RSS Kanál

 

Mall.cz napadli hackeři

„Dobrý den, píšeme Vám, protože Vaše původní heslo k Mall.cz už nefunguje,“ začíná email, který zákazníkům zmíněného eshopu dává vědět, že bezpečnost jejich přihlašovacích údajů může být v ohrožení. A špatné zprávy nekončí: „Pro jistotu jsme se rozhodli ho z bezpečnostních důvodů zrušit, zaznamenali jsme totiž pokus o narušení bezpečnosti...“

 

Někdo se dostal k loginům 750 000 zákazníků Mall.cz (Zdroj: Pixabay.com)

Pokus o narušení bezpečnosti se patrně přímo týká něco přes 750 tisíc uživatelů Mall.cz. Alespoň to naznačuje stránka Pastebin - místo pro sdílení textů, a především kódu. Soubor obsahující přihlašovací jméno a heslo se nacházel na https://uloz.to/!mEj1bjcEENtX/mallcz-accounts-emails-passwords-zip. Ulož.to daný soubor smazalo okamžitě po upozornění na to, co se na jeho serverech nachází. 

Jeden z prvních, kdo na možný útok upozornil, byl Michal Špaček

Kromě kombinace přihlašovacího jména a hesla unikly i jméno, příjmení, e-mail a části uživatelů i telefonní číslo. V ohrožení jsou především zákazníci, kteří svůj účet zakládali v roce 2014 a dříve. „Pokud jste svůj účet zakládali v roce 2015 a později, tato situace se vás s největší pravděpodobností netýká, narušení bezpečnosti se vztahuje na starší databázi zákaznických účtů,“ upřesňuje Mall. „Stejně tak vám nejspíš nic nehrozí, pokud jste volili silné heslo podle aktuálních bezpečnostních standardů. Pro jistotu se ale můžete obrátit na náš zákaznický servis, který podle vaší e-mailové adresy zjistí aktuální stav vašeho zákaznického účtu.“ Krom požadavku na servis by se na webu Mallu měla objevit aplikace umožňující okamžitě ověření, zda došlo ke kompromitaci zabezpečení daného účtu. 

Odkaz na soubor obsahující databázi uniklých loginů bylo možno najít na Pastebin.com

Celá situace nasvědčuje tomu, že unikla databáze uživatelských jmen a hesel v podobě hashů, což potvrzuje i Jan Řezáč, mluvčí Mall: „Část databáze obsahovala jednoduchá hesla, která neodpovídají bezpečnostním zásadám. V systému dochází k tzv. ‚hashování hesel‘, kdy jsou hesla uložena v zakódované podobě. Dotčená databáze byla zakódována starším a již nepoužívaným způsobem, který útočníkovi umožnil jednodušší hesla rozkódovat.“

Mall vývoj zabezpečení přihlašovacích údajů zákazníků komentuje: „Od listopadu 2012 jsme bezpečnost hesel zajišťovali hashovací metodou SHA1 + unikátní solí a od října 2016 chráníme přístupové údaje jednou z nejsilnějších hashovacích metod bcrypt. Do roku 2012 byly údaje hashovány metodou MD5, která dnes již není považována za bezpečnou. Většina prolomených hesel pochází právě z doby, kdy byla používána tato metoda. U starších účtů jsme proto změnili heslo a automaticky je převedli na zmiňovanou nejnovější hashovací metodu bcrypt, kterou aktuálně chráníme přístupové údaje všech účtů.“

Mall ujišťuje své klienty o tom, že v ohrožení není ani jejich platební karta v systému PayU: „Ne, zneužití platební karty nehrozí. v klientském centru Mall.cz, ani nikde jinde, nejsou ukládány údaje, přes které je možné provést platbu.“ Nicméně v ohrožení platební údaje mohou být jinde - to pokud uživatelé používají stejné přihlašovací údaje i do jiných služeb. Proto je vhodné tyto potenciálně kompromitované údaje všude změnit. Obnovit své heslo na Mall můžete přímo na webu Mall.cz. Inspiraci jeho podoby hledejte v článku Byrokratova pravidla na hesla jsou stupidní.

Krom okamžitého zablokování postižených účtů, kontaktování zákazníků a vývoje webové aplikace pro kontrolu napadení Mall kontaktoval Úřad pro ochranu osobních údajů a připravuje trestní oznámení na neznámého pachatele.

Zdroje: Blog Mall.cz, Pastebin.com

 

Daniel Beránek, 28.08.2017 17:15

 

 

 

 

Útok skrz CCleaner byl zákeřnější, než se zdálo

V minulých dnech bezpečnostní experti společností MorphiSec, Cisco Talos a Avastu zjistili, že CCleaner v5.33 byl kompromitován backdoorem. Ač sbíral a odesílal informace o napadených zařízeních, zdálo se, že byly útočné prostředky zneškodněny dříve,...

Vivaldi 1.12: více informací a přizpůsobení

Stabilní Vivaldi 1.12 už přináší nedávno otestovanou fičurku zpřístupňující veškeré možné informace o obrázkových formátech na webu. O maximalizaci informací se snaží i přepracovaný správce stahování. A to...

Avast zveřejnil detaily hacku CCleaneru

Avast jménem svého CEO Vince Stecklera a CTO Ondřeje Vlčka zveřejnil bližší informace týkající se hackerského útoku na CCleaner a jeho uživatele. Ty poukazují na to, že Piriform byl napaden už před akvizicí Avastem, napadený CCleaner byl uvolněn až měsíc...

Baba Jaga si to uloží na později aneb aktualizace prohlížeče Seznamu

Prohlížeč Seznam.cz aktualizoval na verzi 4.1.1 Baba Jaga. Koš s hejblátky téhle ježibabky se rozrostl o funkci uložení textů a videí na později. Jak tato funkce funguje? A bude její implementace stačit k získání dalších členů uživatelské základny? ...

 

 
© 2005-2017 PS Media s.r.o. - digital world