Napad na LivingSocial razkril 50 milijonov elektronskih naslovov

Matej Huš

28. apr 2013 ob 20:51:15

S spletne strani LivingSocial, ki ponuja kupone za ugodne nakupe in deluje podobno kot Groupon, so sporočili, da so bili včeraj žrtve obsežnega hekerskega napada. Neznani napadalci so pridobili dostop do osebnih informacij več kot 50 milijonov uporabnikov, med drugim imena, elektronske naslove, rojstne podatke in podatke o geslih. Slednja so bila shranjena v zgoščeni (hash) obliki z različnimi vrednostmi salt. To bo razbijanje gesel precej otežilo, a ga ne more v celoti zavreti. Zaradi tega so na strani uporabnike že pozvali k zamenjavi prijavnih podatkov ter zamenjavo gesel na ostalih straneh, če slučajno uporabljajo isto geslo kot za LivingSocial. Bančni podatki oziroma številke kreditnih kartic niso bile kompromitirane.

Za uporabnike je to sicer precejšnja nevšečnosti, tragičnih posledic pa bržkone ne bo. LivingSocial poroča, da še nimajo indicev, da bi bil katerikoli račun zlorabljen. Napadalci so dobili cel kup elektronskih naslovov, ki jih bodo lahko uporabili za pošiljanje spama, medtem ko gesel še nimajo. Ker so bila primerno varovana (hashed, salted), morajo razbijati vsako geslo posebej (različen salt namreč poskrbi, da imajo tudi ista gesla drugačen hash, čemur so lahko do neke mere hvaležni vsi z enakimi gesli, čeprav napada s slovarjem to nič ne upočasni). Za dobra in močna gesla bo razbijanje trajalo precej, tako da imajo uporabniki dovolj časa, da jih spremenijo.

So pa ti napadi, ki so čedalje pogostejši (LinkedIn, Evernote ...), opomnik, da nepridipravi ne počivajo in ves čas poizkušajo pridobiti koristne osebne informacije. Zato je nujno, da se varnosti posvečajo tudi upravljavci strani kot tudi končni uporabniki (močna gesla, ki se ne ponavljajo).