Vdor v Cupid Media razkril 42 milijonov nezaščitenih gesel
Matej Huš
21. nov 2013 ob 14:56:32
Na internetu se je znašla datoteka z zbranimi uporabniškimi imeni, elektronskimi naslovi, rojstni datumi in gesla, ki pripada spletni strani za internetne zmenke Cupid Media. Napad se je zgodil že januarja letos, a o njem niso obvestili medijev. Dodatno težavo povzroča dejstvo, da so bila gesla shranjena v nezaščiteni obliki (plain-text).
Datoteko z 42 milijoni vnosov so našli na istih strežnikih, kamor se hekerji priobčili tudi pridobljene podatke v napadu na Adobe. Strokovnjak za varnost Brian Krebs, ki je v začetku novembra stopil v stik s prizadeto avstralsko stranjo, da bi izvedel več podrobnosti, je dobil nepričakovan odgovor. Najprej so ga obtožili, da je "nezakonito dostopal" do uporabniških računov, ko jih je opomnil na nedopustno dejstvo, da so bila gesla shranjena v tekstovni obliki. Sicer so mu pri Cupid Media povedali še, da so napad odkrili januarja in da so nekaj gesel ponastavili, prizadete uporabnike pa so obvestili o dogodku. Zanimivo je, da nikjer v medijih ni o tem nič pisalo, saj bi obvestilo 42 milijonom uporabnikom o napadu zagotovo našlo pot med novice.
Poudarjajo, da je prizadetih bistveno manj kot 42 milijonov uporabnikov. Podatkovna baza je namreč vsebovala številne stare vnose o neaktivnih uporabnikih. Cupid Media naj bi imel namreč 30 milijonov uporabnikov. Toda v resnici je to še slabše, saj kaže, da stran hrani tudi podatke o nekdanjih uporabnikih, za kar nimajo nobene potrebe. Prav tako hranjenje gesel v tekstovni obliki kar kliče po nesreči, saj vdor razkrije vsa gesla, uporabniki pa gesla pogosto reciklirajo tudi z uporabo na drugih straneh, čeprav je to strogo odsvetovano početje.
Zbrani podatki so zlata jama za spamerje. Poleg gesel in elektronskih naslov so dobili na pladnju servirane zelo lepo profilirane uporabnike (obiskovalce strani za zmenke), ki jih lahko ponujajo ciljane oglase.
Reciklaža gesel pa je tako velik problem, da na primer Facebook preverja, ali imajo njihovi uporabniki enaka gesla, kot so jih imeli pri Adobu, in jim v tem primeru priporoči zamenjavo.