וִידֵאוֹ: Livingsocial Under Attack By Hackers, Customers Personal Data Stolen (נוֹבֶמבֶּר 2024)
תוקפי סייבר הפרו לאחרונה את המערכות של חברת LivingSocial וניגשו באופן בלתי חוקי למידע על לקוחות עבור יותר מ- 50 מיליון משתמשים, כך אמר LivingSocial. משתמשים צריכים לשנות את הסיסמאות שלהם באופן מיידי.
כפי שפורסם אתמול PCMag.com, LivingSocial שלחה הודעות דוא"ל על הפרת נתונים לכל הלקוחות שהושפעו והודיעו להם על מתקפת סייבר שהביאה לגישה בלתי מורשית לנתוני לקוחות. יותר מ -50 מיליון חשבונות הושפעו פוטנציאלית, לפי LivingSocial, מה שהפך את זה לאחת מהפרות הסיסמאות הגדולות ביותר השנה.
נכון לעכשיו לא ברור כיצד התרחשה ההפרה ואילו מידע נוסף נגנב. בתקריות מסוג זה, בדרך כלל, התוקפים פורצים על ידי התקנה בחשאי של תוכנות זדוניות במכשירי עובדים ואז עוברים את דרכם ברחבי הרשת עד שהם מוצאים מערכות רגישות, אמר ג'ורג 'טובין, אסטרטג אבטחה בכיר ב- Trusteer, ל- SecurityWatch .
ספקים "צריכים לצפות בהאקרים למקד את המערכות שלהם כדי לקבל נתוני לקוחות או מידע ארגוני רגיש", אמר טובין. בשלב זה, "ברור שספקים אלה פשוט לא עושים מספיק כדי להגן על המידע של הלקוחות שלהם", אמר טובין.
סיסמאות מומלחות, מנותקות, אינן הוכחות נגד סדק
זה סימן טוב לכך ש- LivingSocial חיפשה והמלחה את הסיסמאות שלה שכן היא תאט את התוקפים במקצת, אבל "זה לא יעצור" מהתוקפים לנסות ולהצליח להבין את הסיסמאות המקוריות, רוס בארט, מנהל בכיר לביטחון הנדסה ב- Rapid7, אמרה ל- SecurityWatch . בעוד שהמלחה מאטה את תהליך הפיצוח, "בסופו של דבר התוקפים או הרשת שלהם יקבלו את המידע שהם אחריו" אמר בארט..
Hashing הוא קידוד חד כיווני, שבו אתה תמיד מקבל את אותו פלט עבור קלט מסוים, אך לא ניתן להתחיל עם חשיש ולברר מה היה המחרוזת המקורית. התוקפים מסתמכים לעתים קרובות על שולחנות הקשת, סדרה של מילונים עצומים המכילים כל מחרוזת שאפשר להעלות על הדעת (כולל מילות מילון, שמות משפחה נפוצים, אפילו מילות שירים) וערכי החשיש הרלוונטיים. התוקפים יכולים להתאים את החשיש מטבלת הסיסמאות לטבלת הקשת כדי למצוא את המיתר המקורי שייצר את הקוד.
המלחה מתייחסת לתהליך של הוספת מידע נוסף למיתר הקלט המקורי לפני יצירת hash. מכיוון שהתוקף אינו יודע מהם פיסות הנתונים הנוספות, פיצוח החשיש נעשה קשה יותר.
ואולם הבעיה היא ש- LivingSocial השתמשה ב- SHA1 כדי ליצור את ה- hash, אלגוריתם חלש. בדומה ל- MD5, אלגוריתם פופולרי נוסף, SHA1 תוכנן לפעול במהירות ובמינימום משאבי מחשוב.
בהתחשב בהתקדמות האחרונה בתחום טכנולוגיות החומרה וההאקינג, חיפושי SHA1, אפילו מלוחים, אינם חסינים בפני סדק. LivingSocial היה טוב יותר עם bcrypt, scrypt או PBKDF-2.
שנה את הסיסמאות האלה עכשיו
LivingSocial איפס את הסיסמאות באופן מכוון לכל המשתמשים והמשתמשים צריכים לדאוג לבחור סיסמאות חדשות שלא נעשה בהן שימוש בשום מקום אחר. אנשים רבים נוטים לעשות שימוש חוזר באותה סיסמה באתרים; אם משתמשים השתמשו בסיסמת ה- LivingSocial באתרים אחרים, עליהם לשנות גם את הסיסמאות הללו מייד. ברגע שהסיסמאות נסדקות, התוקפים יכולים לנסות את הסיסמאות מול שירותים פופולריים כמו דואר אלקטרוני, פייסבוק ולינקדאין.
"הפרות אלה הן תזכורת נוספת מדוע חשוב כל כך לשמור על היגיינת סיסמאות טובה ולהשתמש בסיסמאות שונות לכל החשבונות והאתרים, " אמר בארט.
התוקפים יכולים להשתמש גם בתאריכי לידה ושמות כדי ליצור דיוג וקמפיינים הנדסיים חברתיים אחרים. הם יכולים להפנות את הפרטים האלה כדי להערים על המשתמשים לחשוב שמדובר בהודעות לגיטימיות. הנתונים הגנובים יהיו "הפעלת פיגועים למשך זמן רב מאוד", אמר בארט.
הפרת LivingSocial היא "תזכורת נוספת לפיה ארגונים ימשיכו להיות ממוקדים לנתוני הלקוחות החשובים שלהם", אמר בארט.