reklama

Bezpečnostní svodka: Únik hesel z Mall.cz není tragédie, firma to zvládla na lepší dvojku

Čtěte více: Mall.cz | hacker | kybernetický útok
  • Mall.cz se k úniku dat postavil překvapivě zodpovědně a otevřeně, zákazníky ale nepotěšil.
  • Systém zabezpečení hesel v Mallu nebyl vhodný už v době zavedení, stále je ale rozšířený.
  • E-mail s upozorněním na nutnost změny hesla dostal více než milion zákazníků.
jarvis_59a445cc498e2987d989642f.jpeg Hackeři napadli účty zákazníků e-shopu Mall.cz. Foto: HN – Libor Fojtík

Společnost Mall.cz, lépe řečeno zhruba 760 000 jejích uživatelů, postihl masivní únik dat. On-line obchod se o úniku dozvěděl a získal přístup k datům, která utekla. Šlo o již zpracované údaje obsahující jméno, příjmení, e-mail, někde telefonní číslo a otisk (hash) hesla, v případě slabých hesel přímo již prolomené heslo v textové podobě.

Společnost na základě studia získaných dokumentů soudí, že jde o data z roku 2014. V současné době není známo, jakým způsobem data unikla. Vzhledem ke stáří dat to nevypadá na aktuální průnik, spíše že utekla data z nějaké zálohy nebo dumpu, který se válel někde, kde neměl.

V současnosti Mall.cz podle svého tvrzení ukládá hesla způsobem, který lze pokládat pro současnou dobu za bezpečný – hashováním pomocí algoritmu bcrypt (n = 10). To znamená, že pokud by hesla unikla nyní, útočníkovi k ničemu nebudou. Tuto metodu ale zavedla poměrně pozdě, až v říjnu roku 2016.

Od roku 2012 používala metodu SHA1 + salt, kterou nelze již pokládat za bezpečnou (a nebyla bezpečná ani v době zavedení), a ještě předtím používala prosté MD5 (které není bezpečné v žádném případě). Pokud jste tedy měli na Mall.cz v roce 2015 účet, předpokládejte, že je vaše heslo v otevřené podobě (v kombinaci s e-mailovou adresou, jménem, příjmením a možná telefonem) volně k dispozici, a pokud jej používáte ještě někde jinde, změňte si ho.

Nemá smysl Mall.cz plísnit za to, že data unikla. To se stává i mnohem větším a důležitějším firmám a Bezpečnostní svodka o tom průběžně informuje. Realisticky vzato je dnes situace v oboru taková, že tomu nelze zabránit. Vyplísnit si zaslouží za to, že na bezpečnou úschovu hesel přešli až pozdě, leč to plísnění by mělo být mírné, ježto většina firem v oboru je na tom ještě mnohem hůře. U úniku dat je důležité zejména to, jak se k němu firma postaví a jak o něm informuje své zákazníky a veřejnost. Tohle Mall.cz zvládl dobře, řekněme na lepší dvojku.

Firma zresetovala hesla všem účtům založeným před rokem 2015 (celkem jde o 1,3 mil. účtů, pro jistotu obeslali více zákazníků, protože není jisté, kdy přesně data unikla) a rozeslala jim e-mail, ve kterém situaci vysvětluje a dává návod pro reset hesla. Samozřejmě v něm nechybí povinná věta "ochrana osobních údajů zákazníků je pro nás prioritou". Zároveň Mall.cz vydal vyjádření na svém webu.

To je přesně to, co firma měla udělat, a zaslouží si za to pochvalu. "Lepší dvojku" jim dávám za nejasnou formulaci, ze které není zcela jasné, co se přesně stalo. Na druhou stranu, na můj dotaz reagoval Mall.cz prakticky obratem a se všemi konkrétními informacemi.

Bezpečnostní svodka

Systémy pro správu zdrojových kódů Git, Mercurial a Subversion obsahují zranitelnost, která umožňuje vhodně zkonstruovaným odkazem vykonat jakýkoliv příkaz na počítači oběti. Tyto programy používají zejména vývojáři pro verzování zdrojových kódů programů a pro vzájemnou spolupráci. Tři jmenované přitom mají dohromady naprostou většinu trhu. Pro všechny už je k dispozici opravená verze.

Používáte místo děravého Adobe Readeru jeho alternativu, Foxit PDF Reader? Obsahuje několik moc pěkných bezpečnostních děr, které umožňují spuštění útočníkem určeného kódu při pouhém otevření PDF souboru. Jde navíc o 0-day chybu, protože výrobce se problémem odmítl zabývat s tím, že přece dokument stačí otevřít v "safe mode".

HBO, producent populárního seriálu Hry o trůny, má poslední dobou s kybernetickou bezpečností hodně průšvihů. Nejprve neznámí útočníci údajně získali 1.5 TB interních dat, včetně dosud nezveřejněných dílů několika seriálů, a požadovali výkupné šest milionů dolarů. O měsíc později pak jinou epizodu GoT omylem profláklo samo HBO. No a nejnověji se saúdskoarabské skupině OurMine podařilo získat kontrolu nad účty HBO a GoT na Twitteru a Facebooku.

Myslíte si, že k bezpečnosti vašeho telefonu stačí jenom neinstalovat aplikace z neznámých zdrojů a omezit se jenom na oficiální App Store své platformy? Bohužel to není pravda. Více než tisíc aplikací v oficiálním Google Play store obsahuje malware SonicSpy. Play Store je nedostatečnou kontrolou publikovaných aplikací proslulý, ale na Google nemůžeme být příliš přísní: způsobů, jak zamaskovat malware, je příliš mnoho, než aby je mohla automatická kontrola spolehlivě odhalit a na manuální kontrolu je aplikací prostě příliš mnoho.

Právě vyšel Android ve verzi 8.0. Podle vlastních statistik má doteď aktuální verze Androidu (7.x) celkem 13,5 procenta trhu. Více má třeba verze 4.4 (16 procent), která je čtyři roky stará. Což vám o bezpečnosti Androidu říká zhruba tak vše, co potřebujete vědět. 

 

Michal Altair Valášek
Přeposlat
Diskuse
reklama

Ázerbájdžánské dělostřelectvo se chlubí českými houfnicemi. Ministerstvo netuší, jak se do země i přes embargo dostaly

Textilka Pegas Nonwovens změní majitele, investorovi R2G Rohan budou patřit čtyři pětiny jejích akcií

Volební deník Petra Honzejka: Triumf Babiše, nástup pirátů, konec Kalouska? Pomalu. Průzkumy jsou proroctví s ručením omezeným

Zemřela herečka Květa Fialová. Představitelce filmové Tornádo Lou bylo 88 let

Zisk společnosti Philip Morris ČR vzrostl o čtvrtinu na 1,6 miliardy. Podpořilo ho zvýšení cen i růst trhu cigaret

reklama