות מורכבות עבור אתרים מרובים. באופן אירוני, אחד המדריכים השימושיים ברשת לבחירה וניהול של סיסמאות מופיע דווקא באתר Life Hacker של גוקר.