Hash passord og tilbakestilling av passord koder har blitt lekket i et massivt Tokopedia data brudd
Forrige uke merket overvåkingstjeneste for dataovertredelse Under the Breach et interessant innlegg på et populært hackingforum. Forfatteren tilbød 15 millioner brukeroppføringer stjålet fra Tokopedia, en av Indonesias største e-handelsplattformer, helt gratis. Dataene ble stjålet i mars i år, og personen som delte dem hevdet at det var en del av en mye større dump, som han hadde til hensikt å tjene penger på. En dag senere sa Under the Breach at "den samme skuespilleren" solgte hele 91 millioner Tokopedia-plater for 5000 dollar på en mørk markedsplass.
Forutsigbart begynte folk å stille spørsmål, og langt fra å nekte bruddet holdt Tokopedia et møte med representanter for noen indonesiske myndighetsorganer for å rydde opp i saken. I følge The Jakarta Post ble Johnny Plate, landets kommunikasjons- og informasjonsminister, forsikret om at kunders "brukerkontoer og økonomiske data er trygge." Men er dette virkelig tilfelle?
Hackere stjal hashede passord og prøver å finne en måte å knekke dem på
Det kan virke litt rart med det første. På den ene siden ble dataene faktisk stjålet, men på den andre siden trenger ikke folk å bekymre seg for kontoene sine. Forvirringen kommer av at The Jakarta Post ikke delte tekniske detaljer med leserne. Heldigvis gjorde ZDNet det.
Den gode nyheten er at Tokopedia ikke lagrer passord i klartekst. Da han delte de første 15 millioner postene gratis, ba personen som var ansvarlig for bruddet sine hackere om å hjelpe ham med å knekke påloggingsinformasjon som er lagret i databasen. I følge ZDNet er dette ingen mener prestasjoner. Passordene var tilsynelatende hashet med SHA2-384, og hackeren innrømmet selv at han ikke kunne pirre de kryptografiske saltene som ble brukt for å forbedre hash-algoritmens sikkerhet. Som et resultat av alt dette ville det være ganske vanskelig å slå hasjene til passordpassord og logge på folks kontoer.
Dette er grunnen til at Johnny Plate sa at kontoene til Tokopedia-brukerne er trygge, og dette er grunnen til at hackeren selger dumpet for en relativt beskjeden $ 5000. Dessverre betyr det ikke at folk skal slappe av.
Berørte Tokopedia-brukere møter en rekke trusler
Som ZDNet påpekte, kan SHA2-384 kanskje anses som sikker, men dette betyr ikke at det er ufeilbarlig. Nylig stjal for eksempel hackere en database fra Quidd, en plattform for handel med digitale samleobjekter, og de ble i utgangspunktet skuffet over å få vite at passordene hadde blitt hashet med bcrypt, en annen sterk hashingsalgoritme. Noen av kjeltringene bestemte seg imidlertid for å gi det en gang, og uunngåelig ble en del av hasjene sprukket.
Selv uten passordene, kunne menneskene som får tak i Tokopedia-dataene se på en rekke angrepsmuligheter. Etter å ha gått igjennom en kopi av den første dumpen, sa ZDNet at postene inneholder ganske mye personlig informasjon som navn, e-postmeldinger, fødselsdato, samt massevis av profilspesifikke detaljer som opprettelsesdatoer for kontoen, informasjon om lokasjonen, utdanning, om-meg-felt osv. Tilsynelatende ble også tilbakestillinger av passordkoder lekket, selv om det fortsatt er uklart om de er gyldige.
Det var et massivt datainnbrudd, og hackeren tok av med ganske mye informasjon, noe som kan hjelpe cyberkriminelle å tenke ut en rekke forskjellige svindel. Tokopedia-kontoeiere bør være litt mer forsiktige fra nå av.
