15.12.2017, 14:58

CERT-i juht: on keskkondi, kuhu luuakse konto sinu meiliaadressiga

Rivo Veski

Kasulik.ee peatoimetaja

Klaid Mägi ja Oskar Gross.

FOTO: Foto: Rauno Volmar

Riigi infosüsteemi ameti intsidentide lahendamise osakond (CERT) teavitas ligi 200 000 eestimaalast nende tööandja kaudu sotsiaalmeedia konto paroolide lekkimisest.

Tuntud Eesti inimeste nimekujuga meiliaadresse on tehtud suvalistesse meilikeskkonadesse.

Klaid Mägi

Kes soovib kontrollida, kas mõni tema sotsiaalmeedia konto parool on lekkinud, saab oma meiliaadressi sisetada klikates CERT-i osutatud aadressile haveibeenpwned.com.

Sellele lehele oma meiliaadressi sisestades võib vastuseks tulla keskkondi, mis tekitavad küsimuse: „Kas ma ikka olen neis kasutajakonto registreerinud?".

CERT-i juht Klaid Mägi sõnul on keskkondi, kuhu konto loomiseks võib kasutada kelleiganes meiliaadressi.

„Me ei pea selleks enda oma kasutama. Meil on selliseid näiteid, kus väga tuntud Eesti inimeste nimekujuga meiliaadresse on tehtud suvalistesse meilikeskkonadesse. Aga ka näiteid, kus olemasolevate ja mitte konto loonud inimesele kuuluva meiliaadressiga on loodud kontosid erinevatesse keskkonadesse. Mis on selle teguviisi taust või eesmärk on raske kommenteerida. Aeg-ajalt võib olla tehtud konto misiganes keskkonda ja misiganes meiliaadresiga," ütleb Mägi, rahustades neid, kes haveibeenpwned.com lehe päringu vastuste seast mõne täiesti tundmatu kirje leiavad.

„Kui seal tuleb vastuseks mõni keskkond, millega meiliaadressi omanik kindlasti pole kokku puutunud, siis põhimõtteliselt muretsemiseks põhjust pole," ütleb Mägi.

Ta lisab, et inimesed, kes kasutavad näiteks Instagrami, peaksid olema teadlikult, et leidub mitmeid keskkondi, mis kopeerivad Instagrami sisu enda omasse ümber. „On näiteid sellest, kui mõne inimese nime guugeldades leiad selle inimese pildid sellistest keskkondadest, mille kohta nende fotode omanik ei pruugi olla kunagi midagi kuulnud," toob Mägi näiteks.

Väga paljudel inimestel on töömeil ettevõtte veebilehel avalikult nähtav, mis on teine teema, kuidas meiliaadressid võivad sattuda laia maailma rändama. „On keskkondi, kus konto loomise järel ei saadeta meilile kinnitus-URL-i või kinnituskirja," ütleb Mägi.

Kui selgub, et paroolid, kasutajanimi ja muu tundlik info on lekkinud – ütleme näiteks Dailymotioni keskkonnast – ja juures on info, et see toimus 2016. aasta lõpus (LinkedIni puhul isegi 2012. aastal), siis Mägi sõnul on praegu viimane aeg oma parooli vahetada. „Kui inimene ei ole harjunud paroole vahetama ja kasutab sama parooli aastaid, siis praegu tuleks seda teha. Mida rohkem üht ja sama parooli erinevates keskkondades kasutada, seda suurem on oht, et kontod võidakse taoliste lekete korral korraga kellegi teise poolt üle võtta," hoiatab Mägi.

Märksa parem praktika on Mägi soovitusel see, kui inimene on harjunud korra aastas paroole vahetama ja kasutab erinevates keskkondades erinevaid paroole. „Kui siis selgub, et ühe keskkonna paroolid on lekkinud, ei ole sellest midagi hullu," ütleb Mägi.

Kõik, kes täna haveibeenpwned.com-i lehel oma meiliaadressiga seotud lekkeid leiavad, peaksid esiteks vahetama parooli ning teiseks kasutama kaheastmeilist autentimist nendes keskkondades, kus see on võimaldatud. Näiteks Gmail ja Facebook. „Kui pärast seda keegi parooli kätte saab ja üritab neile kontodele sisse saada, saad sa selle kohta SMSi, millega nõutakse lisa PIN-koodi. Teisisõnu - see tagab selle, et sa oled teadlik, kui keegi püüab sinu kontodele ligi pääseda," selgitab Mägi.

Kommenteeri Loe kommentaare