RSS Kanál

 

Mall.cz napadli hackeři

„Dobrý den, píšeme Vám, protože Vaše původní heslo k Mall.cz už nefunguje,“ začíná email, který zákazníkům zmíněného eshopu dává vědět, že bezpečnost jejich přihlašovacích údajů může být v ohrožení. A špatné zprávy nekončí: „Pro jistotu jsme se rozhodli ho z bezpečnostních důvodů zrušit, zaznamenali jsme totiž pokus o narušení bezpečnosti...“

 

Někdo se dostal k loginům 750 000 zákazníků Mall.cz (Zdroj: Pixabay.com)

Pokus o narušení bezpečnosti se patrně přímo týká něco přes 750 tisíc uživatelů Mall.cz. Alespoň to naznačuje stránka Pastebin - místo pro sdílení textů, a především kódu. Soubor obsahující přihlašovací jméno a heslo se nacházel na https://uloz.to/!mEj1bjcEENtX/mallcz-accounts-emails-passwords-zip. Ulož.to daný soubor smazalo okamžitě po upozornění na to, co se na jeho serverech nachází. 

Jeden z prvních, kdo na možný útok upozornil, byl Michal Špaček

Kromě kombinace přihlašovacího jména a hesla unikly i jméno, příjmení, e-mail a části uživatelů i telefonní číslo. V ohrožení jsou především zákazníci, kteří svůj účet zakládali v roce 2014 a dříve. „Pokud jste svůj účet zakládali v roce 2015 a později, tato situace se vás s největší pravděpodobností netýká, narušení bezpečnosti se vztahuje na starší databázi zákaznických účtů,“ upřesňuje Mall. „Stejně tak vám nejspíš nic nehrozí, pokud jste volili silné heslo podle aktuálních bezpečnostních standardů. Pro jistotu se ale můžete obrátit na náš zákaznický servis, který podle vaší e-mailové adresy zjistí aktuální stav vašeho zákaznického účtu.“ Krom požadavku na servis by se na webu Mallu měla objevit aplikace umožňující okamžitě ověření, zda došlo ke kompromitaci zabezpečení daného účtu. 

Odkaz na soubor obsahující databázi uniklých loginů bylo možno najít na Pastebin.com

Celá situace nasvědčuje tomu, že unikla databáze uživatelských jmen a hesel v podobě hashů, což potvrzuje i Jan Řezáč, mluvčí Mall: „Část databáze obsahovala jednoduchá hesla, která neodpovídají bezpečnostním zásadám. V systému dochází k tzv. ‚hashování hesel‘, kdy jsou hesla uložena v zakódované podobě. Dotčená databáze byla zakódována starším a již nepoužívaným způsobem, který útočníkovi umožnil jednodušší hesla rozkódovat.“

Mall vývoj zabezpečení přihlašovacích údajů zákazníků komentuje: „Od listopadu 2012 jsme bezpečnost hesel zajišťovali hashovací metodou SHA1 + unikátní solí a od října 2016 chráníme přístupové údaje jednou z nejsilnějších hashovacích metod bcrypt. Do roku 2012 byly údaje hashovány metodou MD5, která dnes již není považována za bezpečnou. Většina prolomených hesel pochází právě z doby, kdy byla používána tato metoda. U starších účtů jsme proto změnili heslo a automaticky je převedli na zmiňovanou nejnovější hashovací metodu bcrypt, kterou aktuálně chráníme přístupové údaje všech účtů.“

Mall ujišťuje své klienty o tom, že v ohrožení není ani jejich platební karta v systému PayU: „Ne, zneužití platební karty nehrozí. v klientském centru Mall.cz, ani nikde jinde, nejsou ukládány údaje, přes které je možné provést platbu.“ Nicméně v ohrožení platební údaje mohou být jinde - to pokud uživatelé používají stejné přihlašovací údaje i do jiných služeb. Proto je vhodné tyto potenciálně kompromitované údaje všude změnit. Obnovit své heslo na Mall můžete přímo na webu Mall.cz. Inspiraci jeho podoby hledejte v článku Byrokratova pravidla na hesla jsou stupidní.

Krom okamžitého zablokování postižených účtů, kontaktování zákazníků a vývoje webové aplikace pro kontrolu napadení Mall kontaktoval Úřad pro ochranu osobních údajů a připravuje trestní oznámení na neznámého pachatele.

Zdroje: Blog Mall.cz, Pastebin.com

 

Daniel Beránek, 28.08.2017 17:15

 

 

 

 

Tsunami Bitcoinu bylo zmanipulované

Dramatické vzrůsty Bitcoinu a dalších kryptoměn minulého roku nebyly způsobeny nárůstem jakékoliv hodnoty stojící za nimi, ani skutečným determinantem hodnoty - tedy tržním mechanismem převisu poptávky, ale tím, co se děje na každé...

Co všechno o nás Facebook ví?

O tom, že Facebook o svých uživatelích sbírá nějaké informace, ví každý. O posledních aférách Facebooku spojených s externími firmami, které jeho data zneužívaly pro diferenciální cílení různorodých, přesto...

Chrome 67: kroky vstříc budoucnosti

Šedesáté sedmé Chrome přináší hned několik zásadních novinek, jejichž dopad nemusí být okamžitě zřejmý, neboť ani sám nebude okamžitý. V hlubinách prohlížeče se nově ukrývá podpora pro aplikace rozšířené...

Webable: úspěch slovenského prohlížeče pro nevidomé

Studentům z Bratislavy se podařilo dostat se celoevropského kola soutěže Imagine Cup pořádané Microsoftem. Odbornou porotu zaujali projektem prohlížeče pro nevidomé Webable. Ten je designován tak, aby nevidomým co nejvíce usnadnil práci při brouzdání internetem. O...


 
© 2005-2018 PS Media s.r.o. - digital world