A RockYou.txt szólista egy 2009-es támadásból származik. A névadó RockYou – egy közösségi alkalmazás- és hirdetési hálózat – pusztító kibertámadást szenvedett el, amelynek következtében több mint 32 millió felhasználó jelszava került nyilvánosságra. Mivel a jelszavakat egyszerű szöveges formában tárolták, a támadók könnyű prédájává váltak. Az összeállítást azóta is bővítik.
A biztonsági mérnökök, behatolásvizsgálók és az IT adminisztrátorok a RockYou.txt szólistát is használják a hálózati és rendszerbiztonság erősségének tesztelésére. Azáltal, hogy a szólista segítségével megpróbálják feltörni a kódolt jelszavakat vagy áttörni a hálózati védelmet, ezek a szakemberek azonosíthatják a gyenge jelszavakat és a rendszer sebezhetőségeit. A RockYou.txt szólistát gyakran használják olyan eszközökkel, mint a John the Ripper vagy a Hashcat.
Bár a RockYou.txt szólista értékes a biztonsági szakemberek számára, a hackerek kezében fegyverként is szolgál. A támadók a tízmilliárdos RockYou2024 összeállítást arra használhatják, hogy bármilyen rendszert célba vegyenek bruteforce támadásokkal. Ebben az online és offline szolgáltatásoktól kezdve az internetre kitett kamerákon át az ipari hardverekig minden beletartozik.
A kiszivárgott e-mail címeket és egyéb hitelesítő adatokat tartalmazó adatbázisokkal kombinálva a RockYou2024 hozzájárulhat az adatbetörésekhez, pénzügyi csalásokhoz és személyazonosság lopásokhoz.
A RockYou2024 ezévben a második legnagyobb kiszivárgott összeállítás. Az év elején a Cybernews felfedezte az eddigi legnagyobb adatszivárgást (MOAB), amely 12 terabájtnyi információt tartalmazott, és több mint 26 milliárd rekordot ölelt fel.
A lehetséges érintettség a haveibeenpwned oldal segítségével ellenőrizhető. Amennyiben történt kompromittálódás és lehetséges, akkor az oldal azonosítja a forrást is.
A RockYou.txt szólista és a hozzá hasonló eszközök által jelentett veszélyek rávilágítanak a megbízható jelszókezelés fontosságára.
Debreceni Egyetem Informatikai Biztonsági Központ javaslatai a tudatos jelszókezelés fontosságára hívja fel a figyelmet:
- javasolt a hosszú és összetett jelszó használata, amely tartalmaz kis- és nagybetűt, számot, speciális karaktert,
- kifejezéseket használni jelszóként,
- eltérő szolgáltatásokhoz javasolt eltérő jelszavak alkalmazása,
- amennyiben van rá lehetősége, engedélyezze a kétfaktoros azonosítást (amikor a belépéshez egy, a telefonra elküldött kód is szükséges a jelszó mellett), amely jelentősen megnöveli a biztonságot.
- kerülendő a nyílt, vagy ingyenes WiFi használata, amennyiben mégis erre van szükség javasolt valamilyen VPN szolgáltatás igénybe vétele, hogy a kommunikáció védett csatornán történjen.
- rendszeresen változtassa jelszavait.