„LiveAuctioneers“ atskleidė milijonų slaptažodžių, el. Pašto adresų ir telefonų numerių duomenų pažeidimus
Šeštadienį internetinė platforma „LiveAuctioneers“, leidžianti vartotojams dalyvauti realiame gyvenime vykstančiuose antikvarinių daiktų, meno ir juvelyrikos aukcionuose, paskelbė, kad kai kuriems jos klientų asmens duomenims gali būti pakenkta. Pranešime greitai buvo pažymėta, kad pažeidimas įvyko pas trečiųjų šalių duomenų tvarkymo partnerį ir kad „LiveAuctioneers“ buvo tik viena iš daugelio paveiktų internetinių paslaugų, tačiau negalime įsivaizduoti, kad tai padarė ką nors nuotaikai pagerinti. žmonių, kurių duomenys nutekėjo.
Table of Contents
Piratai prieina „LiveAuctioneers“ duomenis po trečiosios šalies pažeidimo
Pradinėje pranešimo apie duomenų pažeidimą versijoje teigta, kad, be kita ko, įsilaužėliai galėjo turėti prieigą prie paskutinių keturių skaitmenų kai kurių vartotojų kreditinių kortelių. Tačiau atnaujinus liepos 12 d., Ši informacija buvo pašalinta. Vietoj to, pakeistame pranešime teigiama, kad birželio 19 d. Įsilaužėliai užpuolė „LiveAuctioneers“ duomenų tvarkymo partnerį ir gavo prieigą prie vartotojų vardų, el. Pašto ir pašto adresų, telefonų numerių ir „užšifruotų slaptažodžių“.
Kibernetinio saugumo ekspertui Grahamui Cluley buvo smalsu sužinoti, ką „LiveAuctioneers“ reiškia „užšifruoti slaptažodžiai“, ir jis taip pat norėjo sužinoti, kiek daug žmonių galėjo paveikti, todėl bandė susisiekti su įmone ir paprašyti daugiau informacijos. Vakar jis gavo savo atsakymus. Deja, jie atsirado ne iš „LiveAuctioneers“, o iš įsilaužimų forumo, kuriame kibernetiniai nusikaltėliai perka ir parduoda pavogtus duomenis.
Piratai bando parduoti pažeistus „LiveAuctioneers“ duomenis
Vakar „ CloudSEK“ tyrėjai paskelbė, kad jų rizikos stebėjimo platforma aptiko 3,4 mln. Pavogtų „LiveAuctioneers“ įrašų skelbimą aiškiame interneto įsilaužimų forume. Įrašo data buvo liepos 10 d., Diena prieš platformą paskelbus apie pažeidimą, ir, kaip teigė „LiveAuctioneers“, įrašuose buvo vardai, el. Pašto ir pašto adresai, o kai kuriais atvejais ir IP. Tačiau apie 3 milijonus sąskaitų pardavėjas taip pat tvirtino turėjęs nulaužtus slaptažodžius.
Skelbime teigiama, kad slaptažodžiai buvo sumaišyti su MD5, kuris, kaip pažymėjo Grahamas Cluley, yra „beveik nenaudingas“, kai reikia apsaugoti kredencialus, ir vien tai, kad įsilaužėliui pavyko surinkti didžiąją dalį prisijungimo duomenų mažiau nei mėnuo turėtų būti pakankamai geras įrodymas, koks apgaulingai nesaugus algoritmas yra.
Teisinga sakyti, kad visi slaptažodžiai turėtų būti laikomi pažeistais, tačiau ar tai yra toks blogas dalykas?
Kuo blogos pasekmės?
Iš pirmo žvilgsnio jums bus atleista galvojant, kad pažeidimas nėra toks didžiulis sandoris. „LiveAuctioneers“ kibernetinio saugumo komanda, matyt, žinojo, kad nesinaudoja saugiausiu slaptažodžių saugojimo metodu, ir sužinoję apie pažeidimą, jie nedelsdami išjungė visų naujausių pasiūlymų teikėjų paskyrų slaptažodžius. Patinka ar ne, išpuolio paveikti vartotojai turės pakeisti „LiveAuctioneers“ slaptažodžius.
Tačiau jie taip pat turi įsitikinti, kad pažeista prisijungimo informacija nebus naudojama jokiose kitose svetainėse ar tarnybose. Priešingu atveju įsilaužėliai gali lengvai perimti savo paskyras, naudodamiesi paprasta įgaliojimo įdaru ataka. Deja, „LiveAuctioneers“ vartotojams tai tik viena iš problemų.
Nepamirškime, kad „LiveAuctioneers“ yra platforma, padedanti parduodant meną, antikvarinius daiktus, papuošalus ir kitas brangias prekes. Žmonės, kurie ja naudojasi, turi daug pinigų išleisti, todėl yra tobulai taikliausi įmantriems sukčiavimo išpuoliams. Asmeniniai duomenys taip pat nėra siūlomi nemokamai, o tai reiškia, kad kas juos perka, greičiausiai stengsis grąžinti savo investicijas. Kitaip tariant, „LiveAuctioneers“ vartotojai turi būti dar atsargesni nei įprastai.
