A LiveAuctioneers több millió jelszó, e-mail cím és telefonszám adatmegsértését tárta fel

Szombaton a LiveAuctioneers, egy olyan online platform, amely lehetővé teszi a felhasználók részvételét antik, művészeti és ékszer aukciókon, bejelentette, hogy egyes ügyfeleinek személyes adatai veszélybe kerültek. Az értesítés gyorsan rámutatott arra, hogy a jogsértés harmadik féltől származó adatfeldolgozó partnernél történt, és hogy a LiveAuctioneers csak a sok érintett online szolgáltatás egyike volt, ám nem tudjuk elképzelni, hogy ez tett valamit a hangulat felvilágosítására. azoknak az embereknek a száma, akiknek adatai kiszivárogtak.

A hackerek harmadik fél általi megsértés után férnek hozzá a LiveAuctioneers adataihoz

Az adat megsértéséről szóló értesítés eredeti változata azt állította, hogy többek között a hackerek hozzáférhetnek a felhasználó egyes hitelkártyáinak utolsó négy számjegyéhez. A július 12-i frissítés azonban eltávolította ezeket az információkat. Ehelyett a módosított értesítés kimondta, hogy június 19-én a hackerek megtámadták a LiveAuctioneers adatfeldolgozó partnerét, és hozzáférést szereztek a felhasználók nevéhez, e-mail és e-mail címeikhez, telefonszámaikhoz és "titkosított jelszavaikhoz".

A kiberbiztonsági szakértő, Graham Cluley kíváncsi volt arra, hogy megtudja, mit ért a LiveAuctioneers a "titkosított jelszavak" alatt, és azt is meg akarta tudni, hogy hány embert érinthet, ezért igyekezett kapcsolatba lépni a társasággal, és további információkat kérni. Tegnap megkapta a válaszokat. Sajnos nem a LiveAuctioneers-től származtak, hanem egy olyan hackelési fórumtól, ahol a számítógépes bűnözők lopott adatokat vásárolnak és adnak el.

A hackerek megpróbálják eladni a veszélyeztetett LiveAuctioneers adatokat

Tegnap a CloudSEK kutatói bejelentették, hogy kockázatfigyelő platformjuk 3,4 millió ellopott LiveAuctioneers rekord hirdetését észlelte egy tiszta webes hackelési fórumon. A levél július 10-én kelt, egy nappal azelőtt, hogy a platform bejelentette a jogsértést, és ahogyan a LiveAuctioneers elmondta, a nyilvántartások neveket, e-mail és postai címeket, valamint bizonyos esetekben IP-ket tartalmaztak. A számlák körülbelül 3 millió esetében az eladó azt is állította, hogy repedt jelszavakkal rendelkezik.

A hirdetés szerint a jelszavakat az MD5-rel hasították, amely, amint Graham Cluley rámutatott, "a haszontalan", amikor a hitelesítő adatok védelme vonatkozik, és pusztán az a tény, hogy a hackereknek sikerült a bejelentkezési adatok nagy részét kevesebb mint egy hónapnak elég jónak kell lennie annak bizonyítására, hogy az algoritmus mennyire bonyolultan bizonytalan.

Igaz azt mondani, hogy minden jelszót veszélyeztetettnek kell tekinteni, de ez ilyen rossz dolog?

Mennyire súlyosak a következmények?

Első pillantásra megbocsáttattak annak a gondolatának, hogy a jogsértés nem olyan hatalmas ügy. A LiveAuctioneers kiberbiztonsági csapata nyilvánvalóan tudta, hogy nem a legbiztonságosabb jelszó tárolási módszert használják, és amikor megtudták a megsértésről, azonnal letiltották az összes ajánlattevő fiókja legújabb jelszavait. Tetszik vagy sem, a támadás által érintett felhasználóknak meg kell változtatniuk a LiveAuctioneers jelszavaikat.

Biztosítaniuk kell azonban azt is, hogy a veszélyeztetett bejelentkezési adatokat ne használják más webhelyeken vagy szolgáltatásokban. Ellenkező esetben a hackerek könnyedén átvehetik számláikat egy egyszerű hitelesítő adatokkal kitöltött támadással. Sajnos a LiveAuctioneers felhasználók számára ez csak egy probléma.

Ne felejtsük el, hogy a LiveAuctioneers egy olyan platform, amely művészet, régiségek, ékszerek és más drága áruk értékesítésében segít. Az emberek, akik ezt használják, sok pénzt költenek, és ezért tökéletes célpontjai a kifinomult spearphishing támadásoknak. A személyes adatokat szintén nem ingyenesen kínálják, ami azt jelenti, hogy bárki megvásárolja, valószínűleg erőfeszítéseket tesz a befektetés megtérülése érdekében. Más szavakkal, a LiveAuctioneers felhasználóknak szokásosnál még óvatosabbnak kell lenniük.