ハッシュ化されたパスワードとパスワードリセットコードがTokopediaの大規模なデータ侵害で漏洩した

先週、Under the Breachのデータ侵害監視サービスは、人気のあるハッキングフォーラムへの興味深い投稿に気づきました。著者は、インドネシア最大のeコマースプラットフォームの1つであるTokopediaから盗んだ1500万のユーザーレコードを完全に無料で提供していました。データは今年3月に盗まれました、そしてそれを共有している人はそれがはるかに大きなダンプの一部であると主張しました、そしてそれは彼が収益化することを意図しました。確かに、1日後、Under the Breach は 、「同じ俳優」が暗黒のWebマーケットプレイスでなんと9100万のTokopediaレコードを$ 5000で販売していたと述べました。

予想通り、人々は質問をし始めました、そして、違反を否定するどころか、Tokopediaはいくつかのインドネシア政府機関の代表者たちと会議を開いて、物事を片付けました。 ジャカルタポスト紙によれば、その間、同国の情報通信大臣であるジョニープレートは、買い物客の「ユーザーアカウントと財務データは安全である」と確信していました。しかし、これは本当ですか？

ハッカーはハッシュされたパスワードを盗み、それらを解読する方法を見つけようとしています

最初は少し奇妙に思えるかもしれません。一方ではデータは実際に盗まれましたが、他方では人々は自分のアカウントについて心配する必要はありません。混乱はジャカルタポストがその読者と技術的な詳細を共有しなかったという事実から来ています。幸い、 ZDNetはそうしました。

良いニュースは、Tokopediaはプレーンテキストでパスワードを保存していないことです。最初の1500万件のレコードを無料で共有したとき、侵害の責任者は、ハッカー仲間にデータベースに保存されているログイン資格情報をクラックするのを手伝うように依頼しました。 ZDNetによれば、これは決して偉業ではありません。パスワードは明らかにSHA2-384でハッシュされており、ハッカー自身が、ハッシュアルゴリズムのセキュリティを向上させるために使用された暗号化ソルトを盗むことができなかったことを認めました。このすべての結果として、ハッシュをプレーンテキストのパスワードに変換し、人々のアカウントにログインするのはかなり難しいでしょう。

これが、ジョニープレートがTokopediaユーザーのアカウントが安全であると言った理由であり、これがハッカーが比較的控えめな$ 5,000でダンプを販売している理由です。残念ながら、それは人々がリラックスする必要があるという意味ではありません。

影響を受けるTokopediaユーザーは多くの脅威に直面しています

ZDNetが指摘したように、SHA2-384は安全であると考えられるかもしれませんが、これは間違いがないという意味ではありません。最近、たとえば、ハッカーはデジタル収集品を取引するためのプラットフォームであるQuiddからデータベースを盗みました。彼らは、パスワードが別の強力なハッシュアルゴリズムであるbcryptでハッシュされていることを知って最初はがっかりしました。一部の詐欺師はそれを試してみることにしましたが、必然的に、ハッシュの一部がクラックされました。

パスワードがなくても、Tokopediaのデータを手に入れる人々は、多くの攻撃の機会を見ている可能性があります。 ZDNetは、最初のダンプのコピーをざっと調べた後、名前、メール、生年月日、およびアカウント作成日、場所情報、教育などのプロファイル固有の詳細など、非常に多くの個人情報が記録に含まれていると述べましたabout-meフィールドなど。どうやら、パスワードリセットコードもリークされましたが、それらが有効かどうかは不明のままです。

これは大規模なデータ侵害であり、ハッカーは大量の情報を入手しました。これは、サイバー犯罪者がさまざまな詐欺を仕掛けるのに役立ちます。 Tokopediaアカウントの所有者は、これからもう少し注意する必要があります。