Videó: LivingSocial (November 2024)
A számítógépes támadók nemrégiben megsértették a LivingSocial rendszereit, és több mint 50 millió felhasználó számára illegálisan jutottak el az ügyfelek információihoz - mondta LivingSocial. A felhasználóknak azonnal meg kell változtatniuk a jelszavukat.
Amint a PCMag.com tegnap számolt be, a LivingSocial az érintett ügyfeleknek az adatok megsértéséről szóló e-maileket küldött az ügyfelek adatainak jogosulatlan elérését eredményező kibertámadás útján. A LivingSocial szerint több mint 50 millió fiókot érinthet, ami ezúttal az egyik legnagyobb jelszó-megsértés.
Jelenleg nem világos, hogy a jogsértés hogyan történt, és milyen egyéb információkat loptak el. Az ilyen típusú események során a támadók általában úgy támadnak be, hogy titokban telepítik a rosszindulatú programokat az alkalmazottak eszközére, majd a hálózat körül járnak, amíg érzékeny rendszereket nem találnak - mondta George Tubin, a vagyonkezelő vezető biztonsági stratégiája a SecurityWatch-nek .
A szolgáltatóknak azt kell elvárniuk, hogy a hackerek megcélozzák rendszereiket ügyféladatok vagy érzékeny vállalati információk megszerzése érdekében. Ezen a ponton "nyilvánvaló, hogy ezek a szolgáltatók egyszerűen nem tesznek eleget ügyfeleik információinak védelmére" - mondta Tubin.
Sós, hashed jelszavak, nem repedésmentesek
Jó jel, hogy a LivingSocial kitört és megsózta a jelszavait, mivel ez némileg lelassítja a támadókat, de "nem akadályozza meg" a támadókat abban, hogy megpróbálják kitalálni az eredeti jelszavakat és sikerüljenek, mondta Ross Barrett, a biztonsági igazgató. mérnök a Rapid7-nél, mondta a SecurityWatch . Míg a sózás lelassítja a krakkolási folyamatot, "végül a támadók vagy a hálózatuk megkapja az általuk használt információt" - mondta Barrett.
A hashizálás egyirányú titkosítás, ahol mindig ugyanazt a kimenetet kapja egy adott bemenethez, de nem lehet kivonattal kezdeni, és kitalálni, mi volt az eredeti karakterlánc. A támadók gyakran szivárványtáblákra, óriási szótárak sorozatára támaszkodnak, amelyek minden elképzelhető szöveget tartalmaznak (beleértve a szótárszavakat, a közös vezetékneveket, még a dalszövegeket) és a vonatkozó hash-értékeket. A támadók összehasonlíthatják a jelszó táblázatból a kivonatot a szivárvány táblával, hogy megtalálják a kódot generáló eredeti karakterláncot.
A sózás arra vonatkozik, hogy a kivonat létrehozása előtt az eredeti bemeneti karakterlánchoz extra információkat adjunk. Mivel a támadó nem tudja, mi az extra bitek, a hash-ek feltörése nehezebbé válik.
A probléma azonban az, hogy a LivingSocial az SHA1-et használta a kivonat létrehozására, egy gyenge algoritmusra. Az MD5-hez hasonlóan, egy másik népszerű algoritmushoz, az SHA1-et úgy tervezték, hogy gyorsan és minimális mennyiségű számítási erőforrással működjön.
Figyelembe véve a hardver és a hackelési technológiák közelmúltbeli fejlődését, az SHA1 kivonatok, még sózva is, nem repedésmentesek. A LivingSocial jobb lett volna a bcrypt, scrypt vagy PBKDF-2 esetén.
Most változtassa meg ezeket a jelszavakat
A LivingSocial minden felhasználó számára előzetesen visszaállította a jelszavakat, és a felhasználóknak feltétlenül válasszanak új jelszavakat, amelyeket máshol nem használnak. Sokan hajlamosak ugyanazt a jelszót újrafelhasználni a webhelyek között; Ha a felhasználók a LivingSocial jelszót más webhelyeken használják, akkor ezeket a jelszavakat is azonnal meg kell változtatni. Miután a jelszavak feltörtek, a támadók kipróbálhatják a jelszavakat olyan népszerű szolgáltatások ellen, mint az e-mail, a Facebook és a LinkedIn.
"Ezek a megsértések újabb emlékeztetők, miért olyan fontos a jó jelszó-higiénia fenntartása és a különböző jelszavak használata minden fiókhoz és webhelyhez" - mondta Barrett.
A támadók a születési idejét és a nevét is használhatják az adathalászat és más társadalmi mérnöki kampányok készítéséhez. Ezekre a részletekre hivatkozva megtévesztheti a felhasználókat abban, hogy azt gondolják, hogy ezek legitim üzenetek. Az ellopott adatok "nagyon hosszú ideig erőszakos támadások" - mondta Barrett.
A LivingSocial megsértése "újabb emlékeztető arra, hogy a szervezeteket továbbra is megcélozzák értékes vásárlói adataikkal" - mondta Barrett.
