Přihlašovací údaje pro víc než milión účtů internetových služeb Gmail a Yahoo prodává hacker, který používá přezdívku SunTzu583. Mezi nabízenými uživatelskými profily je i 100 tisíc účtů Yahoo prolomených v roce 2012 při hackerském útoku na web Last.fm, upozornil server Infosecurity-magazine.com. Nabízené údaje představují uživatelská jména, e-mailové adresy a hesla.

Dalších 145 tisíc účtů Yahoo, které zahrnuje nabídka hackera SunTzu583, získal prodejce patrně při útocích na Adobe v roce 2013 a na MySpace, který sice proběhl již v roce 2008, ale informace o něm byly zveřejněny až loni. Počty nabízených účtů na Yahoo jsou ale směšně nízké v porovnání s počty prodávaných účtů ke službě Gmail.

Dohromady jde téměř o milión účtů, z nichž půl miliónu pochází ze tří kybernetických útoků: prolomení internetového fóra Bitcoin Security Forum, útoku na Tumblr v roce 2013 a hackerského útoku na MySpace v roce 2014, během něhož útočníci získali i výše zmíněné účty Yahoo.

Změňte si heslo, radí expert

Zbývajících 450 tisíc nabízených účtů Gmail získali útočníci během celé řady akcí proti webům a službám Last.fm, Adobe, Dropbox, Tumblr a dalším. Kompletní sadu 1,2 miliónu účtů nabízí hacker výměnou za bitcoiny, internetovou měnu, kterou obvykle vyžadují kybernetičtí útočníci při vyděračských kampaních ransomware. Jeden bitcoin se v přepočtu prodává za 30 tisíc korun. Yahoo ani Google se zatím k faktu, že jsou statisíce jejich účtů nabízeny v nelegální aukci, nevyjádřily.

„Každopádně to je další špatná zpráva pro Yahoo. Společnost v posledních letech přiznala řadu bezpečnostních incidentů, při nichž byla ohrožena osobní data jejích zákazníků u více než miliardy účtů,“ konstatuje web Infosecurity-magazine.com. „Uživatelé, kteří si nejsou jisti, zda se nestali terčem útoku, a obávají se, že se jejich účet Gmail nebo Yahoo nachází mezi obchodovanými položkami, by si měli okamžitě změnit přístupová hesla k těmto účtům,“ radí Miroslav Dvořák, technický ředitel společnosti ESET.

Pro přístup k účtům by uživatelé měli podle Dvořáka používat dvoufaktorovou autentizaci, která vedle klasického hesla využívá ještě jednorázově generované potvrzovací heslo, které uživateli přijde formou textové zprávy na mobilní telefon nebo e-mailem.