Видео: Groupon, LivingSocial "deal of the day" pros and cons (Ноември 2024)
Кибер-нападателите наскоро нарушиха системите на LivingSocial и незаконно получиха достъп до информация за клиентите на повече от 50 милиона потребители, заяви LivingSocial. Потребителите трябва незабавно да променят паролите си.
Както PCMag.com съобщи вчера, LivingSocial изпрати имейли за нарушения на данните до всички засегнати клиенти, като ги информира за кибератака, довела до неоторизиран достъп до клиентски данни. Според LivingSocial потенциално са засегнати над 50 милиона акаунти, което прави това едно от най-големите нарушения на паролата през тази година.
Към момента не е ясно как е станало нарушението и какви други информации са били откраднати. При подобни видове инциденти нападателите обикновено се разбиват, като инсталират тайно злонамерен софтуер на устройства на служители и след това обикалят мрежата, докато намерят чувствителни системи, заяви пред SecurityWatch Джордж Тубин, старши стратег по сигурността в Trusteer.
Доставчиците "трябва да очакват хакерите да се насочат към техните системи, за да получат клиентски данни или чувствителна корпоративна информация", каза Тубин. В този момент "очевидно е, че тези доставчици просто не правят достатъчно, за да защитят информацията на своите клиенти", каза Тубин.
Солени, хеширани пароли не са устойчиви на пропукване
Добър знак е, че LivingSocial е хеширал и осолявал паролите си, тъй като това ще забави нападателите донякъде, но „няма да спре“ атакуващите да се опитат и да успеят, като измислят оригиналните пароли, Рос Барет, старши мениджър по сигурността каза пред SecurityWatch . Докато осоляването забавя процеса на напукване, "в крайна сметка нападателите или тяхната мрежа ще получат информацията, която търсят", каза Барет.
Хеширането е еднопосочно криптиране, при което винаги получавате един и същ изход за определен вход, но не е възможно да започнете с хеш и да разберете какъв е бил оригиналният низ. Нападателите често разчитат на дъгови таблици, поредица от огромни речници, съдържащи всеки възможен низ (включително думи от речника, общи фамилни имена, дори текстове на песни) и съответните хеш-стойности. Нападателите могат да съпоставят хеша от таблицата с паролите с таблицата на дъгата, за да намерят оригиналния низ, генериращ кода.
Соленето се отнася до процеса на добавяне на допълнителна информация към първоначалния входен низ преди създаването на хеш. Тъй като нападателят не знае какви са допълнителните битове на данни, пропукването на хешовете става по-трудно.
Проблемът обаче е, че LivingSocial използва SHA1 за генериране на хеш, слаб алгоритъм. Подобно на MD5, друг популярен алгоритъм, SHA1 е проектиран да работи бързо и с минимално количество компютърни ресурси.
Имайки предвид последните постижения в хардуерните и хакерски технологии, SHA1 хешовете, дори осолени, не са устойчиви на напукване. LivingSocial би било по-добре с bcrypt, scrypt или PBKDF-2.
Променете тези пароли сега
LivingSocial предварително сваля паролите за всички потребители и потребителите трябва да се уверят, че избират нови пароли, които не се използват никъде другаде. Много хора са склонни да използват повторно една и съща парола в сайтове; ако потребителите са използвали паролата на LivingSocial на други сайтове, те трябва да променят и тези пароли веднага. След като паролите са напукани, нападателите могат да изпробват паролите срещу популярни услуги като имейл, Facebook и LinkedIn.
"Тези нарушения са още едно напомняне защо е толкова важно да се поддържа добра хигиена на паролата и да се използват различни пароли за всички акаунти и сайтове", каза Барет.
Нападателите могат също така да използват дати на раждане и имена, за да изработят фишинг и други социални инженерни кампании. Те могат да се позовават на тези подробности, за да измамят потребителите да мислят, че това са законни съобщения. Откраднатите данни ще бъдат "захранващи атаки за много дълго време", каза Барет.
Нарушението на LivingSocial е „още едно напомняне, че организациите ще продължат да бъдат насочени към своите ценни клиентски данни“, каза Барет.