2. Hírek
  3. Biztonság

Adatvesztési botrány: ötvenmillió felhasználó érintett

Valószínűleg az év egyik legnagyobb adatvesztése történt az Amazon tulajdonában lévő, kereskedelmi akciókat kínáló oldalnál, a LivingSocial nevű szolgáltatásnál: a híradások szerint több mint ötvenmillió felhasználó személyes adatai kompromittálódtak.

Az incidensről a múlt hét végén az AllThingsD számolt be elsőként, akik hozzájutottak Tim O’Shaughnessy cégvezetőnek az alkalmazottak számára kiküldött körleveléhez, melyben arra figyelmeztetik őket, hogy „masszív hackertámadás” érte rendszerüket, és a támadók megszerezték ügyfeleik személyes adatait: neveket, születési dátumokat, e-mail címeket, illetve titkosított jelszavakat (a kártyaadatokat, illetve a kereskedelmi adatokat tároló adatbázisok sértetlenek). Mivel a vállalkozásnak világszerte 70 millió ügyfele van, ezért a „többségüket érintő” adatvesztés igen súlyos incidens. A későbbiekben kiderült, hogy mindössze a fülöp-szigeteki, a dél-koreai, az indonéziai és a thaiföldi adatbázisok maradtak érintetlenek, mivel ezeket más szervereken tárolták.

A történtekkel kapcsolatban nyilatkozó szakértők arra a már sokadszor emlegetett kockázatra hívták fel a figyelmet, hogy ha a „hashed”, illetve „salted” jelszavakat (két biztonsági funkció: először egy szoftver átalakítja más karaktersorozattá a jelszót, majd a „sózás” újabb változtatásokat hajtanak végre ezen az karaktersoron) a támadók képesek lesznek visszafejteni, akkor nagyon súlyos következménye lehet az adatlopásnak, mivel nagyon sok felhasználó használ azonos jelszót különböző szolgáltatásoknál, és a crackerek első dolga általában, hogy a címek és a jelszavak birtokában szoftveresen végigpróbálgatják, hogy vajon az adott személy hol használta még ugyanezeket a bejelentkezési adatokat.

Erre a lehetőségre a LivingSocial által a felhasználóknak kiküldött körlevél is figyelmeztet, és azonnali jelszóváltoztatást kérnek mindenkitől – a régi jelszóval már nem lehet bejelentkezni, csak az újjal. A változtatás azért különösen halaszthatatlan, mert ha a crackerek gyorsabbak lesznek a megfejtéssel, akkor akár ők is megváltoztathatják a jelszót – erre van is esély, mivel a vállalat a nem igazán biztonságosnak tartott, a „brute force” módszerrel viszonylag hatékonyan törhető SHA-1 hash-eljárást használta a titkosításhoz.

A cég még vizsgálja a támadás körülményeit, így erről nem adtak ki tájékoztatást.

Azóta történt

Előzmények