LiveAuctioneers afslørede en dataforbrud på millioner af adgangskoder, e-mail-adresser og telefonnumre

Lørdag annoncerede LiveAuctioneers, en online platform, der lader brugerne deltage i virkelige antikke, kunst- og smykkeauktioner, at nogle af dets kunders personlige data kan være kompromitteret. Anmeldelsen var hurtig til at påpege, at overtrædelsen skete hos en tredjeparts databehandlingspartner, og at LiveAuctioneers blot var en af de mange onlinetjenester, der blev berørt, men vi kan ikke forestille os, at dette har gjort noget for at gøre stemningen lysere af de mennesker, hvis data blev lækket.

Hackere får adgang til LiveAuctioneers-data efter et tredjepartsbrud

Den oprindelige version af underretningen om dataovertrædelse hævdede, at blandt andet hackerne muligvis har haft adgang til de sidste fire cifre på nogle af brugernes kreditkort. En opdatering fra 12. juli fjernede imidlertid disse oplysninger. I stedet angav den ændrede meddelelse, at den 19. juni angreb hackere LiveAuctioneers 'databehandlingspartner og fik adgang til brugernes navne, e-mail- og postadresser, telefonnumre og "krypterede adgangskoder."

Cybersecurity-ekspert Graham Cluley var nysgerrig efter at finde ud af, hvad LiveAuctioneers mente med "krypterede adgangskoder", og han ønskede også at vide, hvor mange mennesker der kan være blevet påvirket, hvorfor han prøvede at komme i kontakt med virksomheden og bede om mere information. I går fik han sine svar. Desværre kom de ikke fra LiveAuctioneers, men fra et hackingforum, hvor cyberkriminelle køber og sælger stjålne data.

Hackere forsøger at sælge de kompromitterede LiveAuctioneers-data

I går meddelte forskere fra CloudSEK, at deres platform for risikovervågning havde fundet en annonce for 3,4 millioner stjålne LiveAuctioneers-poster på et klart forum for webhacking. Indlægget blev dateret 10. juli, et dag før platformen annoncerede overtrædelsen, og, ligesom LiveAuctioneers sagde, indeholdt posterne navne, e-mail og postadresser og i nogle tilfælde IP'er. For omkring 3 millioner af kontiene hævdede sælgeren imidlertid også at have de knækkede adgangskoder.

Annoncen sagde, at adgangskoder var hashet med MD5, som, som Graham Cluley påpegede, er "ved siden af ubrugelig" når det kommer til at beskytte legitimationsoplysninger, og den kendsgerning, at hackeren formåede at hente det meste af login-data på mindre end en måned skal være et godt bevis på, hvor sorgløst usikker algoritmen er.

Det er rimeligt at sige, at alle adgangskoder skal betragtes som kompromitterede nu, men er det sådan en dårlig ting?

Hvor dårlige er konsekvenserne?

Ved første øjekast ville du blive tilgivet for at tro, at overtrædelsen ikke er så stor. LiveAuctioneers 'cybersecurity-team vidste tilsyneladende, at de ikke brugte den mest sikre adgangskodelagringsmetode, og da de lærte om bruddet, deaktiverede de øjeblikkeligt alle budkonti' seneste adgangskoder. Kan lide det eller ej, brugere, der er berørt af angrebet, bliver nødt til at ændre deres LiveAuctioneers-adgangskoder.

De skal dog også sørge for, at de kompromitterede loginoplysninger ikke bruges på andre websteder eller tjenester. Ellers kan hackerne nemt overtage deres konti med et simpelt udfyldningsangreb. Desværre er LiveAuctioneers-brugere blot et af problemerne.

Lad os ikke glemme, at LiveAuctioneers er en platform, der hjælper med salg af kunst, antikviteter, smykker og andre dyre varer. Mennesker, der bruger det, har mange penge at bruge og er derfor de perfekte mål for sofistikerede spearphishing-angreb. De personlige data tilbydes heller ikke gratis, hvilket betyder, at den, der køber det, sandsynligvis vil forsøge at få et afkast på deres investering. LiveAuctioneers-brugere skal med andre ord være endnu mere forsigtige end normalt.