Video: Jared Eberhardt - Bed - LIVING SOCIAL ad (Listopad 2024)
Kybernetičtí útočníci nedávno porušili systémy LivingSocial a nelegálně přistupovali k zákaznickým informacím pro více než 50 milionů uživatelů, uvedl LivingSocial. Uživatelé musí okamžitě změnit svá hesla.
Jak společnost PCMag.com včera oznámila, LivingSocial zaslal e-maily s upozorněním na porušení dat všem postiženým zákazníkům, kteří je informovali o kybernetickém útoku, který vedl k neoprávněnému přístupu k zákaznickým údajům. Podle LivingSocial bylo potenciálně ovlivněno více než 50 milionů účtů, což z tohoto roku představuje jedno z největších narušení hesla.
V současné době není jasné, jak k porušení došlo a jaké další informace byly odcizeny. V těchto případech incidentů útočníci obvykle proniknou tajnou instalací malwaru na zaměstnanecká zařízení a poté pracují po síti, dokud nenajdou citlivé systémy, řekl agentuře SecurityWatch George Tubin, vedoucí bezpečnostní stratég společnosti Trusteer.
Poskytovatelé „by měli očekávat, že hackeři zacílí na své systémy, aby získali zákaznická data nebo citlivé firemní informace, “ uvedl Tubin. V této chvíli „je zřejmé, že tito poskytovatelé prostě nedělají dost pro ochranu informací svých zákazníků, “ uvedl Tubin.
Solená, hashovaná hesla nejsou bezva
Je to dobré znamení, že LivingSocial hashed a solil jeho hesla, protože to trochu zpomalí útočníky, ale "to nezabrání" útočníkům v pokusu a úspěchu, při hledání původních hesel, Ross Barrett, senior manager of security inženýrství na Rapid7, řekl SecurityWatch . Zatímco solení zpomaluje proces praskání, „nakonec útočníci nebo jejich síť získají informace, po kterých jsou, “ řekl Barrett.
Hashing je jednosměrné šifrování, kde vždy získáte stejný výstup pro určitý vstup, ale není možné začít hashem a zjistit, co byl původní řetězec. Útočníci se často spoléhají na duhové tabulky, řadu ohromných slovníků, které obsahují každý myslitelný řetězec (včetně slov slovníku, běžných příjmení, dokonce i textů písní) a příslušných hodnot hash. Útočníci mohou porovnat hash z tabulky hesel s duhovou tabulkou, aby našli původní řetězec, který kód vygeneroval.
Salting znamená proces přidání dalších informací do původního vstupního řetězce před vytvořením hash. Protože útočník neví, jaké další kousky dat jsou, praskání hashe se stává těžší.
Problém je však v tom, že LivingSocial použil SHA1 ke generování hash, slabého algoritmu. Stejně jako MD5, další populární algoritmus, byl SHA1 navržen tak, aby fungoval rychle as minimálním množstvím výpočetních zdrojů.
S ohledem na nedávný pokrok v hardwarových a hackerských technologiích, hash SHA1, ani solený, není odolný proti prasklinám. LivingSocial by bylo lepší s bcrypt, scrypt nebo PBKDF-2.
Změňte tato hesla nyní
LivingSocial má preventivně resetovat hesla pro všechny uživatele a uživatelé by si měli vybrat nová hesla, která se nepoužívají nikde jinde. Mnoho lidí má tendenci opakovaně používat stejné heslo na různých webech; Pokud uživatelé použili heslo LivingSocial na jiných webech, měli by tato hesla také okamžitě změnit. Jakmile jsou hesla prasklá, mohou útočníci hesla vyzkoušet proti oblíbeným službám, jako jsou e-mail, Facebook nebo LinkedIn.
"Tato porušení jsou další připomínkou, proč je tak důležité udržovat dobrou hygienu hesel a používat různá hesla pro všechny účty a weby, " řekl Barrett.
Útočníci mohou také použít data narození a jména k řemeslnému phishingu a dalším kampaním v oblasti sociálního inženýrství. Mohou odkazovat na tyto podrobnosti, aby přiměli uživatele, aby si mysleli, že se jedná o legitimní zprávy. Ukradená data budou „útoky na moc dlouho“, řekl Barrett.
Porušení LivingSocial je „další připomínkou toho, že organizace budou i nadále zaměřeny na svá cenná zákaznická data, “ uvedl Barrett.
