A hashed jelszavak és a jelszó-visszaállítási kódok kiszivárogtak egy nagyszabású Tokopedia adatsértés során

A múlt héten, adatok megsértésének figyelemmel kísérése szolgáltatás keretében a Breach észre egy érdekes bejegyzést egy népszerű hacker fórum. A szerző 15 millió felhasználói rekordot kínálott, amelyeket teljesen indokolt, és ellopták a Tokopedia-ból, Indonézia egyik legnagyobb e-kereskedelmi platformjáról. Az adatokat ez év márciusában ellopták, és az azokat megosztó személy azt állította, hogy egy sokkal nagyobb hulladéklerakó része, amelyet bevételszerzésre szándékozik állítani. Valójában, egy nappal később, az Ütközés megsértése szerint "ugyanaz a színész" egy óriási 91 millió Tokopedia rekordot árusít 5000 dollárért egy sötét internetes piacon.

Előreláthatólag az emberek kérdéseket tettek fel, és a jogsértés elutasításától függetlenül Tokopedia találkozót tartott néhány indonéz kormányhivatal képviselőivel a dolgok tisztázása érdekében. A The Jakarta Post szerint Johnny Plate, az ország kommunikációs és információs minisztere annak során biztosította, hogy a vásárlók "felhasználói fiókjai és pénzügyi adatai biztonságban vannak". De valóban ez a helyzet?

A hackerek lopott jelszavakat loptak, és megpróbálják megtalálni a módját a feltörésükhöz

Ez eleinte kissé furcsának tűnhet. Egyrészt az adatokat ellopták, másrészt az embereknek nem kell aggódniuk a számlájuk miatt. A zavart az okozza, hogy a Jakarta Post nem osztott meg műszaki részleteket az olvasókkal. Szerencsére a ZDNet megtette.

A jó hír az, hogy Tokopedia nem tárolja a jelszavakat egyszerű szövegben. Amikor az első 15 millió rekordot ingyenesen megosztotta, a jogsértésért felelős személy felkérte a hackereit társait, hogy segítsék megtörni az adatbázisban tárolt bejelentkezési hitelesítő adatokat. A ZDNet szerint ez nem jelent feat. A jelszavakat nyilvánvalóan kivágták az SHA2-384-rel, és maga a hackerek bevallották, hogy nem tudják letölteni a kriptográfiai sókat, amelyeket a hash algoritmus biztonságának javítása céljából használtak. Mindezek eredményeként meglehetősen nehéz lenne a kivonatot egyszerű szöveges jelszavakká változtatni, és az emberek fiókjába bejelentkezni.

Ezért mondta Johnny Plate, hogy a Tokopedia felhasználói számlák biztonságban vannak, és ezért a hackerek viszonylag szerény 5000 dollárért árusítják a dumpot. Sajnos ez nem azt jelenti, hogy az embereknek pihenniük kell.

Az érintett Tokopedia-felhasználók számos fenyegetéssel néznek szembe

Amint a ZDNet rámutatott, az SHA2-384 biztonságosnak tekinthető, de ez nem jelenti azt, hogy tévedhetetlen. A közelmúltban például a hackerek elloptak egy adatbázist a Quidd-ből, a digitális gyűjthető tárgyak kereskedelmének platformjáról, és kezdetben csalódottak voltak, amikor megtudták, hogy a jelszavakat bcrypt-rel, egy másik erős hash algoritmussal hasították össze. Néhány boszorkány úgy döntött, hogy megengedi magának, és elkerülhetetlenül a hashák egy része repedt.

A jelszavak nélkül az emberek, akik kezüket veszik a Tokopedia adataival, számos támadási lehetőséget kereshetnek meg. A kezdeti dump másolatának átkutatása után a ZDNet elmondta, hogy a nyilvántartások nagyon sok személyes információt tartalmaznak, például neveket, e-maileket, születési időket, valamint rengeteg profil-specifikus adatot, például a fiók létrehozásának dátumát, a helyadatokat, az oktatást, mintegy mezõk stb. Nyilvánvalóan a jelszó-visszaállítási kódok szintén kiszivárogtak, bár továbbra sem világos, hogy azok érvényesek-e.

Ez egy hatalmas adatmegsértés volt, és a hackerek nagyon sok információval távoztak, ami segíthet a számítógépes bűnözőknek számos különböző csalás kidolgozásában. A Tokopedia fióktulajdonosoknak mostantól kissé óvatosabbnak kell lenniük.