Video: Groupon, LivingSocial "deal of the day" pros and cons (Septembra 2024)
Kybernetickí útočníci nedávno porušili systémy LivingSocial a nelegálne získali prístup k informáciám o zákazníkoch pre viac ako 50 miliónov používateľov, uviedol LivingSocial. Používatelia musia okamžite zmeniť svoje heslá.
Ako spoločnosť PCMag.com včera informovala, spoločnosť LivingSocial zaslala e-maily s upozornením na porušenie údajov všetkým postihnutým zákazníkom, v ktorých ich informovala o kybernetickom útoku, ktorý vyústil do neoprávneného prístupu k údajom o zákazníkoch. Podľa LivingSocial bolo potenciálne postihnutých viac ako 50 miliónov účtov, čím sa tento rok stal jedným z najväčších porušení hesla.
V súčasnosti nie je jasné, ako k porušeniu došlo a aké ďalšie informácie boli ukradnuté. Pri takýchto incidentoch sa útočníci zvyčajne prelomia tajnou inštaláciou škodlivého softvéru na zamestnanecké zariadenia a potom sa prepracujú po sieti, až kým nenájdu citlivé systémy, uviedol pre agentúru SecurityWatch George Tubin, hlavný bezpečnostný stratég spoločnosti Trusteer.
Poskytovatelia „by mali od hackerov očakávať, že zacieľujú svoje systémy na získavanie zákazníckych údajov alebo citlivých firemných informácií, “ uviedol Tubin. „Teraz je zrejmé, že títo poskytovatelia jednoducho nerobia dosť pre to, aby chránili informácie svojich zákazníkov, “ uviedol Tubin.
Soľné heslá, ktoré nie sú chránené
Je to dobré znamenie, že LivingSocial hashed a solil svoje heslá, pretože to trochu spomalí útočníkov, ale "to nezabráni" útočníkom v pokusoch a úspešných pri zisťovaní pôvodných hesiel, Ross Barrett, vedúci bezpečnosti inžinierstva na Rapid7, povedal SecurityWatch . Kým solenie spomaľuje proces praskania, „nakoniec útočníci alebo ich sieť získajú informácie, ktoré sledujú, “ uviedol Barrett.
Hašovanie je jednosmerné šifrovanie, pri ktorom vždy získate rovnaký výstup pre určitý vstup, ale nie je možné začať s hashom a zistiť, aký bol pôvodný reťazec. Útočníci sa často spoliehajú na dúhové tabuľky, sériu obrovských slovníkov, ktoré obsahujú každý mysliteľný reťazec (vrátane slovníkových slov, bežných priezvisk, dokonca aj textov piesní) a príslušné hodnoty hash. Útočníci môžu porovnávať hash z tabuľky hesiel s dúhovou tabuľkou, aby našli pôvodný reťazec, ktorý vygeneroval kód.
Salting znamená proces pridávania ďalších informácií do pôvodného vstupného reťazca pred vytvorením hash. Pretože útočník nevie, aké ďalšie kúsky dát sú, praskanie hashov sa stáva ťažším.
Problém je však v tom, že LivingSocial použil SHA1 na vygenerovanie hash, slabého algoritmu. Rovnako ako MD5, ďalší populárny algoritmus, bol SHA1 navrhnutý tak, aby pracoval rýchlo a s minimálnym množstvom výpočtových zdrojov.
Vzhľadom na nedávny pokrok v hardvérových a hackerských technológiách nie sú hash SHA1 ani solené, bez prasklín. LivingSocial by bolo lepšie s bcrypt, scrypt alebo PBKDF-2.
Zmeňte tieto heslá teraz
LivingSocial má preventívne obnovené heslá pre všetkých používateľov a používatelia by si mali zvoliť nové heslá, ktoré sa nepoužívajú nikde inde. Mnoho ľudí má tendenciu opakovane používať rovnaké heslo na rôznych stránkach. Ak používatelia používali heslo LivingSocial na iných weboch, mali by ich tiež okamžite zmeniť. Po prelomení hesiel môžu útočníci vyskúšať heslá proti obľúbeným službám, ako sú e-mail, Facebook a LinkedIn.
„Tieto porušenia sú ďalším pripomenutím, prečo je také dôležité udržiavať dobrú hygienu hesla a používať rôzne heslá pre všetky účty a weby, “ uviedol Barrett.
Útočníci môžu použiť aj dátum narodenia a mená na remeselné phishing a iné kampane sociálneho inžinierstva. Môžu tieto podrobnosti odkázať na používateľov, aby si mysleli, že ide o legitímne správy. Ukradnuté údaje budú „veľkým útokom na útoky“, povedal Barrett.
Porušenie LivingSocial je „ďalšou pripomienkou, že organizácie sa budú aj naďalej zameriavať na svoje cenné údaje o zákazníkoch, “ uviedol Barrett.
