Відео: Groupon, LivingSocial "deal of the day" pros and cons (Вересень 2024)
Кібер-зловмисники нещодавно порушили системи LivingSocial і незаконно отримали доступ до інформації про клієнтів для більш ніж 50 мільйонів користувачів, повідомляє LivingSocial. Користувачам потрібно негайно змінити свої паролі.
Як повідомляло PCMag.com вчора, LivingSocial надсилає електронні листи із повідомленнями про порушення даних усім постраждалим клієнтам, повідомляючи їх про кібератаку, внаслідок якої несанкціонований доступ до даних клієнтів. За даними LivingSocial, потенційно постраждали понад 50 мільйонів акаунтів, що зробило це одним із найбільших порушень паролів цього року.
Наразі не ясно, як сталося порушення та які інші відомості були викрадені. У таких випадках інцидентів зловмисники вриваються, таємно встановлюючи зловмисне програмне забезпечення на пристрої службовців, а потім обмінюються мережею, поки вони не знайдуть чутливі системи, розповів SecurityWatch Джордж Тубін, старший стратег з безпеки компанії Trusteer.
Постачальники "повинні очікувати, що хакери націлять свої системи на отримання даних про клієнтів або конфіденційну корпоративну інформацію", - сказав Тубін. На даний момент "очевидно, що ці провайдери просто недостатньо роблять для захисту інформації своїх клієнтів", - сказав Тубін.
Солоні, розмиті паролі не захищені від зламу
Це хороший знак того, що LivingSocial хеширував і солив свої паролі, оскільки це дещо уповільнить нападників, але "це не зупинить" нападників на спроби та успіх у з'ясуванні оригінальних паролів, Росс Барретт, старший менеджер з безпеки повідомили SecurityWatch . Хоча засолювання уповільнює процес розтріскування, "зрештою, зловмисники або їх мережа отримають інформацію, яку вони шукають", - сказав Барретт.
Хешинг - це одностороннє шифрування, де ви завжди отримуєте однаковий вихід для певного вводу, але почати з хешу і опрацювати, який був початковий рядок, неможливо. Зловмисники часто покладаються на райдужні таблиці, серію неосяжних словників, що містять усі мислимі рядки (включаючи слова словника, загальні прізвища, навіть пісні пісень) та відповідні хеш-значення. Зловмисники можуть зіставити хеш із таблиці паролів із таблицею веселки, щоб знайти оригінальну рядок, який створив код.
Соління відноситься до процесу додавання додаткової інформації до вихідного рядка введення перед створенням хеша. Оскільки зловмисник не знає, які додаткові біти даних, зламати хеші стає складніше.
Однак проблема полягає в тому, що LivingSocial використовував SHA1 для створення хеша, слабкого алгоритму. Як і MD5, ще один популярний алгоритм, SHA1 був розроблений для роботи швидко і з мінімальною кількістю обчислювальних ресурсів.
Враховуючи останні досягнення в галузі апаратних та хакерських технологій, хеші SHA1, навіть засолені, не є надійними. LivingSocial було б краще з bcrypt, scrypt або PBKDF-2.
Змініть ці паролі зараз
LivingSocial попередньо скидає паролі для всіх користувачів, і користувачі повинні вибрати нові паролі, які не використовуються більше ніде. Багато людей прагнуть повторно використовувати один і той же пароль на різних сайтах; якщо користувачі використовували пароль LivingSocial на інших сайтах, вони також повинні негайно змінити ці паролі. Після того, як паролі будуть зламані, зловмисники можуть спробувати паролі проти популярних сервісів, таких як електронна пошта, Facebook та LinkedIn.
"Ці порушення є ще одним нагадуванням, чому так важливо підтримувати гарну гігієну паролів та використовувати різні паролі для всіх облікових записів та сайтів", - сказав Барретт.
Зловмисники також можуть використовувати дати народження та імена для крафт-фішингу та інших соціальних інженерних кампаній. Вони можуть посилатися на ці деталі, щоб змусити користувачів думати, що це законні повідомлення. Викрадені дані будуть "дуже сильними атаками", - заявив Баррет.
Порушення LivingSocial - це "ще одне нагадування про те, що організації продовжуватимуть орієнтуватися на свої цінні дані про клієнтів", - сказав Барретт.
