Дом Securitywatch Livesocial пароль нарушает 50 миллионов учетных записей

Livesocial пароль нарушает 50 миллионов учетных записей

Видео: Маша и Медведь (Masha and The Bear) - Подкидыш (23 Серия) (Ноябрь 2024)

Видео: Маша и Медведь (Masha and The Bear) - Подкидыш (23 Серия) (Ноябрь 2024)
Anonim

По словам LivingSocial, кибер-злоумышленники недавно взломали системы LivingSocial и незаконно получили доступ к информации о клиентах для более чем 50 миллионов пользователей. Пользователи должны немедленно изменить свои пароли.

Как вчера сообщал PCMag.com, LivingSocial отправил всем пострадавшим клиентам электронные письма с уведомлением о нарушении данных, сообщив им о кибератаке, которая привела к несанкционированному доступу к данным клиента. По данным LivingSocial, потенциально пострадали более 50 миллионов учетных записей, что делает это одним из крупнейших нарушений пароля в этом году.

Пока не ясно, как произошло нарушение и какие другие данные были украдены. В подобных инцидентах злоумышленники, как правило, взламывают себя, тайно устанавливая вредоносные программы на устройства сотрудников, а затем обходят сеть, пока не обнаружат чувствительные системы, сообщил SecurityWatch Джордж Тубин, старший стратег по безопасности Trusteer.

Поставщики «должны ожидать, что хакеры будут ориентировать свои системы на получение данных о клиентах или конфиденциальной корпоративной информации», сказал Тубин. На данный момент, «очевидно, что эти поставщики просто не делают достаточно для защиты информации своих клиентов», сказал Тубин.

Соленые, хешированные пароли, не взломанные

Это хороший признак того, что LivingSocial хэшировал и складывал свои пароли, поскольку это несколько замедлит действия злоумышленников, но "это не остановит" злоумышленников от попыток и успеха в выяснении исходных паролей, Росс Барретт, старший менеджер по безопасности Инжиниринг на Rapid7, рассказал SecurityWatch . В то время как соление замедляет процесс взлома, «в конечном итоге злоумышленники или их сеть получат информацию, которую они ищут», - сказал Барретт.

Хеширование - это одностороннее шифрование, при котором вы всегда получаете один и тот же вывод для определенного ввода, но невозможно начать с хэша и определить исходную строку. Злоумышленники часто полагаются на радужные таблицы, ряд огромных словарей, содержащих все мыслимые строки (включая слова из словаря, общие фамилии, даже тексты песен) и соответствующие значения хеш-функции. Злоумышленники могут сопоставить хэш из таблицы паролей с радужной таблицей, чтобы найти исходную строку, сгенерировавшую код.

Соль - это процесс добавления дополнительной информации к исходной входной строке перед созданием хеша. Так как злоумышленник не знает, что такое дополнительные биты данных, взломать хеш становится сложнее.

Проблема, однако, в том, что LivingSocial использовал SHA1 для генерации хеша, слабого алгоритма. Как и MD5, другой популярный алгоритм, SHA1 был разработан для быстрой работы с минимальным количеством вычислительных ресурсов.

Учитывая последние достижения в области аппаратных средств и технологий взлома, хэши SHA1, даже соленые, не защищены от взлома. LivingSocial был бы лучше с bcrypt, scrypt или PBKDF-2.

Изменить эти пароли сейчас

LivingSocial упреждающе сбросил пароли для всех пользователей, и пользователи должны убедиться, что они выбрали новые пароли, которые больше нигде не используются. Многие люди, как правило, используют один и тот же пароль на разных сайтах; если пользователи использовали пароль LivingSocial на других сайтах, они также должны немедленно изменить эти пароли. После того, как пароли взломаны, злоумышленники могут попробовать пароли против популярных сервисов, таких как электронная почта, Facebook и LinkedIn.

«Эти нарушения являются еще одним напоминанием, почему так важно соблюдать правила гигиены паролей и использовать разные пароли для всех учетных записей и сайтов», - сказал Барретт.

Злоумышленники могут также использовать даты рождения и имена для создания фишинговых и других кампаний социальной инженерии. Они могут ссылаться на эти детали, чтобы заставить пользователей думать, что это законные сообщения. Похищенные данные станут «мощными атаками на очень долгое время», сказал Барретт.

Нарушение LivingSocial - это «еще одно напоминание о том, что организации будут и далее ориентироваться на ценные данные о своих клиентах», сказал Барретт.

Livesocial пароль нарушает 50 миллионов учетных записей