[ Zavřít ] 


 

RSS Kanál

 

Mall.cz napadli hackeři

„Dobrý den, píšeme Vám, protože Vaše původní heslo k Mall.cz už nefunguje,“ začíná email, který zákazníkům zmíněného eshopu dává vědět, že bezpečnost jejich přihlašovacích údajů může být v ohrožení. A špatné zprávy nekončí: „Pro jistotu jsme se rozhodli ho z bezpečnostních důvodů zrušit, zaznamenali jsme totiž pokus o narušení bezpečnosti...“

 

Někdo se dostal k loginům 750 000 zákazníků Mall.cz (Zdroj: Pixabay.com)

Pokus o narušení bezpečnosti se patrně přímo týká něco přes 750 tisíc uživatelů Mall.cz. Alespoň to naznačuje stránka Pastebin - místo pro sdílení textů, a především kódu. Soubor obsahující přihlašovací jméno a heslo se nacházel na https://uloz.to/!mEj1bjcEENtX/mallcz-accounts-emails-passwords-zip. Ulož.to daný soubor smazalo okamžitě po upozornění na to, co se na jeho serverech nachází. 

Jeden z prvních, kdo na možný útok upozornil, byl Michal Špaček

Kromě kombinace přihlašovacího jména a hesla unikly i jméno, příjmení, e-mail a části uživatelů i telefonní číslo. V ohrožení jsou především zákazníci, kteří svůj účet zakládali v roce 2014 a dříve. „Pokud jste svůj účet zakládali v roce 2015 a později, tato situace se vás s největší pravděpodobností netýká, narušení bezpečnosti se vztahuje na starší databázi zákaznických účtů,“ upřesňuje Mall. „Stejně tak vám nejspíš nic nehrozí, pokud jste volili silné heslo podle aktuálních bezpečnostních standardů. Pro jistotu se ale můžete obrátit na náš zákaznický servis, který podle vaší e-mailové adresy zjistí aktuální stav vašeho zákaznického účtu.“ Krom požadavku na servis by se na webu Mallu měla objevit aplikace umožňující okamžitě ověření, zda došlo ke kompromitaci zabezpečení daného účtu. 

Odkaz na soubor obsahující databázi uniklých loginů bylo možno najít na Pastebin.com

Celá situace nasvědčuje tomu, že unikla databáze uživatelských jmen a hesel v podobě hashů, což potvrzuje i Jan Řezáč, mluvčí Mall: „Část databáze obsahovala jednoduchá hesla, která neodpovídají bezpečnostním zásadám. V systému dochází k tzv. ‚hashování hesel‘, kdy jsou hesla uložena v zakódované podobě. Dotčená databáze byla zakódována starším a již nepoužívaným způsobem, který útočníkovi umožnil jednodušší hesla rozkódovat.“

Mall vývoj zabezpečení přihlašovacích údajů zákazníků komentuje: „Od listopadu 2012 jsme bezpečnost hesel zajišťovali hashovací metodou SHA1 + unikátní solí a od října 2016 chráníme přístupové údaje jednou z nejsilnějších hashovacích metod bcrypt. Do roku 2012 byly údaje hashovány metodou MD5, která dnes již není považována za bezpečnou. Většina prolomených hesel pochází právě z doby, kdy byla používána tato metoda. U starších účtů jsme proto změnili heslo a automaticky je převedli na zmiňovanou nejnovější hashovací metodu bcrypt, kterou aktuálně chráníme přístupové údaje všech účtů.“

Mall ujišťuje své klienty o tom, že v ohrožení není ani jejich platební karta v systému PayU: „Ne, zneužití platební karty nehrozí. v klientském centru Mall.cz, ani nikde jinde, nejsou ukládány údaje, přes které je možné provést platbu.“ Nicméně v ohrožení platební údaje mohou být jinde - to pokud uživatelé používají stejné přihlašovací údaje i do jiných služeb. Proto je vhodné tyto potenciálně kompromitované údaje všude změnit. Obnovit své heslo na Mall můžete přímo na webu Mall.cz. Inspiraci jeho podoby hledejte v článku Byrokratova pravidla na hesla jsou stupidní.

Krom okamžitého zablokování postižených účtů, kontaktování zákazníků a vývoje webové aplikace pro kontrolu napadení Mall kontaktoval Úřad pro ochranu osobních údajů a připravuje trestní oznámení na neznámého pachatele.

Zdroje: Blog Mall.cz, Pastebin.com

 

 

 

 

 

Antiviry budou chránit Windows 7 další 2 roky

Konec podpory Windows 7 ze strany Microsoftu rozvířil poklidné vody internetového života. Zatímco mnozí se domnívají, že konec podpory vývojáře nic neznamená, experti na IT security z nezávislých laboratoří AV-TEST kontaktovali vývojáře objektů,...

Avast prodával své uživatele marketérům

Každé ZADARMO bývá zaplaceno. Což právě dokázal Avast všem uživatelům antivirů Avast FREE a AVG FREE. Jak se portálu PCMag a Motherboard podařilo zjistit, prodával Avast data shromážděná mimo jiné i prostřednictvím bezplatných verzí produktů Avast...

Kyberhrozby 2020

Rok 2020 vyhlíží implementaci nových technologií, které pozmění způsoby, kterými chápeme je, sebe samé i svět. Bezprostřední přítomnost informací se bude v důsledcích rovnat neskutečnému nárůstu vstupních bodů všemožných...

AIRBUS a KOMP: PČR proti darknetu

Policie České republiky rozbila sny fanouškům seriálu Jak prodávat drogy přes internet (rychle). Že nejsou nedohledatelní, nekontrolovatelní a schopni zneužívat služeb dopravců se Národní protidrogové centrále podařilo dokázat ve spolupráci s...


 
© 2005-2020 PS Media s.r.o. - digital world