Le password tratteggiate e i codici di reimpostazione password sono stati trapelati in una massiccia violazione dei dati di Tokopedia
La scorsa settimana, il servizio di monitoraggio della violazione dei dati Under the Breach ha notato un post interessante su un popolare forum di hacking. L'autore ha offerto 15 milioni di record utente rubati da Tokopedia, una delle più grandi piattaforme di e-commerce in Indonesia, completamente gratuita. I dati sono stati rubati a marzo di quest'anno e la persona che li ha condivisi ha affermato che faceva parte di una discarica molto più grande, che intendeva monetizzare. Infatti, il giorno dopo, Under the Breach ha dichiarato che "lo stesso attore" stava vendendo un enorme 91 milioni di dischi Tokopedia per $ 5 mila su un mercato oscuro del web.
Com'era prevedibile, la gente ha iniziato a porre domande e, lungi dal negare la violazione, Tokopedia ha tenuto un incontro con i rappresentanti di alcune agenzie governative indonesiane per chiarire le cose. Secondo The Jakarta Post, Johnny Plate, ministro delle comunicazioni e delle informazioni del paese, ha assicurato che "i conti degli utenti e i dati finanziari degli acquirenti sono al sicuro". Ma è davvero così?
Gli hacker hanno rubato le password con hash e stanno cercando di trovare un modo per decifrarle
All'inizio potrebbe sembrare un po 'strano. Da un lato, i dati sono stati effettivamente rubati, ma dall'altro le persone non devono preoccuparsi dei loro account. La confusione deriva dal fatto che The Jakarta Post non ha condiviso dettagli tecnici con i suoi lettori. Fortunatamente, ZDNet ha fatto.
La buona notizia è che Tokopedia non sta memorizzando le password in chiaro. Quando ha condiviso gratuitamente i primi 15 milioni di record, la persona responsabile della violazione ha chiesto ai suoi colleghi hacker di aiutarlo a decifrare le credenziali di accesso archiviate nel database. Secondo ZDNet, questa non è un'impresa da poco. Sembra che le password siano state codificate con SHA2-384 e l'hacker stesso ha ammesso di non poter saccheggiare i sali crittografici utilizzati per migliorare la sicurezza dell'algoritmo di hashing. Di conseguenza, trasformare gli hash in password in chiaro e accedere agli account delle persone sarebbe piuttosto difficile.
Questo è il motivo per cui Johnny Plate ha affermato che gli account degli utenti di Tokopedia sono sicuri, ed è per questo che l'hacker sta vendendo il dump per un importo relativamente modesto di $ 5.000. Sfortunatamente, ciò non significa che le persone dovrebbero rilassarsi.
Gli utenti interessati di Tokopedia devono affrontare una serie di minacce
Come sottolineato da ZDNet, SHA2-384 potrebbe essere considerato sicuro, ma ciò non significa che sia infallibile. Di recente, ad esempio, gli hacker hanno rubato un database da Quidd, una piattaforma per il trading di oggetti da collezione digitali, e inizialmente sono rimasti delusi nell'apprendere che le password erano state sottoposte a hash con bcrypt, un altro algoritmo di hashing forte. Alcuni imbroglioni decisero di provarlo, tuttavia, e inevitabilmente, una parte degli hash era rotta.
Anche senza le password, le persone che mettono le mani sui dati di Tokopedia potrebbero guardare a una serie di opportunità di attacco. Dopo aver sfogliato una copia del dump iniziale, ZDNet ha affermato che i record contengono un sacco di informazioni personali come nomi, e-mail, date di nascita e una tonnellata di dettagli specifici del profilo come date di creazione dell'account, informazioni sulla posizione, istruzione, su di me campi, ecc. Apparentemente, anche i codici di reimpostazione della password sono trapelati, sebbene non sia chiaro se siano validi.
È stata una massiccia violazione dei dati e l'hacker è decollato con molte informazioni, il che può aiutare i criminali informatici a escogitare una serie di truffe diverse. I proprietari di account Tokopedia dovrebbero stare più attenti da ora in poi.