Ukradli šifrirana gesla 2,4 milijona uporabnikov Blura
Matej Huš
3. jan 2019 ob 19:34:20
Podjetje Abine, ki ponuja priljubljeni upravljalnik gesel Blur in storitev za zaščito zasebnosti na spletu DeleteMe, je potrdilo, da je bilo žrtev hekerskega vdora. Zanj so izvedeli 13. decembra, ta teden pa se je zaključila interna preiskava incidenta, so sporočili. Hekerji so pridobili dostop do datoteke, ki je vsebovala nekatere podatke o uporabnikih Blura izpred 6. januarja 2018. Prizadetih je 2,4 milijona uporabnikov.
Konkretno, odtujeni so bili naslednji podatki uporabnikov, ki so se registrirali pred navedenim datumom: vsi elektronski naslovi, nekaj lastnih imen, nekaj namigov za geslo (le za uporabnike starejše storitve MaskMe), IP-ja zadnjega in predzadnjega dostopa v vsak uporabniški račun, vsa šifrirana gesla za uporabo Blura. Najbolj problematično je prav slednje, a v podjetju zagotavljajo, da so bila vsa gesla šifrirana (bcrypt) z dodano naključno sestavino (salted and encrypted), zato kraja teh podatkov ni usodna. Kot kaže, hekerji niso dobili gesel, shranjenih v profilih, telefonskih številk in bančnih podatkov. Kljub temu vse uporabnike pozivajo, da zamenjajo gesla na Bluru in, če kod uporabljajo enako geslo, tudi tam. Priporočajo tudi uporabo dvostopenjskega preverjanja pristnosti (two-factor authentication). Storitev DeleteMe ni prizadeta niti niso od tam ušli nobeni podatki.
Iz Abina so sporočili, da so hekerji dostop dobili zaradi napačno nastavljenega strežnika na Amazon S3, kjer so hranili odtujeno datoteko. To pomeni, da hekerji niso vdrli v sistem, temveč je šlo za malomarnost pri varnostnih nastavitvah. Napako obžalujejo.