LiveAuctioneersは、何百万ものパスワード、電子メールアドレス、および電話番号のデータ侵害を明らかにしました

土曜日に、ユーザーが実際のアンティーク、アート、ジュエリーのオークションに参加できるオンラインプラットフォームであるLiveAuctioneersは、顧客の個人データの一部が侵害された可能性があると発表しました。 通知は、違反がサードパーティのデータ処理パートナーで発生したこと、およびLiveAuctioneersが影響を受けた多くのオンラインサービスの1つにすぎないことをすばやく指摘しましたが、これが気分を明るくするために何かをしたとは想像できません。データが漏洩した人の。

ハッカーはサードパーティの違反後にLiveAuctioneersデータにアクセスします

データ侵害通知の最初のバージョンでは、とりわけ、ハッカーが一部のユーザーのクレジットカードの最後の4桁にアクセスした可能性があると主張していました。ただし、7月12日の更新により、その情報は削除されました。代わりに、修正された通知では、6月19日、ハッカーがLiveAuctioneersのデータ処理パートナーを攻撃し、ユーザーの名前、メールアドレス、メールアドレス、電話番号、および「暗号化パスワード」にアクセスしたと述べています。

サイバーセキュリティの専門家であるGraham Cluley は、 LiveAuctioneers が 「暗号化されたパスワード」によって何を意味するかを知りたがっていました。また、影響を受けた可能性のある人の数を知りたがっていたため、会社に連絡して詳細を尋ねました。昨日、彼は答えを得ました。残念ながら、それらはLiveAuctioneersからではなく、サイバー犯罪者が盗んだデータを売買するハッキングフォーラムからのものでした。

ハッカーは、侵害されたLiveAuctioneersデータを販売しようとします

昨日、 CloudSEKの研究者たちは、彼らのリスク監視プラットフォームが、明確なWebハッキングフォーラムで盗聴されたLiveAuctioneersレコード340万件の広告を検出したと発表しました。投稿はプラットフォームが違反を発表する前の日である7月10日付けで、LiveAuctioneersが言ったように、レコードには名前、メールアドレス、メールアドレス、場合によってはIPが含まれていました。ただし、約300万のアカウントについて、売り手はクラックされたパスワードを持っていると主張しました。

宣伝によると、パスワードはMD5でハッシュ化されたとのことです。MD5は、Graham Cluleyが指摘したように 、資格情報の保護に関しては "役に立たない"ので、ハッカーがログインデータのほとんどを1か月は、アルゴリズムがどれほどひどく安全でないかを証明するのに十分なはずです。

今やすべてのパスワードが侵害されたと見なされるべきだと言っても過言ではありませんが、これはそんなに悪いことですか

結果はどのくらい悪いですか？

一見すると、この違反はそれほど大きな問題ではないと考えることは許されます。 LiveAuctioneersのサイバーセキュリティチームは、最も安全なパスワード保存方法を使用していないことを知っていたようで、侵害について知ったとき、すべてのビッダーアカウントの最新のパスワードをすぐに無効にしました。好むと好まざるとにかかわらず、攻撃の影響を受けるユーザーは、LiveAuctioneersのパスワードを変更する必要があります。

ただし、侵害されたログインの詳細が他のWebサイトやサービスで使用されていないことも確認する必要があります。それ以外の場合、ハッカーは単純なクレデンシャルスタッフィング攻撃でアカウントを簡単に乗っ取ることができます。残念ながら、LiveAuctioneersユーザーにとって、これは問題の1つにすぎません。

LiveAuctioneersは、美術品、骨董品、宝石、その他の高価な商品の販売を支援するプラットフォームであることを忘れないでください。それを使う人々は使うお金がたくさんあるので、洗練されたスピアフィッシング攻撃の完璧な標的です。個人データも無料で提供されているわけではありません。つまり、個人データを購入する人はだれでも投資を回収しようと努力するでしょう。つまり、LiveAuctioneersユーザーは通常よりもさらに注意する必要があります。