Mall.cz napadli hackeři„Dobrý den, píšeme Vám, protože Vaše původní heslo k Mall.cz už nefunguje,“ začíná email, který zákazníkům zmíněného eshopu dává vědět, že bezpečnost jejich přihlašovacích údajů může být v ohrožení. A špatné zprávy nekončí: „Pro jistotu jsme se rozhodli ho z bezpečnostních důvodů zrušit, zaznamenali jsme totiž pokus o narušení bezpečnosti...“
Pokus o narušení bezpečnosti se patrně přímo týká něco přes 750 tisíc uživatelů Mall.cz. Alespoň to naznačuje stránka Pastebin - místo pro sdílení textů, a především kódu. Soubor obsahující přihlašovací jméno a heslo se nacházel na https://uloz.to/!mEj1bjcEENtX/mallcz-accounts-emails-passwords-zip. Ulož.to daný soubor smazalo okamžitě po upozornění na to, co se na jeho serverech nachází.
Kromě kombinace přihlašovacího jména a hesla unikly i jméno, příjmení, e-mail a části uživatelů i telefonní číslo. V ohrožení jsou především zákazníci, kteří svůj účet zakládali v roce 2014 a dříve. „Pokud jste svůj účet zakládali v roce 2015 a později, tato situace se vás s největší pravděpodobností netýká, narušení bezpečnosti se vztahuje na starší databázi zákaznických účtů,“ upřesňuje Mall. „Stejně tak vám nejspíš nic nehrozí, pokud jste volili silné heslo podle aktuálních bezpečnostních standardů. Pro jistotu se ale můžete obrátit na náš zákaznický servis, který podle vaší e-mailové adresy zjistí aktuální stav vašeho zákaznického účtu.“ Krom požadavku na servis by se na webu Mallu měla objevit aplikace umožňující okamžitě ověření, zda došlo ke kompromitaci zabezpečení daného účtu.
Celá situace nasvědčuje tomu, že unikla databáze uživatelských jmen a hesel v podobě hashů, což potvrzuje i Jan Řezáč, mluvčí Mall: „Část databáze obsahovala jednoduchá hesla, která neodpovídají bezpečnostním zásadám. V systému dochází k tzv. ‚hashování hesel‘, kdy jsou hesla uložena v zakódované podobě. Dotčená databáze byla zakódována starším a již nepoužívaným způsobem, který útočníkovi umožnil jednodušší hesla rozkódovat.“ Mall vývoj zabezpečení přihlašovacích údajů zákazníků komentuje: „Od listopadu 2012 jsme bezpečnost hesel zajišťovali hashovací metodou SHA1 + unikátní solí a od října 2016 chráníme přístupové údaje jednou z nejsilnějších hashovacích metod bcrypt. Do roku 2012 byly údaje hashovány metodou MD5, která dnes již není považována za bezpečnou. Většina prolomených hesel pochází právě z doby, kdy byla používána tato metoda. U starších účtů jsme proto změnili heslo a automaticky je převedli na zmiňovanou nejnovější hashovací metodu bcrypt, kterou aktuálně chráníme přístupové údaje všech účtů.“ Mall ujišťuje své klienty o tom, že v ohrožení není ani jejich platební karta v systému PayU: „Ne, zneužití platební karty nehrozí. v klientském centru Mall.cz, ani nikde jinde, nejsou ukládány údaje, přes které je možné provést platbu.“ Nicméně v ohrožení platební údaje mohou být jinde - to pokud uživatelé používají stejné přihlašovací údaje i do jiných služeb. Proto je vhodné tyto potenciálně kompromitované údaje všude změnit. Obnovit své heslo na Mall můžete přímo na webu Mall.cz. Inspiraci jeho podoby hledejte v článku Byrokratova pravidla na hesla jsou stupidní. Krom okamžitého zablokování postižených účtů, kontaktování zákazníků a vývoje webové aplikace pro kontrolu napadení Mall kontaktoval Úřad pro ochranu osobních údajů a připravuje trestní oznámení na neznámého pachatele. Zdroje: Blog Mall.cz, Pastebin.com
Daniel Beránek, 28.08.2017 17:15 Spotify rozšiřuje hranice personalizované hudby zaváděním AI playlistů, což je beta funkce umožňující Premium uživatelům ve Spojeném království a Austrálii transformovat jakýkoliv nápad na perfektně na míru šitý playlist. Díky... Microsoft a OpenAI chystají postavit datacentrum se superpočítačem za 100 miliard dolarů. Ambiciózní projekt, známý jako Stargate, slibuje posunout hranice toho, co je možné v datovém zpracování a umělé inteligenci. S plánovaným spuštěním... Svět technologií je opět v pohybu, přičemž gigant Google vážně uvažuje o zásadním kroku - zpoplatnění pokročilých funkcí vyhledávání, které využívají umělou inteligenci (AI). Takovýto krok by mohl změnit základy toho, jak... Opera se snaží co nejvíce využít vlnu AI. Nabízí nejen vlastní AI asistentku Ariu, ale jejím prostřednictvím i spoustu dalších funkcí. Nyní přichází s podporou lokálně spustitelných velkých jazykových modelů, což... |
