Már megint kiszivárgott az adatod? Van megoldás!
Ha már régóta a kriptó világában mozogsz, vagy csak most ismerkedsz vele, valószínűleg hallottál róla: a múlt héten egy hatalmas, 16 milliárd adatrekordot tartalmazó adatbázis bukkant fel az internet legsötétebb bugyraiban. A részletek még homályosak – nem tudni pontosan, honnan származik az adat, vagy ki áll a háttérben –, de az biztos, hogy ez az egyik legnagyobb adatszivárgás eddig, amit az internet népe eddig tapasztalt.
A kriptósok számára különösen aggasztó ez a hír, hiszen a digitális pénzek kezeléséhez szükséges fiókok, tárcák és tőzsdei belépők kiemelt célpontjai az ilyen jellegű támadásoknak.
Ez az incidens egy újabb figyelmeztetés a sok közül
Az elmúlt évek során több olyan jelentős adatvesztés történt, ahol kriptósok adatai szivárogtak ki.
Többek között ilyen volt a Ledger email adatbázis kiszivárgása ahol ugyan jelszavak nem kerültek nyilvánosságra, „csak” azoknak a felhasználóknak az adatai (neve, címe, telefonszáma), akik valaha Ledger tárcát rendeltek. Pont elég ahhoz, hogy ha rossz emberek kezébe kerül, különösen szofisztikált támadást tudnak eszközölni az áldozatok ellen. 2024-ben a másik nagy hardver tárca gyártó, a Trezor egyik e-mail szolgáltatójánál is történhetett egy adatszivárgás, amely során több felhasználó is gyanús adathalász e-mailekről számolt be.
De nem csak a kriptotér érintett a témában és még a legnagyobbakkal is történhet baleset.
A 2017-es Cloudbleed néven elhíresült Cloudflare incidens kiemelt figyelmet kapott, hiszen széles körben érintett weboldalakat – köztük több kriptotőzsdét is –, és bizalmas adatok szivároghattak ki a gyorsítótárakon keresztül. A Facebook pedig is többszörösen érintett a problémában. Számtalan incidens során több százmillió felhasználó adatai – köztük e-mail címek és telefonszámok – szivárogtak ki, amit később kriptós adathalász kampányokban is felhasználtak. Ezek az esetek jól mutatják, hogy nemcsak a kriptós platformok, hanem a velük kapcsolatban álló szolgáltatók – például e-mail rendszerek vagy közösségi oldalak – is gyenge láncszemet jelenthetnek a felhasználók adatbiztonságában.
Íme néhány konkrét lépés, amellyel bárki jelentősen növelheti az online biztonságát – különösen, ha kriptóval foglalkozik.
1. Soha ne használd ugyanazt a jelszót több helyen
A jelszavak újra felhasználása az egyik legnagyobb hiba, amit el lehet követni. Amint egy jelszó kiszivárog, a támadók automatikusan megpróbálják azt más weboldalakon és szolgáltatásokon is használni – ezt nevezik credential stuffing támadásnak.
A probléma könnyen megelőzhető ha mindenhol különböző jelszavakat használunk.
Ha nem akarjuk mindezt fejben tartani, használhatunk egy megbízható jelszókezelő alkalmazást is. Ezek biztonságosan tárolják az összes belépési adatot, és képesek erős, egyedi jelszavakat generálni minden egyes szolgáltatáshoz. A böngésző- és mobilappos integráció révén ezek a jelszavak mindig kéznél vannak.
Persze ez sem jelent tökéletes biztonságot. Volt olyan eset, hogy pont egy jelszókezelőtől loptak eladatokat.
2. Használj kétlépcsős azonosítást (2FA)
Mint láthattuk a jelszó önmagában ma már nem elég. A kétlépcsős azonosítás bevezetésével drasztikusan csökkenthető az esélye annak, hogy egy támadó jogosulatlanul hozzáférjen egy fiókhoz.
A legelterjedtebb formája az időalapú, 6 számjegyű kód generálása (pl. Google Authenticator, Authy), de léteznek SMS-alapú vagy fizikai hardverkulcsos megoldások is. A kriptotárcák, váltók és NFT-platformok nagy része már támogatja a 2FA-t – beállításuk szinte kötelező. Használjuk ahol csak lehet!
3. Töröld a nem használt fiókokat
Minden olyan fiók, amit már nem használ senki, potenciális biztonsági rés. Az évek során rengeteg szolgáltatás gyűlik össze – néhány közülük már nem is létezik, de az adataik (pl. e-mail + jelszó) még mindig ott lehetnek egy régi szerveren.
Érdemes időről időre átnézni, melyek azok a fiókok, amit aktívan használunk, és a nem használtakat töröljük végérvényesen. A legtöbb szolgáltatásban ez elérhető a fiókbeállítások között, ha nem, akkor az adatvédelmi szabályzat alapján e-mailben is kérhetjük a törlést.
4. Iratkozz fel adatszivárgás-figyelő szolgáltatásra
A Have I Been Pwned (https://haveibeenpwned.com) nevű oldal az egyik legismeretebb ingyenes eszköz, amivel meg lehet tudni, hogy az e-mail címed vagy jelszavad szerepelt-e valamilyen ismert adatszivárgásban. A szolgáltatás értesítést küld, ha újabb szivárgás történik, amely érinti a megadott e-mail címet.
Bár a mostani 16 milliárdos adatbázis még nem került fel az oldalra, a későbbiekben várható, hogy az érintett rekordok egy része feldolgozásra kerül. Ezért érdemes aktiválni az automatikus e-mail értesítéseket.
5. Indíts tiszta lappal, ha kell
Ha egy e-mail cím már éveken át használt, sok helyen regisztrálták vele, és rendszeresen célpontja adathalász támadásoknak, érdemes lehet új címet létrehozni, és ezzel új alapokra helyezni az online jelenlétet.
Egy új, titkosítást támogató e-mail szolgáltató használata, új jelszavak beállítása és a 2FA rendszeres alkalmazása már önmagában is jelentős védelmet nyújthat. A szolgáltatások átváltása időigényes lehet, de hosszú távon csökkenti a támadások kockázatát. Ezzel pedig nyugodt éjszakákat eredményez.
A biztonság nem csak technikai kérdés
A kriptovilágban a biztonság nem csupán technikai kérdés – ez a pénzügyi önrendelkezés záloga is. A decentralizáció hatalmat ad, de egyben felelősséget is. Az adatszivárgások, jelszólopások és kriptotárca-feltörések korában már nem elég, ha valaki bízik a rendszerben – proaktív lépésekre van szükség, hogy minimalizálni lehessen a károkat.
A mostani, 16 milliárdos adatbázis kiszivárgása intő jel, különösen azoknak, akik hosszú távra terveznek a kriptovilágban tevékenykedni. Az alapvető biztonsági lépések bevezetése nem igényel mély technikai tudást, viszont megóvhatja a digitális vagyonod jelentős részét.
Ne várjunk addig, amíg megtörténik a baj – az adatvédelem ma már mindannyiunk felelőssége.