[ Zavřít ] 


 

RSS Kanál

 

Mall.cz napadli hackeři

„Dobrý den, píšeme Vám, protože Vaše původní heslo k Mall.cz už nefunguje,“ začíná email, který zákazníkům zmíněného eshopu dává vědět, že bezpečnost jejich přihlašovacích údajů může být v ohrožení. A špatné zprávy nekončí: „Pro jistotu jsme se rozhodli ho z bezpečnostních důvodů zrušit, zaznamenali jsme totiž pokus o narušení bezpečnosti...“

 

Někdo se dostal k loginům 750 000 zákazníků Mall.cz (Zdroj: Pixabay.com)

Pokus o narušení bezpečnosti se patrně přímo týká něco přes 750 tisíc uživatelů Mall.cz. Alespoň to naznačuje stránka Pastebin - místo pro sdílení textů, a především kódu. Soubor obsahující přihlašovací jméno a heslo se nacházel na https://uloz.to/!mEj1bjcEENtX/mallcz-accounts-emails-passwords-zip. Ulož.to daný soubor smazalo okamžitě po upozornění na to, co se na jeho serverech nachází. 

Jeden z prvních, kdo na možný útok upozornil, byl Michal Špaček

Kromě kombinace přihlašovacího jména a hesla unikly i jméno, příjmení, e-mail a části uživatelů i telefonní číslo. V ohrožení jsou především zákazníci, kteří svůj účet zakládali v roce 2014 a dříve. „Pokud jste svůj účet zakládali v roce 2015 a později, tato situace se vás s největší pravděpodobností netýká, narušení bezpečnosti se vztahuje na starší databázi zákaznických účtů,“ upřesňuje Mall. „Stejně tak vám nejspíš nic nehrozí, pokud jste volili silné heslo podle aktuálních bezpečnostních standardů. Pro jistotu se ale můžete obrátit na náš zákaznický servis, který podle vaší e-mailové adresy zjistí aktuální stav vašeho zákaznického účtu.“ Krom požadavku na servis by se na webu Mallu měla objevit aplikace umožňující okamžitě ověření, zda došlo ke kompromitaci zabezpečení daného účtu. 

Odkaz na soubor obsahující databázi uniklých loginů bylo možno najít na Pastebin.com

Celá situace nasvědčuje tomu, že unikla databáze uživatelských jmen a hesel v podobě hashů, což potvrzuje i Jan Řezáč, mluvčí Mall: „Část databáze obsahovala jednoduchá hesla, která neodpovídají bezpečnostním zásadám. V systému dochází k tzv. ‚hashování hesel‘, kdy jsou hesla uložena v zakódované podobě. Dotčená databáze byla zakódována starším a již nepoužívaným způsobem, který útočníkovi umožnil jednodušší hesla rozkódovat.“

Mall vývoj zabezpečení přihlašovacích údajů zákazníků komentuje: „Od listopadu 2012 jsme bezpečnost hesel zajišťovali hashovací metodou SHA1 + unikátní solí a od října 2016 chráníme přístupové údaje jednou z nejsilnějších hashovacích metod bcrypt. Do roku 2012 byly údaje hashovány metodou MD5, která dnes již není považována za bezpečnou. Většina prolomených hesel pochází právě z doby, kdy byla používána tato metoda. U starších účtů jsme proto změnili heslo a automaticky je převedli na zmiňovanou nejnovější hashovací metodu bcrypt, kterou aktuálně chráníme přístupové údaje všech účtů.“

Mall ujišťuje své klienty o tom, že v ohrožení není ani jejich platební karta v systému PayU: „Ne, zneužití platební karty nehrozí. v klientském centru Mall.cz, ani nikde jinde, nejsou ukládány údaje, přes které je možné provést platbu.“ Nicméně v ohrožení platební údaje mohou být jinde - to pokud uživatelé používají stejné přihlašovací údaje i do jiných služeb. Proto je vhodné tyto potenciálně kompromitované údaje všude změnit. Obnovit své heslo na Mall můžete přímo na webu Mall.cz. Inspiraci jeho podoby hledejte v článku Byrokratova pravidla na hesla jsou stupidní.

Krom okamžitého zablokování postižených účtů, kontaktování zákazníků a vývoje webové aplikace pro kontrolu napadení Mall kontaktoval Úřad pro ochranu osobních údajů a připravuje trestní oznámení na neznámého pachatele.

Zdroje: Blog Mall.cz, Pastebin.com

 

 

 

 

 

Lazy loading - nativní podpora v Chrome 76

Odložené načítání (alias lazy loading) se v Chrome dočkalo nativní podpory na straně prohlížeče. Přímo, bez dodatečných technologií, bez zásahů do experimentálních nastavení prohlížeče. Co toto odložené načítání nejen...

Chrome usnadní sdílení odkazů i obsahu schránky

Vývojáři Google Chrome přemýšlejí nad tím, jak urychlit sdílení operačních informací mezi jednotlivými instancemi prohlížeče téhož uživatele na různých zařízeních. A to způsobem okamžitým, nikoliv přes funkce typu synchronizace. Ve...

Počasí.cz redesignovalo

Počasí.cz se po letech vrací k zevrubnějšímu podání informací. Po sedmi letech zjednodušeného zobrazení lokality, teploty, srážek a jejich vývoje v průběhu dne a týdne, nyní implementuje realtimová data z Windy.com, a to včetně velmi...

Seznam prolinkoval s Booking.com i Firmy.cz

Seznam pokračuje v monetizaci svých platforem spoluprací s rezervačním portálem Booking.com. Nově provizní odkazy na Booking.com přidává i do svého katalogu domácích firem Firmy.cz, a v to podobě affiliate boxíků s hodnocením, náznakem fotek a výzvou k...


 
© 2005-2019 PS Media s.r.o. - digital world