Podle analýzy, kterou v Cloudflare provedli mezi zářím a listopadem 2024, bylo 41 % úspěšných přihlášení na webových stránkách uskutečněno pomocí hesel, která už dříve unikla při některém z předchozích bezpečnostních incidentů. Jinými slovy, hackeři už znají téměř polovinu hesel, která běžně používáme k přihlášení do našich e-mailů, streamovacích služeb, sociálních sítí a dalších online služeb.
Cloudflare ve své zprávě navíc uvádí, že skutečné procento může být dokonce ještě vyšší. Společnost při analýze totiž vycházela z vlastní databáze, která obsahuje více než 15 miliard uniklých hesel, včetně databáze ze služby Have I Been Pwned. V Cloudflare analyzovali přibližně 20 % webu, který chrání prostřednictvím svých internetových služeb.

Hlavní problém - opakované používání hesel
Důvodem tohoto stavu je opakované používání stejných hesel pro různé služby. Mnoho uživatelů totiž své přihlašovací údaje recykluje napříč různými platformami. To vytváří řetězový efekt rizika v případě, že dojde k úniku těchto údajů.
I po velkých bezpečnostních incidentech mnoho jednotlivců nemění svá kompromitovaná hesla nebo stále používají jejich varianty pro různé služby. Pro tyto uživatele není otázkou zda útočníci využijí jejich kompromitovaná hesla, ale spíše kdy, varuje technologický gigant.
Situace je ještě horší, pokud započítáme všechny pokusy o přihlášení, včetně těch neúspěšných. Celkem 52 % všech detekovaných požadavků na ověření obsahuje uniklá hesla, přičemž většina těchto pokusů pochází od automatizovaných botů.
Boti systematicky útočí na webové stránky
Podle analýzy společnosti Cloudflare pochází 95 % pokusů o přihlášení zahrnujících uniklá hesla od botů. Boti systematicky cílí na webové stránky a testují tisíce přihlašovacích kombinací během několika sekund. Jakmile boti úspěšně prolomí jeden účet, útočníci opakovaně používají stejné přihlašovací údaje na dalších službách, aby zvýšili svůj dosah.
Mezi častými cíli jsou populární systémy pro správu obsahu (CMS) používané k vytváření webových stránek, jako je WordPress, Joomla, Drupal a další platformy.
Výzkumníci zjistili, že 76 % pokusů o přihlášení pomocí uniklých hesel je úspěšných na webech WordPress, přičemž polovina z nich je prováděna boty. Toto je šokující číslo, které naznačuje, že téměř polovina všech úspěšných přihlášení je prováděna neoprávněnými systémy navržených k využití ukradených přihlašovacích údajů. Úspěšný neoprávněný přístup je často prvním krokem k převzetí účtu, varuje Cloudflare.
Jak se chránit?
Vzhledem k tomu, že podle studie Forbesu průměrný uživatel používá stejné heslo přibližně pro čtyři různé účty, je riziko kompromitace mnohem vyšší, než si většina lidí uvědomuje. Bezpečnostní experti zdůrazňují, že je čas přehodnotit přístup k online bezpečnosti a začít brát hrozbu úniku hesel vážně.
Odborníci doporučují několik klíčových opatření, která mohou uživatelé přijmout k ochraně svých online účtů:
- Používejte unikátní hesla pro každou službu
- Aktivujte vícefaktorové ověřování (MFA) všude, kde je to možné
- Pravidelně kontrolujte, zda vaše hesla nebyla součástí nějakého úniku dat (například na haveibeenpwned)
- Používejte správce hesel pro generování a ukládání složitých hesel
- Ihned změňte heslo, pokud zjistíte, že bylo kompromitováno
Zdroj: Cloudflare, haveibeenpwned, Forbes, Cybernews