Hashed Passwords und Passet Reset Codes sind bei einem massiven Tokopedia-Datenverstoß durchgesickert

Letzte Woche, Datenschutzverletzung Unter dem Breach Monitoring Service bemerkte einen interessanten Beitrag zu einem beliebten Hacking Forum. Der Autor bot 15 Millionen Benutzerdatensätze an, die Tokopedia, einer der größten E-Commerce-Plattformen Indonesiens, völlig kostenlos gestohlen wurden. Die Daten wurden im März dieses Jahres gestohlen, und die Person, die sie weitergab, behauptete, sie sei Teil eines viel größeren Dumps, den er monetarisieren wollte. Tatsächlich sagte Under the Breach einen Tag später, dass "derselbe Schauspieler" satte 91 Millionen Tokopedia-Platten für 5.000 US-Dollar auf einem dunklen Web-Marktplatz verkaufte.

Vorhersehbarerweise stellten die Leute Fragen, und Tokopedia hielt den Verstoß nicht ab, sondern hielt ein Treffen mit Vertretern einiger indonesischer Regierungsbehörden ab, um die Dinge zu klären. Laut The Jakarta Post wurde Johnny Plate, dem Kommunikations- und Informationsminister des Landes, versichert, dass die "Benutzerkonten und Finanzdaten der Käufer" sicher sind. Aber ist das wirklich der Fall?

Hacker haben gehashte Passwörter gestohlen und versuchen, sie zu knacken

Es mag zunächst etwas seltsam erscheinen. Einerseits wurden Daten tatsächlich gestohlen, andererseits müssen sich die Leute keine Sorgen um ihre Konten machen. Die Verwirrung rührt von der Tatsache her, dass die Jakarta Post ihren Lesern keine technischen Details mitteilte. Zum Glück hat ZDNet das getan.

Die gute Nachricht ist, dass Tokopedia Passwörter nicht im Klartext speichert. Als er die ersten 15 Millionen Datensätze kostenlos teilte, bat die für den Verstoß verantwortliche Person seine Hackerkollegen, ihm zu helfen, die in der Datenbank gespeicherten Anmeldeinformationen zu knacken. Laut ZDNet ist dies keine leichte Aufgabe. Die Passwörter wurden anscheinend mit SHA2-384 gehasht, und der Hacker selbst gab zu, dass er die kryptografischen Salze, die zur Verbesserung der Sicherheit des Hashing-Algorithmus verwendet wurden, nicht stehlen konnte. Infolgedessen wäre es ziemlich schwierig, die Hashes in Klartext-Passwörter umzuwandeln und sich in die Konten von Personen einzuloggen.

Aus diesem Grund sagte Johnny Plate, dass die Konten der Tokopedia-Benutzer sicher sind, und aus diesem Grund verkauft der Hacker den Dump für relativ bescheidene 5.000 US-Dollar. Leider heißt das nicht, dass sich die Leute entspannen sollten.

Betroffene Tokopedia-Benutzer sind einer Reihe von Bedrohungen ausgesetzt

Wie ZDNet hervorhob, kann SHA2-384 als sicher angesehen werden, dies bedeutet jedoch nicht, dass es unfehlbar ist. Vor kurzem zum Beispiel Hacker stahl eine Datenbank von Quidd, eine Plattform für digitalen Sammler Handel, und sie wurden zunächst zu lernen, enttäuscht, dass die Passwörter mit bcrypt gehasht worden waren, ein weiterer starker Hashing - Algorithmus. Einige der Gauner beschlossen jedoch, es zu versuchen, und unvermeidlich war ein Teil der Hashes geknackt.

Auch ohne die Passwörter könnten die Personen, die die Tokopedia-Daten in die Hände bekommen, eine Reihe von Angriffsmöglichkeiten prüfen. Nach dem Durchsuchen einer Kopie des ersten Speicherauszugs sagte ZDNet, dass die Datensätze eine Menge persönlicher Informationen wie Namen, E-Mails, Geburtsdaten sowie eine Menge profilspezifischer Details wie Kontoerstellungsdaten, Standortinformationen, Bildung, About-Me-Felder usw. Anscheinend sind auch Kennwortrücksetzcodes durchgesickert, obwohl unklar bleibt, ob sie gültig sind.

Es war eine massive Datenverletzung, und der Hacker startete mit einer Menge Informationen, die Cyberkriminellen helfen können, eine Reihe verschiedener Betrügereien zu entwickeln. Tokopedia-Kontoinhaber sollten von nun an etwas vorsichtiger sein.