Vita a Gmail biztonsági figyelmeztetéséről: mi is történt valójában?
Gyakorlatilag minden jelentősebb tech (és nem csak tech) híroldal nemrégiben beszámolt egy biztonsági figyelmeztetésről, amely kiment — vagy nem ment ki — pár milliárd Gmail-felhasználónak, és amely a jelszavuk megváltoztatására szólította fel őket. Röviden: valóban történt adatsértés, és a Google el is ismerte, de a cég állítja, hogy az elkövetők csak bizonyos üzleti kapcsolattartási adatokat és neveket szereztek meg, nem pedig Gmail-hozzáférési adatokat. Ez azonban nem jelenti azt, hogy ne kellene megváltoztatnod a Gmail-jelszavadat: ezt érdemes rendszeresen megtenni, a biztonság kedvéért, függetlenül attól, hogy be van-e kapcsolva a 2FA vagy sem.
Érdekel a teljes történet? Olvass tovább.
A tényleges adatsértés, amely a Gmail-jelszófigyelmeztetésről szóló beszámolókat kiváltotta
2025 elején a ShinyHunters néven ismert hackercsoport feltörte a Google egyik Salesforce-adatbázisát, és ismeretlen számú felhasználó adatait lopta el (legalábbis mi nem találtuk meg a pontos számot). Az információ, ahogy fentebb említettük, üzleti kapcsolattartási adatokból és nevekből állt.
A Google elismerte az adatsértést, és pontosította, hogy egy Salesforce-bővítményen keresztül történt. 2025 augusztusának elejére a vállalat befejezte az érintettek értesítését.
Úgy tűnik azonban, hogy a média félreértelmezte a helyzetet: megjelentek olyan beszámolók, amelyek az említett incidenst a Google állítólagos tömeges riasztásához kapcsolták, amely a Gmail-felhasználókat — mind a több mint 2,5 milliárdjukat — jelszócserére szólította fel.
A hírek vírusszerűen terjedtek, és reakcióra kényszerítették a céget: 2025. szeptember 1-jén a Google bejegyzést tett közzé a Workspace blogján “A Gmail védelmei erősek és hatékonyak, és a jelentős Gmail-biztonsági figyelmeztetésről szóló állítások hamisak” címmel. A bejegyzésben a vállalat cáfolja, hogy valaha is kiküldött volna ilyen riasztást, és pontatlannak nevezi az erre vonatkozó állításokat. Emellett a Google kitart amellett, hogy “védelmi megoldásaik továbbra is a felhasználókhoz jutás előtt blokkolják az adathalászati és rosszindulatú programokkal végzett kísérletek több mint 99,9%-át.”
Hogyan védd meg magad az adathalászattól és a telefonos adathalászattól (vishing)?
Ezeket a támadástípusokat már tárgyaltuk a “Társadalommérnökség a hackelésben: gyakori módszerek és védekezések” című cikkben; ha kihagytad, olvasd el, értékes információkat tartalmaz. Rövid összefoglalóként íme néhány józan ész diktálta módszer az ilyen rosszindulatú próbálkozások elleni védekezésre.
Bízz, de ellenőrizz; még jobb, ha nem bízol. Ha egy levél akár csak enyhén is gyanús — kéretlen reklám, vagy egy ismerőstől érkező váratlan ajánlat is ennek minősül —, ne kattints a benne lévő hivatkozásokra.
Kapcsold be a kétlépcsős azonosítást, ahol csak lehet, és az SMS helyett használj hitelesítő alkalmazásokat. Fontold meg a passkey-kre való áttérést, ez előbb-utóbb úgyis meg fog történni.
Használj jelszókezelőt, állítsd be megfelelően a tűzfaladat, fontold meg egy VPN-előfizetés beszerzését, és alakíts ki rendszeres biztonsági mentési rutint — összességében kövesd az általunk adott tanácsokat a “Kiberbiztonság mindenkinek: bevált gyakorlatok és eszközök” című cikkben.
Maradj biztonságban!
