LiveAuctioneers avslørte et datalag for millioner av passord, e-postadresser og telefonnumre
Lørdag kunngjorde LiveAuctioneers, en online plattform som lar brukere delta i antikke, kunst- og smykkeauksjoner i virkeligheten, at noen av kundenes personopplysninger kan ha blitt kompromittert. Varslingen påpekte raskt at bruddet skjedde hos en tredjeparts databehandlingspartner, og at LiveAuctioneers bare var en av de mange nettbaserte tjenestene som ble berørt, men vi kan ikke forestille oss at dette har gjort noe for å gjøre stemningen lysere av menneskene hvis data ble lekket.
Table of Contents
Hackere får tilgang til LiveAuctioneers data etter et tredjeparts brudd
Den første versjonen av varselet om brudd på data hevdet at blant annet hackerne kan ha hatt tilgang til de fire siste sifrene på noen av brukernes kredittkort. En oppdatering fra 12. juli fjernet imidlertid denne informasjonen. I stedet opplyste den endrede kunngjøringen at 19. juni angrep hackere LiveAuctioneers 'databehandlingspartner og fikk tilgang til brukernes navn, e-post- og postadresser, telefonnumre og "krypterte passord."
Cybersecurity-ekspert Graham Cluley var nysgjerrig på å finne ut hva LiveAuctioneers mente med "krypterte passord", og han ønsket også å vite hvor mange mennesker som kan ha blitt berørt, og det er derfor han prøvde å komme i kontakt med selskapet og be om mer informasjon. I går fikk han svarene sine. Dessverre kom de ikke fra LiveAuctioneers, men fra et hackeforum der nettkriminelle kjøper og selger stjålne data.
Hackere prøver å selge kompromitterte LiveAuctioneers-data
I går kunngjorde forskere fra CloudSEK at deres risikovervåkningsplattform hadde oppdaget en annonse for 3,4 millioner stjålne LiveAuctioneers-poster på et tydelig forum for netthacking. Innlegget ble datert 10. juli, et døgn før plattformen kunngjorde bruddet, og, akkurat som LiveAuctioneers sa, inneholdt postene navn, e-post og postadresser, og i noen tilfeller IP-er. For rundt 3 millioner av kontoene hevdet imidlertid selgeren å ha de spreke passordene.
Annonsen sa at passordene var hashet med MD5, som, som Graham Cluley påpekte, er "ved siden av ubrukelig" når det gjelder å beskytte legitimasjonsbeskrivelser, og det faktum at hackeren klarte å hente det meste av innloggingsdata på mindre enn en måned skal være et godt bevis på hvor usikkert algoritmen er.
Det er rimelig å si at alle passord bør vurderes kompromittert nå, men er dette en så dårlig ting?
Hvor ille er konsekvensene?
Ved første øyekast vil du bli tilgitt for å tro at bruddet ikke er så stort. LiveAuctioneers 'cybersecurity-team visste tilsynelatende at de ikke brukte den sikreste lagringsmetoden for passord, og da de fikk vite om bruddet, deaktiverte de umiddelbart alle budgiverkontoenes siste passord. Liker eller ikke, brukere som er berørt av angrepet, må endre LiveAuctioneers passord.
De må imidlertid sørge for at de kompromitterte påloggingsdetaljene ikke brukes på andre nettsteder eller tjenester. Ellers kan hackerne enkelt ta over kontoene sine med et enkelt legitimasjonsstoppningsangrep. Dessverre, for LiveAuctioneers-brukere, er dette bare et av problemene.
La oss ikke glemme at LiveAuctioneers er en plattform som hjelper med salg av kunst, antikviteter, smykker og andre dyre varer. Mennesker som bruker det har mye penger å bruke, og er derfor de perfekte målene for sofistikerte spearphishing-angrep. Personopplysningene blir heller ikke tilbudt gratis, noe som betyr at den som kjøper det sannsynligvis vil anstrenge seg for å få avkastning på investeringen. LiveAuctioneers-brukere må med andre ord være enda mer forsiktige enn vanlig.