„Masinis Tokopedijos duomenų pažeidimas“ buvo išplatinti išskaidyti slaptažodžiai ir slaptažodžio nustatymo kodai

Praėjusią savaitę duomenų pažeidimų stebėjimo tarnyba „Pagal pažeidimą“ pastebėjo įdomų įrašą populiariame įsilaužimų forume. Autorius visiškai nemokamai pasiūlė 15 milijonų vartotojų įrašų, pavogtų iš Tokopedijos, vienos didžiausių Indonezijos elektroninės prekybos platformų. Duomenys buvo pavogti šių metų kovą, o jais dalijantis asmuo teigė, kad tai buvo daug didesnio sąvartyno dalis, kurį jis ketino užsidirbti. Iš tikrųjų po dienos „The Breach“ teigė, kad „tas pats aktorius“ tamsioje interneto prekyvietėje pardavė didžiulį 91 mln. Tokopedijos įrašų už 5000 USD.

Prognozuojama, kad žmonės ėmė užduoti klausimus ir, nepaneigdami pažeidimo, Tokopedia surengė susitikimą su kai kurių Indonezijos vyriausybės agentūrų atstovais, kad išsiaiškintų reikalus. Anot „ The Jakarta Post“, jos metu šalies komunikacijos ir informacijos ministras Johnny Plate buvo patikintas, kad pirkėjų „vartotojų sąskaitos ir finansiniai duomenys yra saugūs“. Bet ar taip yra iš tikrųjų?

Piratai pavogė slaptažodžius ir bando rasti būdą, kaip juos nulaužti

Iš pradžių gali atrodyti šiek tiek keista. Viena vertus, duomenys buvo pavogti, bet, kita vertus, žmonėms nereikia jaudintis dėl savo sąskaitų. Sumišimas kyla dėl to, kad „The Jakarta Post“ su savo skaitytojais nesidalijo jokia technine informacija. Laimei, ZDNet padarė.

Geros žinios yra tai, kad Tokopedia nesaugo slaptažodžių paprastame tekste. Nemokamai pasidalinęs pirmuosius 15 milijonų įrašų, už pažeidimą atsakingas asmuo paprašė kolegų įsilaužėlių padėti jam nulaužti duomenų bazėje saugomus prisijungimo duomenis. „ZDNet“ teigimu, tai nėra prasmingas žygdarbis. Slaptažodžiai, matyt, buvo sukeisti su SHA2-384, o pats įsilaužėlis pripažino, kad negalėjo nukirpti kriptografinių druskų, naudojamų maišos algoritmo saugumui pagerinti. Dėl viso to maišyti maišus paprasto teksto slaptažodžiais ir prisijungti prie žmonių paskyrų būtų gana sunku.

Štai kodėl Johnny Plate teigė, kad „Tokopedia“ vartotojų sąskaitos yra saugios, ir būtent todėl įsilaužėlis parduoda sąvartyną už santykinai kuklius 5000 USD. Deja, tai nereiškia, kad žmonės turėtų atsipalaiduoti.

Paveikti Tokopedijos vartotojai susiduria su daugybe grėsmių

Kaip pažymėjo „ZDNet“, SHA2-384 gali būti laikomas saugiu, tačiau tai nereiškia, kad jis neklystantis. Neseniai, pavyzdžiui, įsilaužėliai pavogė duomenų bazę iš „Quidd“, skaitmeninių kolekcinių daiktų prekybos platformos, ir iš pradžių nusivylė sužinoję, kad slaptažodžiai buvo sumaišyti su „bcrypt“ - dar vienu stipriu maišos algoritmu. Kai kurie sukčiai vis dėlto nusprendė tai padaryti, tačiau neišvengiamai dalis haskių buvo įtrūkę.

Net ir neturėdami slaptažodžių, žmonės, kurie gauna ranką apie Tokopedijos duomenis, gali ieškoti daugybės išpuolių galimybių. Pažvelgęs į pradinės duomenų kopijos kopiją, „ZDNet“ teigė, kad įrašuose yra gana daug asmeninės informacijos, pvz., Vardai, el. Pašto adresai, gimimo datos, taip pat daugybė profilio duomenų, pvz., Paskyros sukūrimo datos, vietos informacija, išsilavinimas, apie mane laukai ir pan. Matyt, slaptažodžių nustatymo kodai taip pat buvo nutekinti, nors vis dar neaišku, ar jie galioja.

Tai buvo masinis duomenų pažeidimas, o įsilaužėlis pateikė gana daug informacijos, kuri gali padėti kibernetiniams nusikaltėliams sugalvoti daugybę skirtingų sukčiavimų. „Tokopedia“ paskyros savininkai nuo šiol turėtų būti šiek tiek atsargesni.