Οι κωδικοποιημένοι κωδικοί πρόσβασης και οι κωδικοί επαναφοράς κωδικού πρόσβασης έχουν διαρρεύσει σε μια μαζική παραβίαση δεδομένων Tokopedia

Την περασμένη εβδομάδα, η υπηρεσία παρακολούθησης παραβιάσεων δεδομένων Το Under the Breach παρατήρησε μια ενδιαφέρουσα ανάρτηση σε ένα δημοφιλές φόρουμ εισβολής. Ο συγγραφέας προσέφερε 15 εκατομμύρια αρχεία χρηστών που έχουν κλαπεί από την Tokopedia, μια από τις μεγαλύτερες πλατφόρμες ηλεκτρονικού εμπορίου της Ινδονησίας, εντελώς δωρεάν. Τα δεδομένα είχαν κλαπεί τον Μάρτιο του τρέχοντος έτους, και το άτομο που τα κοινοποίησε ισχυρίστηκε ότι ήταν μέρος ενός πολύ μεγαλύτερου χωματερού, το οποίο σκόπευε να κερδίσει. Πράγματι, μια μέρα αργότερα, ο Under the Breach είπε ότι "ο ίδιος ηθοποιός" πούλησε ένα επιβλητικό 91 εκατομμύρια δίσκους Tokopedia για 5 χιλιάδες δολάρια σε μια σκοτεινή αγορά Ιστού.

Προβλέψιμα, οι άνθρωποι άρχισαν να κάνουν ερωτήσεις και, πολύ μακριά από την άρνηση της παραβίασης, η Tokopedia πραγματοποίησε συνάντηση με εκπροσώπους ορισμένων κυβερνητικών υπηρεσιών της Ινδονησίας για να ξεκαθαρίσει τα πράγματα. Σύμφωνα με το The Jakarta Post, κατά τη διάρκεια αυτού, ο Johnny Plate, Υπουργός Επικοινωνίας και Πληροφοριών της χώρας, διαβεβαιώθηκε ότι οι «λογαριασμοί χρηστών και τα οικονομικά δεδομένα των αγοραστών είναι ασφαλείς». Αλλά αυτό συμβαίνει πραγματικά;

Οι χάκερ έκλεψαν κατακερματισμένους κωδικούς πρόσβασης και προσπαθούν να βρουν έναν τρόπο να τους σπάσουν

Μπορεί να φαίνεται λίγο περίεργο στην αρχή. Από τη μία πλευρά, τα δεδομένα όντως είχαν κλαπεί, αλλά από την άλλη, οι άνθρωποι δεν χρειάζεται να ανησυχούν για τους λογαριασμούς τους. Η σύγχυση προέρχεται από το γεγονός ότι το The Jakarta Post δεν κοινοποίησε τεχνικές λεπτομέρειες στους αναγνώστες του. Ευτυχώς, το ZDNet το έκανε.

Τα καλά νέα είναι ότι η Tokopedia δεν αποθηκεύει κωδικούς πρόσβασης σε απλό κείμενο. Όταν μοιράστηκε τα πρώτα 15 εκατομμύρια αρχεία δωρεάν, ο υπεύθυνος για την παραβίαση ζήτησε από τους συναδέλφους του hackers να τον βοηθήσουν να σπάσει τα διαπιστευτήρια σύνδεσης που είναι αποθηκευμένα στη βάση δεδομένων. Σύμφωνα με το ZDNet, αυτό δεν είναι καθόλου κατόρθωμα. Οι κωδικοί πρόσβασης είχαν προφανώς κατακερματιστεί με το SHA2-384 και ο ίδιος ο χάκερ παραδέχτηκε ότι δεν μπορούσε να διαλέξει τα κρυπτογραφικά άλατα που χρησιμοποιήθηκαν για τη βελτίωση της ασφάλειας του αλγορίθμου κατακερματισμού. Ως αποτέλεσμα όλων αυτών, θα ήταν πολύ δύσκολο να μετατρέψετε τους κατακερματισμούς σε κωδικούς πρόσβασης απλού κειμένου και να συνδεθείτε σε λογαριασμούς ατόμων.

Αυτός είναι ο λόγος για τον οποίο ο Johnny Plate είπε ότι οι λογαριασμοί των χρηστών της Tokopedia είναι ασφαλείς, και αυτός είναι ο λόγος για τον οποίο ο χάκερ πωλεί την χωματερή με σχετικά μέτρια 5 χιλιάδες $. Δυστυχώς, αυτό δεν σημαίνει ότι οι άνθρωποι πρέπει να χαλαρώσουν.

Οι επηρεαζόμενοι χρήστες της Tokopedia αντιμετωπίζουν πολλές απειλές

Όπως επεσήμανε το ZDNet, το SHA2-384 μπορεί να θεωρηθεί ασφαλές, αλλά αυτό δεν σημαίνει ότι είναι αλάνθαστο. Πρόσφατα, για παράδειγμα, οι χάκερ έκλεψαν μια βάση δεδομένων από την Quidd, μια πλατφόρμα για την ανταλλαγή ψηφιακών συλλεκτικών αντικειμένων και αρχικά απογοητεύτηκαν όταν έμαθαν ότι οι κωδικοί πρόσβασης είχαν κατακερματιστεί με το bcrypt, έναν άλλο ισχυρό αλγόριθμο κατακερματισμού. Μερικοί από τους απατεώνες αποφάσισαν να το δοκιμάσουν, ωστόσο, αναπόφευκτα, ένα μέρος των κατακερματισμών είχε σπάσει.

Ακόμα και χωρίς τους κωδικούς πρόσβασης, οι άνθρωποι που παίρνουν τα χέρια τους στα δεδομένα της Tokopedia θα μπορούσαν να εξετάσουν μια σειρά από ευκαιρίες επίθεσης. Αφού έβλεπε ένα αντίγραφο της αρχικής απόρριψης, το ZDNet είπε ότι τα αρχεία περιέχουν πολλές προσωπικές πληροφορίες όπως ονόματα, μηνύματα ηλεκτρονικού ταχυδρομείου, ημερομηνίες γέννησης, καθώς και έναν τόνο λεπτομερειών για συγκεκριμένα προφίλ όπως ημερομηνίες δημιουργίας λογαριασμού, πληροφορίες τοποθεσίας, εκπαίδευση, πεδία σχετικά με εμένα, κ.λπ. Προφανώς, διαρρέονταν επίσης κωδικοί επαναφοράς κωδικού πρόσβασης, αν και παραμένει ασαφές εάν είναι έγκυροι.

Ήταν μια μαζική παραβίαση δεδομένων και ο χάκερ ξεκίνησε με πολλές πληροφορίες, οι οποίες μπορούν να βοηθήσουν τους εγκληματίες του κυβερνοχώρου να επινοήσουν μια σειρά από διαφορετικές απάτες. Οι κάτοχοι λογαριασμών Tokopedia θα πρέπει να είναι λίγο πιο προσεκτικοί από τώρα και στο εξής.