neprihlásený Utorok, 26. septembra 2017, dnes má meniny Edita   DonaskaKvetov.sk - donáška kvetov v SR a zahraničí Pošli kvety
Veľký československý eshop terčom útoku, hackeri majú heslá k účtom. Údajne ale nie slovenským

Značky: bezpečnosťInternetobchodSlovensko

DSL.sk, 27.8.2017


Jeden z najväčších českých eshopov Mall.cz, ktorého slovenská verzia nesie označenie Mall.sk, zaznamenal vážny bezpečnostný incident, keď hackeri získali jeho databázu zákazníckych účtov a dešifrovali už časť hesiel.

Mall o incidente informoval dnes po tom, ako časti zákazníkov zresetoval heslá a informoval ich o tom emailom. Ďalšie informácie poskytli serveru DSL.sk predstavitelia prevádzkovateľa.

Incident

V otázkach a odpovediach na svojich stránkach eshop explicitne neuvádza, že má potvrdené získanie databázy hackermi. Hovorí o "pokuse o narušenie bezpečnosti, ktorý sa dotkol staršej databázy užívateľských účtov" ale zároveň tiež o "väčšine prelomených hesiel" a nie prelomiteľných hesiel.

Eshop pre DSL.sk ale potvrdil, že podľa jeho infomácií naozaj hackeri databázu získali. "Ano, dostali a část databáze dešifrovali," uviedol pre DSL.sk PR manažér eshopu Jan Řezáč.

Podľa eshopu sa útočníci mali dostať len k databáze českej verzie Mall.cz a nie slovenskej Mall.sk. Ako je to možné a ako to má prevádzkovateľ potvrdené zisťujeme. Weby mall.sk a mall.cz sú totiž minimálne v súčasnosti prevádzkované na rovnakých IP adresách a servery týchto systémov tak majú pravdepodobne k sebe minimálne veľmi blízko alebo ide dokonca o ten istý systém.

Oznámenie Mall rovnako neuvádza z akého dátumu by mala byť databáza účtov, podľa Řezáča ide o účty vytvorené do roku 2014. Explicitne z akého času je samotná získaná databáza a či ide o verziu z 2014 nechce prevádzkovateľ potvrdiť z dôvodu prebiehajúceho vyšetrovania. Rovnako nechce komentovať či hackeri získali databázu v tom čase alebo sa neskôr dostali k zálohe z tohto času.

Známe nie je ani ako technicky sa útočníci k databáze dostali.

Heslá a dopady

Databáza používala v minulosti pomerne slabú ochranu hesiel, čo hackerom umožnilo dostať sa k menej komplikovanejším heslám. Konkrétne u účtov vytvorených do novembra 2012 ukladal eshop MD5 hash hesiel, do októbra 2016 SHA1 hash s použitím salt a od októbra 2016 používa bcrypt. Relatívne ľahko sa tak dajú zo získanej databázy získať ľahšie heslá nastavené do novembra 2012.

Informácie Mall zároveň naznačujú, že pri nasadení nového bezpečnejšieho ukladania hesiel spoločnosť skôr uložené heslá pravdepodobne neukladala novým spôsobom. To sa samozrejme nedá automaticky všetkým užívateľom, keďže prevádzkovateľ heslá nepozná, dá sa to ale realizovať postupne jednotlivo pri danom účte pri nasledovnom úspešnom prihlásení.

Dôležitým aspektom bezpečnosti si je tak voliť heslá s vysokou entropiou, teda dostatočne dlhé heslá ktoré sú buď sekvenciou rozličných znakov spomedzi malých a veľkých písmen, číslic a špeciálnych znakov alebo ešte dlhšie heslá v podobe neštandardných fráz respektíve kombinácií slov z jazyka. Mall konkrétne pre svoje účty u prvého typu odporúča heslá o dĺžke aspoň osem znakov, u druhého aspoň štyri až päť slov, ktoré nie sú zavedenou frázou.

Keďže aj pri slabších spôsoboch uloženia hesiel stále útočník musí skúšať rozličné heslá, keď ani v prípade MD5 nie je možné jednoducho z hash spätne vypočítať heslo, takéto heslá útočník aj v prípade použitia MD5 získa len ťažko.

Eshop časti zákazníkov heslá zresetoval a zároveň im zmenil systém uloženia údajov pre overenie hesla na nový bezpečnejší. Pri snahe prihlásiť sa tak musia využiť štandardný mechanizmus obnovy hesla, pri ktorej dostanú potrebný odkaz na svoj email. Heslá boli podľa Řezáča zresetované pre účty vytvorené do 2014.

Eshop podľa stanoviska pre DSL.sk nemá informácie, že by prišlo k neautorizovanému prístupu k účtom. Ako teda vie, že útočníci už heslá dešifrovali, zisťujeme.

V databáze sa nachádzajú meno, email, uvedeným spôsobom jednosmerne šifrované heslo a u časti užívateľov telefónne číslo. Podľa Řezáča sa v databáze iné údaje ako tieto nenachádzajú.

Mall neinformuje o žiadnych priamy vážnych dôsledkoch prípadného neautorizovaného prístupu k účtom a v jeho systémoch sa podľa spoločnosti neukladajú napríklad údaje umožňujúce útočníkovi uskutočniť platby platobnou kartou zákazníka a v získanej databáze sa nanachádzajú podľa informácie pre DSL.sk ani dáta o nákupoch zákazníkov.

Sekundárne dopady

Ak sa neobjavia nové informácie o tom ako mohli byť prístupové údaje zneužité priamo na Mall, najväčšie dopady incidentu podobne ako v iných podobných prípadoch budú zrejme sekundárne v dôsledku používania rovnakého hesla na viacerých službách.

Ak útočníci totiž získali kombinácie emailovej adresy a hesla a užívateľ ich používa aj na iných službách, môžu ich využiť aj pre prístup k iným účtom užívateľa. Zákazníci minimálne českého Mallu.cz, ktorí používali rovnaké heslá aj v iných službách, by si tak mali okamžite zmeniť heslá aj v týchto iných službách.

Vhodným odporúčaním pre zákazníkov slovenského Mall.sk môže byť postupovať z preventívnych dôvodov, kým nie sú k dispozícii bližšie informácie, rovnako.

V súčasnosti je zároveň vhodným odporúčaním používať dvojfaktorové prihlasovanie, ak ho služba podporuje. Dáta dvojfaktorového prihlasovania samozrejme medzi službami zdieľané nie sú a prístupom k jednej útočníci nezískajú prístup aj k ďalším, hoci aj na systémy dvojfaktorového prihlasovania je možné útočiť.


      Zdieľaj na Twitteri



Najnovšie články:

Sprístupnený inovatívny Firefox Quantum, má byť rýchlejší ako Chrome
Ďalšie veľké zlyhanie Slovensko.sk. Zlyháva systém aj prevádzkovateľ
Pirátske strany vychádzajú z módy, nemecká vo voľbách prepadla
Rýchly Internet v každej obci sa opäť posúva, znovu sa ide vytvárať zoznam obcí bez neho
Windows na smartfónoch potopil aj Gates, priznal prechod na mobil s iným OS
Inovatívny macOS 10.13 k dispozícii, vhodné ale počkať. Bývaly NSA hacker pokazil Apple deň
Gigantický teleskop používaný na hľadanie mimozemšťanov poškodil hurikán
Vydaná Java 9 a Java EE 8
Opera odstránila rozšírenie, u ktorého DSL.sk identifikoval ťaženie kryptomeny
Intel predstavil nové 6 a 4-jadrové CPU pre bežné PC, nie sú o moc drahšie


Diskusia:
                               
 

Ako je to s tým útočením na dva faktory? Niekde som čítal, že útočník získa meno a heslo (napr. do IB) a potom "vymáha" od obete druhý faktor (SMS kód). Ako je to ale napr. pri google, s tou jeho appkou ktorá generuje kódy aj offline? Dá sa to obísť?
Odpovedať Známka: 5.6 Hodnotiť:
 

Resp. ako tá appka funguje, lebo nechápem ako môžem offline dostať unikátny kód ktorý sa každú štvrť minútu mení a platí len daný čas. úsek...
Odpovedať Známka: 5.3 Hodnotiť:
 

asi generator klucov viazany na uID,aktualny cas, atd., takze server vypluje kod rovnaky ako aj appka a je jedno ci si on/offline. Podobnu appku mam pre SWTOR.
Odpovedať Známka: 10.0 Hodnotiť:
 

Najcennejšie sú predsa mena a adresy, email plus história nákupov, aby som mohol personalizovat reklamu.
Ja by som sa hackol sám, aby som nemusel dodržiavať predpisy na zber a ochranu osobných údajov.
Odpovedať Známka: 8.6 Hodnotiť:
 

Meno firmy 50% hodnoty firmy
Databáza klientov 40%
Sklady, logistika, ľudia, dodávateľské vzťahy 10%
Odpovedať Známka: 10.0 Hodnotiť:
 

Ide o TOTP algo na generovanie kodov na zaklade prvotnej vymeny klucu. Blizsie info napr. Tu https://goo.gl/gBEH4j
Odpovedať Známka: 10.0 Hodnotiť:
 

ďakujem za odpovede... takže obísť sa to dá jedine tým kľúčom?
Odpovedať Známka: 10.0 Hodnotiť:
 

https://en.wikipedia.org/wiki/ Time-based_One-time_Password_Algorithm
Odpovedať Známka: 4.1 Hodnotiť:
 

SMS kód môže získať napríklad buď nejaký malvér na smartfóne alebo útok na tzv. SS7 protokol používaný pri komunikácii medzi operátormi a umožňujúci presmerovať číslo obete.
Odpovedať Známka: 8.0 Hodnotiť:
 

este ze mam dumbfon, tam malware neexistuje :)
Odpovedať Známka: -2.5 Hodnotiť:
 

Dá.
Viac info tu http://dopice.sk/k7t a tu http://dopice.sk/k7u

Človek je vždy najslabší článok.
Odpovedať Hodnotiť:
 

Nemozem uz na 100% potvrdit, ze islo o Mall (napada ma este Hey), ale pred casom som si nechal poslat od jedneho z top najvacsich eshopov (na 80% si myslim, ze to bol mall) heslo a namiesto linku na reset hesla mi naozaj do mailu poslali moje vtedy aktualne heslo, co bolo dost desive (uchovavanie hesiel v nehashovanom formate). Dany mail som logicky hned vymazal, takze dokaz uz nie je... Len aby ste si nemysleli, ze velke shopy maju bezpecnost zmaknutu...
Odpovedať Známka: 10.0 Hodnotiť:
 

Uz coskoro to GDPR vyriesi a pri takychto unikoch bude mozne zisdat odskodne... tak dufam, ze potom sa bezpecnost takychto shopov podstatne zvysi...
Odpovedať Známka: 3.3 Hodnotiť:
 

No... tým zmazaním toho emailu si to vyriešil...
Odpovedať Známka: 10.0 Hodnotiť:
 

No takých "renomovaných" eshopov je tu naokolo viac, bohužiaľ.
Odpovedať Hodnotiť:
 

v robote som našiel nepoužitý zabalený HDD seagate 80 GB ale ATA rozhranie, myslíte že ešte na neho zoženiem nejaký nový rámik (case) aby som si z neho urobil externý záložný disk na drobnosti?
Odpovedať Známka: -5.7 Hodnotiť:
 

Jasne, dokonca priamo z mall.cz

http://dopice.sk/k79
Odpovedať Známka: 10.0 Hodnotiť:
 

II. jakost
Odpovedať Známka: 10.0 Hodnotiť:
 

ale premium
Odpovedať Známka: 6.0 Hodnotiť:
 

Tento produkt si naposledy koupil/a Jirka M. před 5 dny
Odpovedať Známka: 10.0 Hodnotiť:
 

Lenže v požiadavke je jasne formulované, že "nový rámik".
Odpovedať Známka: -2.0 Hodnotiť:
 

Ja len, doplním, že v móde sú čo "najtenšie rámiky".
Odpovedať Známka: 10.0 Hodnotiť:
 

je to premium, co viac mozes chciet?
Odpovedať Známka: 10.0 Hodnotiť:
 

Keď potenciálny zákazník prejavuje záujem o "nový rámik", prémiovosť obchodníka definuje schopnosť ponúkať, čo "koupil/a Jirka M. před 5 dny".
Odpovedať Známka: 0.0 Hodnotiť:
 

Tento produkt si naposledy koupil/a Jirka M. před 6 dny
Odpovedať Hodnotiť:
 

jasne, to sa oplati, ked cena toho ramika bude atakovat cenu 64GB USB kluca...
Odpovedať Známka: 10.0 Hodnotiť:
 

ech, veď hej, ale myslím si, že keď staré veci fungujú tak ešte možu poslúžiť.
Odpovedať Známka: 10.0 Hodnotiť:
 

Zober od Čínana http://dopice.sk/k7j
Odpovedať Hodnotiť:
 

Čo keď už bol použitý ale Andrej tam má nejaké programy?
Windows XP Media Professional
Odpovedať Známka: 10.0 Hodnotiť:
 

Fakt by ma zaujímalo, ako sa toto dá zneužiť. To akože nejaký hacker objedná dvesto ľuďom chladničky na dobierku?
Možno to hackli ľudia z DHL a teraz si zabezpečia trojnásobok obratu, kým im mall.cz nepomení heslá.
Odpovedať Známka: -3.8 Hodnotiť:
 

Určite plno ľudí používa jedno heslo všade, takže sa útočník môže teoreticky dostať na oveľa citlivejšie miesta, než sú e-shopy.

BTW, keď pominiem fakt, že je to napísané aj v článku, zaujímalo by ma, aké veľké IQ človek musí mať, aby na toto prišiel :P
Odpovedať Známka: 6.7 Hodnotiť:
 

Spojenie pominúť fakty učia na akej škole?
Odpovedať Známka: 3.3 Hodnotiť:
 

Kam asi sa tak môže dostať? Na aké citlivé miesta? Má k dispozícii maximálne tak email a telefónne číslo. Tak sa vyskúša prihlásiť na email. A to je všetko.

K tomu IQ, majster, sa nevyjadrujem, lebo by ťa nepotešilo, čo by som povedal.
Odpovedať Známka: -1.4 Hodnotiť:
 

a keď bude mail + heslo sedieť na účet na facebook, útočník sa tam prihlási a prehovorí babku/mamu obete, nech dá našetrené peniaze z ponožky do neoznačeného batohu osobe ktorá si po ne príde... a ona mu tam dá 50 tis. eur, aký máš argument na toto?
Odpovedať Známka: 6.4 Hodnotiť:
 

Mal som ale Patrik mal zase jednu z tých ťažkých chvíľ, keď maže hlava nehlava. Patrik, trochu sebareflexie by nezaškodilo.
Odpovedať Známka: 10.0 Hodnotiť:
 

Predsa keď registračný formulár neumožňuje zadávať viac, tak je používanie jedného logické.
Odpovedať Známka: 3.3 Hodnotiť:
 

Tak úplný základ je na všetky tieto e-shopy a iné nespoľahlivé weby používať iný mail a iné heslá, než do naozaj dôležitých účtov.
Odpovedať Známka: 10.0 Hodnotiť:
 

Alebo by uplne stacilo aby sa na ziadny eshop nebolo treba registrovat(nie vsade). Proste nakup ako host. To by stacilo aby mal eshop uchovane info o zakaznikovy(adresa a mail kam zaslat PDF.) len do dorucenia tovaru, povedzme 3dni. A iny lvl je zas ponukanie ulozania info o kreditnej karte pre urychlenie nakupu.
Odpovedať Známka: 8.5 Hodnotiť:
 

presne tak
Odpovedať Známka: 10.0 Hodnotiť:
 

Nestaci ti to uchovavat 3 dni. Minimalne koli moznym reklamaciam potrebujes mat info o objednavke 2 roky. A keby si aj nepotreboval a povies si, ze zakaznikom doverujes, nech sa preukazu cimkolvek, stale tu je zakon, ktory ti prikazuje archivovat... A keby aj nebol zakon, potrebujes mat tie info dlhsie hlavne kvoli EXOTickym zakaznikom, ktori si objednaju den pred odchodom na dovolenku a potom na to zabudnu a musis im pripominat, ze si nieco objednali a caka ich to na poste...
Odpovedať Známka: 10.0 Hodnotiť:
 

Ked v offline shope si kupim nieco, dostanem blocik.
V eshope dostanem fakturu.
Ked v kamennom pridem s blockom 700 dni po objednavke, aj kontroluju paruju blok ?
Tak isto by mohli parovat fakturu - tu by asi tazko zmazali, to by bol danovy raj :D
Ale inak mas pravdu, zial su zakaznici, ktori kazia meno inym zakaznikom, alebo celej komunite...
Odpovedať Známka: -2.0 Hodnotiť:
 

Suhlasim, stacilo by archivovat tlacenu fakturu, ale ked ti zavola zakaznik, ze ma taky a taky problem, je lahsie si ho a jeho tovar vyhladat online, ako sa prehrabavat fakturami... A ked ti tovar pride na reklamaciu, tiez je lahsie a rychlejsie to overit elektronicky ako hladat tlaceny papier. Ked sa posielaju pdf faktury, lahko na nej zmenis datum, takze ja by som to preto radsej overoval... A ja ako zakaznik, som tiez rad, ze nemusim opatrovat doklad od tovaru, ale vytlacim si ho ked ho potrebujem... A ci su veci v DB ulozene ako udaje o zakaznikovy, alebo el. faktura, stale to bude hacknutelne. Takze jedine to ostava na zakaznikoch aby si bezpecnost strazili sami (nemali rovnake heslo), ten komfort za to stoji...
Odpovedať Hodnotiť:
 

Ako niekoho môže baviť hackovať databázy? Teda okrem útokov za finančný prospech. To mu robí dobre škodiť niekomu inému, aby sa mohol pochváliť pár panicov na zatuchnutom kanáli na IRC a oni mu odpísali GG?
Odpovedať Známka: 4.3 Hodnotiť:
 

Prečo si zamykáš byt, auto, keď odchádzaš?
ty máš buď 12 rokov alebo IQ húpacieho koníka :)!
Odpovedať Známka: 5.0 Hodnotiť:
 

Asi ano
Odpovedať Známka: 10.0 Hodnotiť:
 

on tie udaje o tebe preda dalej..
Odpovedať Hodnotiť:

Pridať komentár