reklama

Bezpečnostní svodka: Únik hesel z Mall.cz není tragédie, firma to zvládla na lepší dvojku

Čtěte více: Mall.cz | hacker | kybernetický útok
  • Mall.cz se k úniku dat postavil překvapivě zodpovědně a otevřeně, zákazníky ale nepotěšil.
  • Systém zabezpečení hesel v Mallu nebyl vhodný už v době zavedení, stále je ale rozšířený.
  • E-mail s upozorněním na nutnost změny hesla dostal více než milion zákazníků.
jarvis_59a445cc498e2987d989642f.jpeg Hackeři napadli účty zákazníků e-shopu Mall.cz. Foto: HN - Libor Fojtík

Společnost Mall.cz, lépe řečeno zhruba 760 000 jejích uživatelů, postihl masivní únik dat. On-line obchod se o úniku dozvěděl a získal přístup k datům, která utekla. Šlo o již zpracované údaje obsahující jméno, příjmení, e-mail, někde telefonní číslo a otisk (hash) hesla, v případě slabých hesel přímo již prolomené heslo v textové podobě.

Společnost na základě studia získaných dokumentů soudí, že jde o data z roku 2014. V současné době není známo, jakým způsobem data unikla. Vzhledem ke stáří dat to nevypadá na aktuální průnik, spíše že utekla data z nějaké zálohy nebo dumpu, který se válel někde, kde neměl.

V současnosti Mall.cz podle svého tvrzení ukládá hesla způsobem, který lze pokládat pro současnou dobu za bezpečný – hashováním pomocí algoritmu bcrypt (n = 10). To znamená, že pokud by hesla unikla nyní, útočníkovi k ničemu nebudou. Tuto metodu ale zavedla poměrně pozdě, až v říjnu roku 2016.

Od roku 2012 používala metodu SHA1 + salt, kterou nelze již pokládat za bezpečnou (a nebyla bezpečná ani v době zavedení), a ještě předtím používala prosté MD5 (které není bezpečné v žádném případě). Pokud jste tedy měli na Mall.cz v roce 2015 účet, předpokládejte, že je vaše heslo v otevřené podobě (v kombinaci s e-mailovou adresou, jménem, příjmením a možná telefonem) volně k dispozici, a pokud jej používáte ještě někde jinde, změňte si ho.

Nemá smysl Mall.cz plísnit za to, že data unikla. To se stává i mnohem větším a důležitějším firmám a Bezpečnostní svodka o tom průběžně informuje. Realisticky vzato je dnes situace v oboru taková, že tomu nelze zabránit. Vyplísnit si zaslouží za to, že na bezpečnou úschovu hesel přešli až pozdě, leč to plísnění by mělo být mírné, ježto většina firem v oboru je na tom ještě mnohem hůře. U úniku dat je důležité zejména to, jak se k němu firma postaví a jak o něm informuje své zákazníky a veřejnost. Tohle Mall.cz zvládl dobře, řekněme na lepší dvojku.

Firma zresetovala hesla všem účtům založeným před rokem 2015 (celkem jde o 1,3 mil. účtů, pro jistotu obeslali více zákazníků, protože není jisté, kdy přesně data unikla) a rozeslala jim e-mail, ve kterém situaci vysvětluje a dává návod pro reset hesla. Samozřejmě v něm nechybí povinná věta "ochrana osobních údajů zákazníků je pro nás prioritou". Zároveň Mall.cz vydal vyjádření na svém webu.

To je přesně to, co firma měla udělat, a zaslouží si za to pochvalu. "Lepší dvojku" jim dávám za nejasnou formulaci, ze které není zcela jasné, co se přesně stalo. Na druhou stranu, na můj dotaz reagoval Mall.cz prakticky obratem a se všemi konkrétními informacemi.

Bezpečnostní svodka

Systémy pro správu zdrojových kódů Git, Mercurial a Subversion obsahují zranitelnost, která umožňuje vhodně zkonstruovaným odkazem vykonat jakýkoliv příkaz na počítači oběti. Tyto programy používají zejména vývojáři pro verzování zdrojových kódů programů a pro vzájemnou spolupráci. Tři jmenované přitom mají dohromady naprostou většinu trhu. Pro všechny už je k dispozici opravená verze.

Používáte místo děravého Adobe Readeru jeho alternativu, Foxit PDF Reader? Obsahuje několik moc pěkných bezpečnostních děr, které umožňují spuštění útočníkem určeného kódu při pouhém otevření PDF souboru. Jde navíc o 0-day chybu, protože výrobce se problémem odmítl zabývat s tím, že přece dokument stačí otevřít v "safe mode".

HBO, producent populárního seriálu Hry o trůny, má poslední dobou s kybernetickou bezpečností hodně průšvihů. Nejprve neznámí útočníci údajně získali 1.5 TB interních dat, včetně dosud nezveřejněných dílů několika seriálů, a požadovali výkupné šest milionů dolarů. O měsíc později pak jinou epizodu GoT omylem profláklo samo HBO. No a nejnověji se saúdskoarabské skupině OurMine podařilo získat kontrolu nad účty HBO a GoT na Twitteru a Facebooku.

Myslíte si, že k bezpečnosti vašeho telefonu stačí jenom neinstalovat aplikace z neznámých zdrojů a omezit se jenom na oficiální App Store své platformy? Bohužel to není pravda. Více než tisíc aplikací v oficiálním Google Play store obsahuje malware SonicSpy. Play Store je nedostatečnou kontrolou publikovaných aplikací proslulý, ale na Google nemůžeme být příliš přísní: způsobů, jak zamaskovat malware, je příliš mnoho, než aby je mohla automatická kontrola spolehlivě odhalit a na manuální kontrolu je aplikací prostě příliš mnoho.

Právě vyšel Android ve verzi 8.0. Podle vlastních statistik má doteď aktuální verze Androidu (7.x) celkem 13,5 procenta trhu. Více má třeba verze 4.4 (16 procent), která je čtyři roky stará. Což vám o bezpečnosti Androidu říká zhruba tak vše, co potřebujete vědět. 

Pokračování tohoto článku si mohou přečíst jen předplatitelé.

Děkujeme za vaši přízeň.

Obsah starší než měsíc je součástí archivu a do článků zdarma se nepočítá.
Chcete číst bez omezení? Předplaťte si plný přístup.

Předplatit

Michal Altair Valášek
Přeposlat
Diskuse

Sílící koruně navzdory. Export míří k čtyřbilionovému rekordu, na euro už přešlo i mnoho malých firem

Čeští poslanci ve službách Kremlu. Vzniká hnutí odporu kolem Bendy, děsí se, kam až Moskva uvidí

Zeman by mohl vyhrát volby už v prvním kole. Topolánek je pro většinu lidí nepřijatelný, ukázal průzkum

Petr Bendl už nebude poslancem. Soud zjistil, že došlo ke špatnému sčítání preferenčních hlasů

Jobsem nebo Gatesem se může stát každý, dá se to naučit, říká profesor z Berkeley a zakladatel čtyř start-upů

reklama