Video: Jared Eberhardt - Bed - LIVING SOCIAL ad (Oktober 2024)
Kibernetski napadalci so pred kratkim kršili sisteme LivingSocial in nezakonito dostopali do informacij o strankah za več kot 50 milijonov uporabnikov, je dejal LivingSocial. Uporabniki morajo takoj spremeniti gesla.
Kot je včeraj poročal PCMag.com, LivingSocial vsem prizadetim strankam pošilja obvestila o kršitvi podatkov in jih obvešča o kibernetskem napadu, ki je povzročil nepooblaščen dostop do podatkov strank. Po poročanju LivingSocial je bilo lahko prizadetih več kot 50 milijonov računov, zaradi česar je to ena največjih kršitev gesla v tem letu.
Trenutno ni jasno, kako je prišlo do kršitve in katere druge informacije so bile ukradene. Pri tovrstnih incidentih se napadalci navadno vdrejo s skrivnim nameščanjem zlonamerne programske opreme na naprave zaposlenih in nato potujejo po omrežju, dokler ne najdejo občutljivih sistemov, je za SecurityWatch povedal George Tubin, višji varnostni strateg pri Trusteerju.
Ponudniki "bi morali pričakovati, da bodo hekerji ciljali na svoje sisteme, da bi pridobili podatke o strankah ali občutljive podatke o podjetju, " je dejal Tubin. V tem trenutku je "očitno, da ti ponudniki preprosto ne storijo dovolj za zaščito informacij svojih strank", je dejal Tubin.
Slana, raztresena gesla niso zanesljiva
To je dober znak, da je LivingSocial svoje geslo prešil in posolil, saj bodo napadalci nekoliko upočasnili, a "napadalci ne bodo ustavili", da bi poskusili in uspeli, ko so izbrali originalna gesla, Ross Barrett, višji vodja varnosti za SecurityWatch povedal inženiring na Rapid7. Medtem ko soljenje upočasni proces krekinga, "bodo sčasoma napadalci ali njihova mreža dobili informacije, ki jih iščejo", je dejal Barrett.
Hashing je enosmerna enkripcija, kjer vedno dobite enak izhod za določen vhod, vendar ni mogoče začeti s hash-om in ugotoviti, kakšen je bil prvotni niz. Napadalci se pogosto zanašajo na mavrične tabele, niz neizmernih slovarjev, ki vsebujejo vsak domisljiv niz (vključno s slovarskimi besedami, običajnimi priimki, celo besedili pesmi) in ustreznimi hash vrednostmi. Napadalci se lahko ujemajo s hashom iz tabele z gesli z mavrico, da bi našli originalni niz, ki je ustvaril kodo.
Soljenje se nanaša na postopek dodajanja dodatnih informacij v izvirni vhodni niz, preden ustvarite hash. Ker napadalec ne ve, kakšni so dodatni kosi podatkov, je razbijanje hešov težje.
Težava pa je, da LivingSocial uporablja SHA1 za ustvarjanje šibkega algoritma. Tako kot MD5, še en priljubljen algoritem, je bil SHA1 zasnovan tako, da deluje hitro in z minimalno količino računalniških virov.
Glede na nedavni napredek na področju strojne opreme in tehnologij za vdiranje v sistemsko tehniko SHA1 ne predstavlja odpornosti na razpoke. LivingSocial bi bil boljši z bcrypt, scrypt ali PBKDF-2.
Spremenite ta gesla zdaj
LivingSocial predhodno ponastavi gesla za vse uporabnike, uporabniki pa bi morali izbrati nova gesla, ki se ne uporabljajo nikjer drugje. Mnogi ljudje ponavadi ponovno uporabijo isto geslo na spletnih mestih; če so uporabniki uporabljali geslo LivingSocial na drugih spletnih mestih, bi morali ta gesla tudi takoj spremeniti. Ko so gesla zlomljena, lahko napadalci preizkusijo gesla za priljubljene storitve, kot so e-pošta, Facebook in LinkedIn.
"Te kršitve so še en opomnik, zakaj je tako pomembno vzdrževati dobro higieno gesla in uporabljati različna gesla za vse račune in spletna mesta, " je dejal Barrett.
Napadalci lahko uporabljajo tudi datume rojstva in imena za izdelavo lažnega predstavljanja in drugih kampanj socialnega inženiringa. Na te podatke se lahko sklicujejo, da bi prevarali uporabnike, da mislijo, da so to zakonita sporočila. Ukradeni podatki bodo "zelo dolgo napadali napade", je dejal Barrett.
Kršitev LivingSocial je "še en opomnik, da bodo organizacije še naprej usmerjene v svoje dragocene podatke o strankah", je dejal Barrett.
