Obchod Mall.cz od včerejšího rána zasílá klientům varovný e-mail, aby si změnili heslo. „Nedávno jsme zaznamenali pokus o narušení bezpečnosti, který se dotkl starší databáze uživatelských účtů, jež neměly dostatečně silné heslo. Na nic jsme nečekali a rozhodli jsme se plošně resetovat část hesel do zákaznických účtů, abychom zabránili jejich možnému zneužití,“ upřesňuje obchod na svém blogu.
Uživatelé, kterým Mall resetoval heslo, si musí nové vytvořit přes formulář pro obnovení přihlašovacích údejů. Dle vyjádření e-shopu by měly být v ohrožení hlavně účty založené do roku 2014.
Útočníci získali databázi e-mailů a zahashovaných hesel. Hesla v čitelné podobě tedy nemají, ale v závislosti na stáří účtů se k části z nich mohou dostat zpětně. Mall na blogu potvrdil, že hesla do roku 2012 hashoval pomocí jednoduché funkce MD5, od listopadu 2012 nasadil silnější SHA-1 s unikátní solí a od října 2016 používá nejúčinnější bcrypt.
Nejvíce ohrožené jsou tak především účty založené do října 2012 včetně. Provozovatelé s nasazováním novějších metod neprováděli rehashování a pravděpodobně i staré účty s později ručně změněnými hesly byly opět hashovány jen pomocí MD5.
https://twitter.com/spazef0rze/status/901913700138930178
Mall neprozradil, kolika uživatelů se hack dotkl. Bezpečnostní expert Michal Špaček ale tvrdí, že by to mohlo být až 750 000. Po určitou dobu byla tato data dostupná na Ulož.to.
Mohla být data zneužita? Mall jasně uvádí, že v účtech neukládá žádné údaje o platebních kartách. Unikly jen e-maily a hashe hesel. Pokud se útočníkům podařilo hesla dešifrovat a ještě před resetem ze strany Mallu je využít k přihlášení, mohli si v nastavení účtu zjistit i jména, adresy a telefon uživatelů. Skutečný problém by nastal tehdy, pokud uživatelé stejné přihlašovací údaje používají ve více službách.