1. Näin tarkistat tilanteesi minuutissa
Nopein ja luotettavin tapa on Have I Been Pwned eli haveibeenpwned.com. Se on australialaisen tietoturvatutkijan Troy Huntin ylläpitämä ilmainen palvelu, joka kokoaa yhteen tunnetut tietovuodot. Tietokannassa on miljardeja vuotaneita tilitietoja sadoista eri palveluista.
- Mene osoitteeseen haveibeenpwned.com
- Kirjoita sähköpostiosoitteesi hakukenttään
- Paina Check-nappia
- Näet listan vuodoista, joissa osoitteesi on ollut mukana, ja mitä tietoja kustakin vuodosta on päätynyt vääriin käsiin
Palvelu on turvallinen käyttää. Se ei tallenna hakuasi eikä kysy salasanaa, ainoastaan sähköpostiosoitteen. Sitä käyttävät myös viranomaiset ja yritykset ympäri maailmaa, ja moni selain ja salasanaohjelma hakee vuototiedot juuri sen tietokannasta.
Tulos yllättää useimmat. Jos sähköpostisi on ollut käytössä yli viisi vuotta, se löytyy lähes varmasti ainakin parista vuodosta. Suomalaisia koskettaneita isoja tapauksia ovat olleet esimerkiksi Vastaamon tietomurto sekä kansainväliset LinkedIn-, Adobe- ja Canva-vuodot.
2. Mitä vuototulos tarkoittaa käytännössä
Jokaisen osuman kohdalla palvelu kertoo, mitä tietoja vuoti. Merkittävin ero on siinä, vuotiko pelkkä sähköpostiosoite vai myös salasana. Pelkkä osoite tarkoittaa lähinnä roskapostia ja huijausviestejä. Vuotanut salasana on vakavampi asia, koska rikolliset kokeilevat samaa yhdistelmää automaattisesti kymmeniin muihin palveluihin.
Tärkein yksittäinen riski
Jos käytät samaa salasanaa monessa palvelussa, yksi vuoto avaa ne kaikki. Tätä kutsutaan credential stuffing -hyökkäykseksi, ja se on yleisin tapa, jolla tilejä kaapataan.
3. Mitä tehdä jos tietosi ovat vuotaneet
Älä hätäänny. Vuoto ei tarkoita, että joku on juuri nyt tililläsi. Se tarkoittaa, että tietosi ovat myynnissä ja niitä kokeillaan jossain vaiheessa. Tee nämä viisi asiaa, mieluiten heti:
- Vaihda vuotaneen palvelun salasana heti. Uusi salasana ei saa muistuttaa vanhaa.
- Vaihda sama salasana kaikkialla muualla. Jos käytit samaa yhdistelmää muissa palveluissa, ne ovat nyt yhtä auki kuin vuotanut tili.
- Ota kaksivaiheinen tunnistautuminen käyttöön ainakin sähköpostiin, pankkiin ja sosiaaliseen mediaan. Se pysäyttää tilikaappauksen, vaikka salasana olisi vääristä käsissä.
- Varo kohdennettuja huijausviestejä. Vuotaneita osoitteita käytetään uskottavien huijausten lähettämiseen. Ole seuraavina kuukausina tavallista epäluuloisempi.
- Tarkkaile pankki- ja korttitapahtumia. Jos vuodossa oli maksutietoja, ilmoita pankille ja harkitse kortin sulkemista.
Salasanojen vaihtaminen käsin on työlästä, jos tilejä on kymmeniä. Helpoin ratkaisu on salasanaohjelma, joka luo jokaiseen palveluun oman vahvan salasanan ja muistaa ne puolestasi. Vertailimme parhaat vaihtoehdot artikkelissa paras salasananhallinta. Kaksivaiheisen tunnistautumisen käyttöönotto on ohjeistettu vaihe vaiheelta omassa oppaassaan.
4. Miksi kertatarkistus ei riitä
Tietovuoto ei ole kertaluontoinen tapahtuma, joka hoidetaan ja unohdetaan. Uusia vuotoja tulee julki viikoittain, ja tietosi voivat päätyä huomenna vuotoon, joka tapahtui palvelussa jo vuosia sitten. Have I Been Pwned kertoo tilanteen tarkistushetkellä, mutta se ei ilmoita sinulle, kun seuraava vuoto osuu kohdallesi.
Siksi jatkuva valvonta on hyödyllinen. F-Secure Totalin identiteetinsuojaus valvoo sähköpostiosoitettasi jatkuvasti ja hälyttää heti, kun tietosi ilmestyvät uuteen vuotoon. Saat ilmoituksen ja selkeät ohjeet siitä, mitä juuri sen vuodon takia pitää tehdä. Samassa paketissa on salasananhallinta, joka luo vahvat salasanat, sekä virustorjunta ja VPN. Hinta on 69,99 € vuodessa ja tilauksessa on 30 päivän rahat takaisin -takuu.
Rehellisyyden nimissä: jos tilejä on vähän ja jaksat tarkistaa tilanteen itse muutaman kerran vuodessa, pärjäät ilmaisillakin työkaluilla. Jatkuvasta valvonnasta maksaminen on mukavuus- ja nopeuskysymys. Vuodon jälkeen ratkaisevaa on reagointinopeus, ja hälytys tulee aina nopeammin kuin oma muistaminen.
5. Mistä tietovuodot tulevat
Vuoto ei yleensä johdu sinusta. Tiedot vuotavat palveluista, joihin olet joskus rekisteröitynyt. Verkkokauppaan murtaudutaan, keskustelufoorumin vanha tietokanta varastetaan tai pilvipalvelun asetukset ovat pielessä. Sinä et voi estää näitä, mutta voit rajata vahingot: eri salasana joka palveluun ja kaksivaiheinen tunnistautuminen tärkeimpiin.
Vuotaneita tietoja käytetään kolmella tavalla: tilien kaappaamiseen, roskapostiin ja kohdennettuihin huijauksiin. Erityisesti huijausviestit kannattaa ottaa vakavasti, koska vuodon jälkeen huijari tietää sinusta oikeita asioita ja viesti näyttää siksi uskottavalta. Tunnistamisen merkit kävimme läpi artikkelissa miten tunnistaa phishing-viesti.
Mistä tietovuodot tulevat?
Vuodot tapahtuvat palveluissa, joihin olet rekisteröitynyt, eivät omalla koneellasi. Verkkopalveluun murtaudutaan tai sen tietokanta varastetaan, ja käyttäjien sähköpostit, salasanat ja muut tiedot päätyvät myyntiin. Omalla toiminnallasi et voi estää vuotoa, mutta voit rajata sen seuraukset.
Onko Have I Been Pwned turvallinen käyttää?
On. Palvelu on tietoturva-alalla yleisesti käytetty ja arvostettu, eikä se tallenna hakujasi tai kysy salasanaasi. Kirjoitat vain sähköpostiosoitteen, joka on vuototietokannoissa joka tapauksessa. Samaa tietokantaa käyttävät monet selaimet ja salasanaohjelmat.
Pitääkö kaikki salasanat vaihtaa vuodon jälkeen?
Ei kaikkia, mutta vuotaneen palvelun salasana pitää vaihtaa heti. Lisäksi pitää vaihtaa jokainen tili, jossa käytit samaa tai lähes samaa salasanaa. Jos jokaisella palvelulla on jo oma salasanansa, yksi vuoto ei leviä muualle.
Mitä rikollinen tekee vuotaneella sähköpostiosoitteella?
Pelkällä osoitteella lähetetään roskapostia ja huijausviestejä. Jos mukana vuoti salasana, samaa yhdistelmää kokeillaan automaattisesti muihin palveluihin. Jos vuodossa oli henkilötietoja, niitä voidaan käyttää kohdennettuihin huijauksiin, joissa viesti sisältää oikeita tietoja sinusta.
Poistuvatko tietoni vuodosta jotenkin?
Eivät. Kerran vuotanutta tietoa ei saa pois verkosta, koska sitä kopioidaan ja myydään eteenpäin. Siksi ainoa toimiva strategia on tehdä vuotaneesta tiedosta hyödytön: vaihda salasana, ota kaksivaiheinen tunnistautuminen käyttöön ja pysy valppaana huijausviestien varalta.
Toimituksen suositus
Jatkuva valvonta
F-Secure Total
- Hälyttää tietovuodoista
- Salasananhallinta
- Virustorjunta ja VPN samassa
- Suomenkielinen tuki