Hashede adgangskoder og nulstilling af kodeord er blevet lækket ved en massiv overtrædelse af Tokopedia-data

Sidste uge bemærkede serviceovervågningstjeneste Under Breach et interessant indlæg på et populært hackingforum. Forfatteren tilbød 15 millioner brugerposter stjålet fra Tokopedia, en af Indonesiens største e-handelsplatforme, helt gratis. Dataene blev stjålet i marts i år, og personen, der delte dem, hævdede, at det var en del af en meget større dump, som han havde til hensigt at tjene penge. En dag senere sagde Under the Breach , at "den samme skuespiller" solgte hele 91 millioner Tokopedia-plader for $ 5.000 på et mørkt webmarked.

Forudsigeligt begyndte folk at stille spørgsmål, og Tokopedia holdt langt fra at benægte overtrædelsen et møde med repræsentanter for nogle indonesiske regeringsorganer for at rydde op. Ifølge The Jakarta Post var Johnny Plate, landets kommunikations- og informationsminister, under det forsikret om, at kundernes "brugerkonti og økonomiske data er sikre." Men er dette virkelig tilfældet?

Hackere stjal hashede adgangskoder og prøver at finde en måde at knække dem på

Det kan virke lidt underligt i starten. På den ene side blev dataene faktisk stjålet, men på den anden side behøver folk ikke at bekymre sig om deres konti. Forvirringen stammer fra det faktum, at The Jakarta Post ikke delte tekniske detaljer med sine læsere. Heldigvis gjorde ZDNet det.

Den gode nyhed er, at Tokopedia ikke gemmer adgangskoder i klartekst. Da han delte de første 15 millioner poster gratis, bad den ansvarlige for overtrædelsen sine med hackere om at hjælpe ham med at knække loginoplysningerne, der er gemt i databasen. I henhold til ZDNet er dette ingen gennemsnitlig bedrift. Adgangskoderne blev tilsyneladende hashet med SHA2-384, og hackeren indrømmede selv, at han ikke kunne pilfer de kryptografiske salte, der blev brugt til at forbedre hash-algoritmens sikkerhed. Som et resultat af alt dette ville det være ret svært at omdanne hasherne til almindelige adgangskoder og logge ind på folks konti.

Dette er grunden til, at Johnny Plate sagde, at Tokopedia-brugernes konti er sikre, og det er derfor, hackeren sælger dumpet for en relativt beskeden $ 5.000. Desværre betyder det ikke, at folk skal slappe af.

Berørte Tokopedia-brugere står over for en række trusler

Som ZDNet påpegede, kan SHA2-384 muligvis betragtes som sikker, men det betyder ikke, at det er ufejlbarligt. For nylig stjal hackere for eksempel en database fra Quidd, en platform til handel med digitale samlerobjekter, og de var oprindeligt skuffede over at få at vide, at adgangskoder var blevet hashet med bcrypt, en anden stærk hash-algoritme. Nogle af skurkerne besluttede dog at give det en chance, og uundgåeligt blev en del af hasjene brudt.

Selv uden adgangskoder kunne de mennesker, der får deres hånd på Tokopedia-dataene se på en række angrebsmuligheder. Efter at have gennemskummet en kopi af den indledende dump sagde ZDNet, at posterne indeholder en hel del personlige oplysninger som navne, e-mails, fødselsdato samt et væld af profilspecifikke detaljer, som f.eks. Oprettelsesdatoer for kontoen, information om placeringen, uddannelse, om-mig-felter osv. Tilsyneladende lækkede kodeord nulstillingskoder også, selvom det stadig er uklart, om de er gyldige.

Det var et massivt dataovertrædelse, og hackeren startede med en hel del information, som kan hjælpe cyberkriminelle med at udtænke en række forskellige svindel. Tokopedia-kontoejere skal være lidt mere forsigtige fra nu af.