Veľký československý eshop terčom útoku, hackeri majú heslá k účtom. Údajne ale nie slovenským

Značky: bezpečnosťInternetobchodSlovensko

DSL.sk, 27.8.2017

Jeden z najväčších českých eshopov Mall.cz, ktorého slovenská verzia nesie označenie Mall.sk, zaznamenal vážny bezpečnostný incident, keď hackeri získali jeho databázu zákazníckych účtov a dešifrovali už časť hesiel.

Mall o incidente informoval dnes po tom, ako časti zákazníkov zresetoval heslá a informoval ich o tom emailom. Ďalšie informácie poskytli serveru DSL.sk predstavitelia prevádzkovateľa.

Incident

V otázkach a odpovediach na svojich stránkach eshop explicitne neuvádza, že má potvrdené získanie databázy hackermi. Hovorí o "pokuse o narušenie bezpečnosti, ktorý sa dotkol staršej databázy užívateľských účtov" ale zároveň tiež o "väčšine prelomených hesiel" a nie prelomiteľných hesiel.

Eshop pre DSL.sk ale potvrdil, že podľa jeho infomácií naozaj hackeri databázu získali. "Ano, dostali a část databáze dešifrovali," uviedol pre DSL.sk PR manažér eshopu Jan Řezáč.

Podľa eshopu sa útočníci mali dostať len k databáze českej verzie Mall.cz a nie slovenskej Mall.sk. Ako je to možné a ako to má prevádzkovateľ potvrdené zisťujeme. Weby mall.sk a mall.cz sú totiž minimálne v súčasnosti prevádzkované na rovnakých IP adresách a servery týchto systémov tak majú pravdepodobne k sebe minimálne veľmi blízko alebo ide dokonca o ten istý systém.

Oznámenie Mall rovnako neuvádza z akého dátumu by mala byť databáza účtov, podľa Řezáča ide o účty vytvorené do roku 2014. Explicitne z akého času je samotná získaná databáza a či ide o verziu z 2014 nechce prevádzkovateľ potvrdiť z dôvodu prebiehajúceho vyšetrovania. Rovnako nechce komentovať či hackeri získali databázu v tom čase alebo sa neskôr dostali k zálohe z tohto času.

Známe nie je ani ako technicky sa útočníci k databáze dostali.

Heslá a dopady

Databáza používala v minulosti pomerne slabú ochranu hesiel, čo hackerom umožnilo dostať sa k menej komplikovanejším heslám. Konkrétne u účtov vytvorených do novembra 2012 ukladal eshop MD5 hash hesiel, do októbra 2016 SHA1 hash s použitím salt a od októbra 2016 používa bcrypt. Relatívne ľahko sa tak dajú zo získanej databázy získať ľahšie heslá nastavené do novembra 2012.

Informácie Mall zároveň naznačujú, že pri nasadení nového bezpečnejšieho ukladania hesiel spoločnosť skôr uložené heslá pravdepodobne neukladala novým spôsobom. To sa samozrejme nedá automaticky všetkým užívateľom, keďže prevádzkovateľ heslá nepozná, dá sa to ale realizovať postupne jednotlivo pri danom účte pri nasledovnom úspešnom prihlásení.

Dôležitým aspektom bezpečnosti si je tak voliť heslá s vysokou entropiou, teda dostatočne dlhé heslá ktoré sú buď sekvenciou rozličných znakov spomedzi malých a veľkých písmen, číslic a špeciálnych znakov alebo ešte dlhšie heslá v podobe neštandardných fráz respektíve kombinácií slov z jazyka. Mall konkrétne pre svoje účty u prvého typu odporúča heslá o dĺžke aspoň osem znakov, u druhého aspoň štyri až päť slov, ktoré nie sú zavedenou frázou.

Keďže aj pri slabších spôsoboch uloženia hesiel stále útočník musí skúšať rozličné heslá, keď ani v prípade MD5 nie je možné jednoducho z hash spätne vypočítať heslo, takéto heslá útočník aj v prípade použitia MD5 získa len ťažko.

Eshop časti zákazníkov heslá zresetoval a zároveň im zmenil systém uloženia údajov pre overenie hesla na nový bezpečnejší. Pri snahe prihlásiť sa tak musia využiť štandardný mechanizmus obnovy hesla, pri ktorej dostanú potrebný odkaz na svoj email. Heslá boli podľa Řezáča zresetované pre účty vytvorené do 2014.

Eshop podľa stanoviska pre DSL.sk nemá informácie, že by prišlo k neautorizovanému prístupu k účtom. Ako teda vie, že útočníci už heslá dešifrovali, zisťujeme.

V databáze sa nachádzajú meno, email, uvedeným spôsobom jednosmerne šifrované heslo a u časti užívateľov telefónne číslo. Podľa Řezáča sa v databáze iné údaje ako tieto nenachádzajú.

Mall neinformuje o žiadnych priamy vážnych dôsledkoch prípadného neautorizovaného prístupu k účtom a v jeho systémoch sa podľa spoločnosti neukladajú napríklad údaje umožňujúce útočníkovi uskutočniť platby platobnou kartou zákazníka a v získanej databáze sa nanachádzajú podľa informácie pre DSL.sk ani dáta o nákupoch zákazníkov.

Sekundárne dopady

Ak sa neobjavia nové informácie o tom ako mohli byť prístupové údaje zneužité priamo na Mall, najväčšie dopady incidentu podobne ako v iných podobných prípadoch budú zrejme sekundárne v dôsledku používania rovnakého hesla na viacerých službách.

Ak útočníci totiž získali kombinácie emailovej adresy a hesla a užívateľ ich používa aj na iných službách, môžu ich využiť aj pre prístup k iným účtom užívateľa. Zákazníci minimálne českého Mallu.cz, ktorí používali rovnaké heslá aj v iných službách, by si tak mali okamžite zmeniť heslá aj v týchto iných službách.

Vhodným odporúčaním pre zákazníkov slovenského Mall.sk môže byť postupovať z preventívnych dôvodov, kým nie sú k dispozícii bližšie informácie, rovnako.

V súčasnosti je zároveň vhodným odporúčaním používať dvojfaktorové prihlasovanie, ak ho služba podporuje. Dáta dvojfaktorového prihlasovania samozrejme medzi službami zdieľané nie sú a prístupom k jednej útočníci nezískajú prístup aj k ďalším, hoci aj na systémy dvojfaktorového prihlasovania je možné útočiť.




Najnovšie články:



Diskusia:

Dnes má meniny Visia Od: Mxxl | Pridané: 27.8.2017 14:48 Ako je to s tým útočením na dva faktory? Niekde som čítal, že útočník získa meno a heslo (napr. do IB) a potom "vymáha" od obete druhý faktor (SMS kód). Ako je to ale napr. pri google, s tou jeho appkou ktorá generuje kódy aj offline? Dá sa to obísť? Odpovedať Známka: 6.0 Hodnotiť:

Re: Dnes má meniny Visia Od: Mxxl | Pridané: 27.8.2017 14:51 Resp. ako tá appka funguje, lebo nechápem ako môžem offline dostať unikátny kód ktorý sa každú štvrť minútu mení a platí len daný čas. úsek... Odpovedať Známka: 5.6 Hodnotiť:

Re: Dnes má meniny Visia Od: testerovac | Pridané: 27.8.2017 15:04 asi generator klucov viazany na uID,aktualny cas, atd., takze server vypluje kod rovnaky ako aj appka a je jedno ci si on/offline. Podobnu appku mam pre SWTOR. Odpovedať Známka: 10.0 Hodnotiť:

Re: Dnes má meniny Visia Od: samounos | Pridané: 27.8.2017 17:13 Najcennejšie sú predsa mena a adresy, email plus história nákupov, aby som mohol personalizovat reklamu. Ja by som sa hackol sám, aby som nemusel dodržiavať predpisy na zber a ochranu osobných údajov. Odpovedať Známka: 8.7 Hodnotiť:

Re: Dnes má meniny Visia Od: babraci | Pridané: 27.8.2017 17:20 Meno firmy 50% hodnoty firmy Databáza klientov 40% Sklady, logistika, ľudia, dodávateľské vzťahy 10% Odpovedať Známka: 10.0 Hodnotiť:

Re: Dnes má meniny Visia Od: Totp-info | Pridané: 27.8.2017 15:21 Ide o TOTP algo na generovanie kodov na zaklade prvotnej vymeny klucu. Blizsie info napr. Tu https://goo.gl/gBEH4j Odpovedať Známka: 10.0 Hodnotiť:

Re: Dnes má meniny Visia Od: Mxxl | Pridané: 27.8.2017 16:36 ďakujem za odpovede... takže obísť sa to dá jedine tým kľúčom? Odpovedať Známka: 10.0 Hodnotiť:

Re: Dnes má meniny Visia Od reg.: Redakcia DSL.sk | Pridané: 27.8.2017 15:22 https://en.wikipedia.org/wiki/ Time-based_One-time_Password_Algorithm Odpovedať Známka: 4.1 Hodnotiť:

Re: Dnes má meniny Visia Od reg.: Redakcia DSL.sk | Pridané: 27.8.2017 15:42 SMS kód môže získať napríklad buď nejaký malvér na smartfóne alebo útok na tzv. SS7 protokol používaný pri komunikácii medzi operátormi a umožňujúci presmerovať číslo obete. Odpovedať Známka: 8.0 Hodnotiť:

Re: Dnes má meniny Visia Od: a718726 | Pridané: 27.8.2017 21:23 este ze mam dumbfon, tam malware neexistuje :) Odpovedať Známka: -2.5 Hodnotiť:

Re: Dnes má meniny Visia Od: Tiket50znakov | Pridané: 28.8.2017 14:29 Dá. Viac info tu http://dopice.sk/k7t a tu http://dopice.sk/k7u Človek je vždy najslabší článok. Odpovedať Hodnotiť:

..... Od: Patizon | Pridané: 27.8.2017 15:15 Nemozem uz na 100% potvrdit, ze islo o Mall (napada ma este Hey), ale pred casom som si nechal poslat od jedneho z top najvacsich eshopov (na 80% si myslim, ze to bol mall) heslo a namiesto linku na reset hesla mi naozaj do mailu poslali moje vtedy aktualne heslo, co bolo dost desive (uchovavanie hesiel v nehashovanom formate). Dany mail som logicky hned vymazal, takze dokaz uz nie je... Len aby ste si nemysleli, ze velke shopy maju bezpecnost zmaknutu... Odpovedať Známka: 10.0 Hodnotiť:

Re: ..... Od: Uzcoskoro | Pridané: 28.8.2017 7:52 Uz coskoro to GDPR vyriesi a pri takychto unikoch bude mozne zisdat odskodne... tak dufam, ze potom sa bezpecnost takychto shopov podstatne zvysi... Odpovedať Známka: 1.4 Hodnotiť:

Re: ..... Od: Matoto | Pridané: 16.2.2018 9:26 A co to vyriesi. Male eshopy budu zlikvidovane jednym zavalitym typkom v maminej izbe, pokial neinvestuju vsetko co zarobia do draheho bezpecnostneho softu. Nehovoriac o CRM softe. A CDPO. Celkovo naklady na GDPR su asi 3-4k rocne. To je nafirmy, ktore maju HV 10-15k (standardny maly eshop) celkom raketa Odpovedať Hodnotiť:

Re: ..... Od: Yorick_ | Pridané: 28.8.2017 7:56 No... tým zmazaním toho emailu si to vyriešil... Odpovedať Známka: 10.0 Hodnotiť:

Re: ..... Od: Truhlica | Pridané: 28.8.2017 14:30 No takých "renomovaných" eshopov je tu naokolo viac, bohužiaľ. Odpovedať Hodnotiť:

hrozy offtopic ale mam dotaz Od reg.: ta dobre | Pridané: 27.8.2017 15:33 v robote som našiel nepoužitý zabalený HDD seagate 80 GB ale ATA rozhranie, myslíte že ešte na neho zoženiem nejaký nový rámik (case) aby som si z neho urobil externý záložný disk na drobnosti? Odpovedať Známka: -5.7 Hodnotiť:

Re: hrozy offtopic ale mam dotaz Od: morka | Pridané: 27.8.2017 15:41 Jasne, dokonca priamo z mall.cz http://dopice.sk/k79 Odpovedať Známka: 10.0 Hodnotiť:

Re: hrozy offtopic ale mam dotaz Od reg.: akoze | Pridané: 27.8.2017 20:09 II. jakost Odpovedať Známka: 10.0 Hodnotiť:

Re: hrozy offtopic ale mam dotaz Od: matkooo | Pridané: 28.8.2017 9:20 ale premium Odpovedať Známka: 6.0 Hodnotiť:

Re: hrozy offtopic ale mam dotaz Od: Mxxl | Pridané: 27.8.2017 21:50 Tento produkt si naposledy koupil/a Jirka M. před 5 dny Odpovedať Známka: 10.0 Hodnotiť:

Re: hrozy offtopic ale mam dotaz Od: syntaxterrorX XX | Pridané: 28.8.2017 6:43 Lenže v požiadavke je jasne formulované, že "nový rámik". Odpovedať Známka: -2.0 Hodnotiť:

Re: hrozy offtopic ale mam dotaz Od: čitateľ | Pridané: 28.8.2017 6:55 Ja len, doplním, že v móde sú čo "najtenšie rámiky". Odpovedať Známka: 10.0 Hodnotiť:

Re: hrozy offtopic ale mam dotaz Od: matkooo | Pridané: 28.8.2017 9:21 je to premium, co viac mozes chciet? Odpovedať Známka: 10.0 Hodnotiť:

Re: hrozy offtopic ale mam dotaz Od: syntaxterrorX XX | Pridané: 28.8.2017 9:31 Keď potenciálny zákazník prejavuje záujem o "nový rámik", prémiovosť obchodníka definuje schopnosť ponúkať, čo "koupil/a Jirka M. před 5 dny". Odpovedať Známka: 0.0 Hodnotiť:

Re: hrozy offtopic ale mam dotaz Od: pred 6 dny | Pridané: 28.8.2017 10:15 Tento produkt si naposledy koupil/a Jirka M. před 6 dny Odpovedať Hodnotiť:

Re: hrozy offtopic ale mam dotaz Od: roob_zabanovany | Pridané: 28.8.2017 7:45 jasne, to sa oplati, ked cena toho ramika bude atakovat cenu 64GB USB kluca... Odpovedať Známka: 10.0 Hodnotiť:

Re: hrozy offtopic ale mam dotaz Od reg.: ta dobre | Pridané: 28.8.2017 8:51 ech, veď hej, ale myslím si, že keď staré veci fungujú tak ešte možu poslúžiť. Odpovedať Známka: 10.0 Hodnotiť:

Re: hrozy offtopic ale mam dotaz Od: brmbolec | Pridané: 28.8.2017 9:36 Zober od Čínana http://dopice.sk/k7j Odpovedať Hodnotiť:

Re: hrozy offtopic ale mam dotaz Od: JankaDSLKA | Pridané: 28.8.2017 12:53 Čo keď už bol použitý ale Andrej tam má nejaké programy? Windows XP Media Professional Odpovedať Známka: 10.0 Hodnotiť:

Veľký československý útok Od: Neviem- | Pridané: 27.8.2017 15:44 Fakt by ma zaujímalo, ako sa toto dá zneužiť. To akože nejaký hacker objedná dvesto ľuďom chladničky na dobierku? Možno to hackli ľudia z DHL a teraz si zabezpečia trojnásobok obratu, kým im mall.cz nepomení heslá. Odpovedať Známka: -2.9 Hodnotiť:

Re: Veľký československý útok Od: Majster Jouda | Pridané: 27.8.2017 16:01 Určite plno ľudí používa jedno heslo všade, takže sa útočník môže teoreticky dostať na oveľa citlivejšie miesta, než sú e-shopy. BTW, keď pominiem fakt, že je to napísané aj v článku, zaujímalo by ma, aké veľké IQ človek musí mať, aby na toto prišiel :P Odpovedať Známka: 6.7 Hodnotiť:

Re: Veľký československý útok Od: čitateľ | Pridané: 27.8.2017 17:11 Spojenie pominúť fakty učia na akej škole? Odpovedať Známka: 3.3 Hodnotiť:

Re: Veľký československý útok Od: Neviem- | Pridané: 27.8.2017 17:44 Kam asi sa tak môže dostať? Na aké citlivé miesta? Má k dispozícii maximálne tak email a telefónne číslo. Tak sa vyskúša prihlásiť na email. A to je všetko. K tomu IQ, majster, sa nevyjadrujem, lebo by ťa nepotešilo, čo by som povedal. Odpovedať Známka: -1.4 Hodnotiť:

Re: Veľký československý útok Od: Mixel | Pridané: 27.8.2017 21:53 a keď bude mail + heslo sedieť na účet na facebook, útočník sa tam prihlási a prehovorí babku/mamu obete, nech dá našetrené peniaze z ponožky do neoznačeného batohu osobe ktorá si po ne príde... a ona mu tam dá 50 tis. eur, aký máš argument na toto? Odpovedať Známka: 6.4 Hodnotiť:

Re: Veľký československý útok Od: Neviem- | Pridané: 28.8.2017 11:51 Mal som ale Patrik mal zase jednu z tých ťažkých chvíľ, keď maže hlava nehlava. Patrik, trochu sebareflexie by nezaškodilo. Odpovedať Známka: 10.0 Hodnotiť:

Re: Veľký československý útok Od: syntaxterrorX XX | Pridané: 27.8.2017 17:59 Predsa keď registračný formulár neumožňuje zadávať viac, tak je používanie jedného logické. Odpovedať Známka: 3.3 Hodnotiť:

heslo Od: bludič | Pridané: 27.8.2017 16:07 Tak úplný základ je na všetky tieto e-shopy a iné nespoľahlivé weby používať iný mail a iné heslá, než do naozaj dôležitých účtov. Odpovedať Známka: 10.0 Hodnotiť:

Re: heslo Od: testerovac | Pridané: 27.8.2017 19:39 Alebo by uplne stacilo aby sa na ziadny eshop nebolo treba registrovat(nie vsade). Proste nakup ako host. To by stacilo aby mal eshop uchovane info o zakaznikovy(adresa a mail kam zaslat PDF.) len do dorucenia tovaru, povedzme 3dni. A iny lvl je zas ponukanie ulozania info o kreditnej karte pre urychlenie nakupu. Odpovedať Známka: 8.5 Hodnotiť:

Re: heslo Od: a718726 | Pridané: 27.8.2017 21:24 presne tak Odpovedať Známka: 10.0 Hodnotiť:

Re: heslo Od reg.: miggg | Pridané: 27.8.2017 22:47 Nestaci ti to uchovavat 3 dni. Minimalne koli moznym reklamaciam potrebujes mat info o objednavke 2 roky. A keby si aj nepotreboval a povies si, ze zakaznikom doverujes, nech sa preukazu cimkolvek, stale tu je zakon, ktory ti prikazuje archivovat... A keby aj nebol zakon, potrebujes mat tie info dlhsie hlavne kvoli EXOTickym zakaznikom, ktori si objednaju den pred odchodom na dovolenku a potom na to zabudnu a musis im pripominat, ze si nieco objednali a caka ich to na poste... Odpovedať Známka: 10.0 Hodnotiť:

Re: heslo Od: a718726 | Pridané: 28.8.2017 6:31 Ked v offline shope si kupim nieco, dostanem blocik. V eshope dostanem fakturu. Ked v kamennom pridem s blockom 700 dni po objednavke, aj kontroluju paruju blok ? Tak isto by mohli parovat fakturu - tu by asi tazko zmazali, to by bol danovy raj :D Ale inak mas pravdu, zial su zakaznici, ktori kazia meno inym zakaznikom, alebo celej komunite... Odpovedať Známka: -2.0 Hodnotiť:

Re: heslo Od reg.: miggg | Pridané: 28.8.2017 19:47 Suhlasim, stacilo by archivovat tlacenu fakturu, ale ked ti zavola zakaznik, ze ma taky a taky problem, je lahsie si ho a jeho tovar vyhladat online, ako sa prehrabavat fakturami... A ked ti tovar pride na reklamaciu, tiez je lahsie a rychlejsie to overit elektronicky ako hladat tlaceny papier. Ked sa posielaju pdf faktury, lahko na nej zmenis datum, takze ja by som to preto radsej overoval... A ja ako zakaznik, som tiez rad, ze nemusim opatrovat doklad od tovaru, ale vytlacim si ho ked ho potrebujem... A ci su veci v DB ulozene ako udaje o zakaznikovy, alebo el. faktura, stale to bude hacknutelne. Takze jedine to ostava na zakaznikoch aby si bezpecnost strazili sami (nemali rovnake heslo), ten komfort za to stoji... Odpovedať Hodnotiť:

dnes má meniny Nový rok, Deň vzniku SR Od: _Buržuj | Pridané: 27.8.2017 19:52 Ako niekoho môže baviť hackovať databázy? Teda okrem útokov za finančný prospech. To mu robí dobre škodiť niekomu inému, aby sa mohol pochváliť pár panicov na zatuchnutom kanáli na IRC a oni mu odpísali GG? Odpovedať Známka: 4.3 Hodnotiť:

Re: dnes má meniny Nový rok, Deň vzniku SR Od: precosi | Pridané: 28.8.2017 9:55 Prečo si zamykáš byt, auto, keď odchádzaš? ty máš buď 12 rokov alebo IQ húpacieho koníka :)! Odpovedať Známka: 5.0 Hodnotiť:

Re: dnes má meniny Nový rok, Deň vzniku SR Od: man in shadow | Pridané: 28.8.2017 10:18 Asi ano Odpovedať Známka: 10.0 Hodnotiť:

Re: dnes má meniny Nový rok, Deň vzniku SR Od: ujo tomas | Pridané: 28.8.2017 14:04 on tie udaje o tebe preda dalej.. Odpovedať Hodnotiť:

hacking Od: global hackers | Pridané: 23.11.2017 20:38 Potrebujete bezodkladne 100% záruku hackerov? Potom kontaktujte globalworldhackers@gmail.com, ak ste boli sklamaní Prešiel falošnými hackeri, potom ste na správnom mieste. Sme schopní strihať ďalšie a ďalšie; : Zmena vysokých škôl : Účtovníctvo bankového účtu Twitters hack : Banka / bankomat : Ovládanie vzdialeného zariadenia : Čísla horákov hack : Overené účty PayPal : Akýkoľvek účet sociálnych médií hack : Android hack a iPhone : Word Tlač Blogy hack : Hack textové správy : Zachytenie e-mailu atď. Ak chcete získať ďalšie informácie, kontaktujte nás na adrese globalworldhackers@gmail.com Odpovedať Hodnotiť:

Pridať komentár