Vídeo: Groupon, LivingSocial "deal of the day" pros and cons (Setembre 2024)
Recentment, els ciber-atacants van violar els sistemes de LivingSocial i van accedir il·legalment a la informació del client per a més de 50 milions d'usuaris. Els usuaris han de canviar les seves contrasenyes immediatament.
Tal com va informar ahir PCMag.com, LivingSocial va enviar correus electrònics de notificació d’incompliment de dades a tots els clients afectats informant-los d’un atac cibernètic que va suposar l’accés no autoritzat a les dades del client. Segons LivingSocial, més de 50 milions de comptes es van veure afectats, cosa que va suposar un dels incompliments més importants de la contrasenya aquest any.
En aquest moment no està clar com es va produir la violació i quines altres dades van ser robades. En aquest tipus d'incidents, els atacants solen interrompre en instal·lar secretament programari maliciós en dispositius d'empleats i després treballar per la xarxa fins que trobin sistemes delicats, va dir a SecurityWatch George Tubin, estrateg principal de seguretat de Trusteer.
Els proveïdors "haurien d'esperar que els pirates informàtics orientessin als seus sistemes per obtenir dades de clients o informació corporativa sensible", va dir Tubin. En aquest moment, "és obvi que aquests proveïdors simplement no estan fent prou per protegir la informació dels seus clients", va dir Tubin.
Contrasenyes amb sal i sense esqueixades
És un bon senyal que LivingSocial havia rentat i salat les seves contrasenyes, ja que això retardarà una mica els atacants, però "no impedirà" que els atacants intentin i triomfiran les contrasenyes originals, Ross Barrett, màxim responsable de seguretat. enginyeria a Rapid7, va dir a SecurityWatch . Mentre que el salat alenteix el procés de cracking, "eventualment els atacants o la seva xarxa obtindran la informació que es troba després", va dir Barrett.
El xifrat és un xifrat unidireccional, on sempre obté la mateixa sortida per a una determinada entrada, però no és possible començar amb un hash i esbrinar quina era la cadena original. Els atacants depenen sovint de taules de l'arc de Sant Martí, una sèrie de diccionaris immensos que contenen totes les cadenes imaginables (incloent paraules del diccionari, cognoms comuns, fins i tot lletres de cançons) i els valors de hash rellevants. Els atacants poden coincidir amb el hash de la taula de contrasenyes amb la taula de l'arc de Sant Martí per tal de trobar la cadena original que ha generat el codi.
Salting fa referència al procés d’afegir informació addicional a la cadena d’entrada original abans de crear un hash. Atès que l'atacant no sap quins són els trossos addicionals de dades, es trenca els hashes.
El problema, però, és que LivingSocial va utilitzar SHA1 per generar l'hash, un algoritme feble. Com MD5, un altre popular algorisme, SHA1 va ser dissenyat per funcionar ràpidament i amb una quantitat mínima de recursos informàtics.
Tenint en compte els avenços recents en les tecnologies de maquinari i pirateria, els haxats SHA1, fins i tot salats, no estan resistents a la fissura. LivingSocial hauria estat millor amb bcrypt, scrypt o PBKDF-2.
Canvieu aquestes contrasenyes ara
LivingSocial ha restablit les contrasenyes de manera preventiva per a tots els usuaris i els usuaris s’han d’assegurar de triar contrasenyes noves que no s’utilitzin en cap altre lloc. Moltes persones solen reutilitzar la mateixa contrasenya als llocs; si els usuaris utilitzen la contrasenya de LivingSocial en altres llocs, també haurien de canviar aquestes contrasenyes immediatament. Un cop les contrasenyes es trenquen, els atacants poden provar les contrasenyes amb serveis populars com ara correu electrònic, Facebook i LinkedIn.
"Aquests incompliments són un altre recordatori per què és tan important mantenir una bona higiene de les contrasenyes i utilitzar diferents contrasenyes per a tots els comptes i llocs", va dir Barrett.
Els atacants poden utilitzar també dates de naixement i noms per a la realització de campanyes de caça de pesca i altres activitats d'enginyeria social. Poden fer referència a aquests detalls per enganyar els usuaris a pensar que es tracta de missatges legítims. Les dades robades suposaran "atacs durant molt de temps", va dir Barrett.
Barrett LivingSocial és "un altre recordatori que les organitzacions continuaran orientades per les seves valuoses dades de clients", va dir Barrett.
