LiveAuctioneers heeft een datalek van miljoenen wachtwoorden, e-mailadressen en telefoonnummers onthuld
Op zaterdag kondigde LiveAuctioneers, een online platform waarmee gebruikers kunnen deelnemen aan echte antiek-, kunst- en sieradenveilingen, aan dat de persoonlijke gegevens van sommige klanten mogelijk in gevaar zijn gebracht. De melding wees er snel op dat de inbreuk plaatsvond bij een externe gegevensverwerkingspartner en dat LiveAuctioneers slechts een van de vele online services was die werden getroffen, maar we kunnen ons niet voorstellen dat dit de stemming heeft verhelderd van de mensen wiens gegevens zijn gelekt.
Table of Contents
Hackers hebben toegang tot LiveAuctioneers-gegevens na een inbreuk van derden
De oorspronkelijke versie van de melding van datalekken beweerde onder meer dat de hackers mogelijk toegang hadden tot de laatste vier cijfers van enkele van de creditcards van de gebruikers. Een update van 12 juli heeft die informatie echter verwijderd. In plaats daarvan stond in de gewijzigde kennisgeving dat hackers op 19 juni de gegevensverwerkingspartner van LiveAuctioneers aanvielen en toegang kregen tot gebruikersnamen, e-mail- en postadressen, telefoonnummers en "gecodeerde wachtwoorden".
Cybersecurity-expert Graham Cluley was benieuwd wat LiveAuctioneers bedoelde met "versleutelde wachtwoorden", en hij wilde ook weten hoeveel mensen mogelijk zijn getroffen. Daarom probeerde hij contact op te nemen met het bedrijf en om meer informatie te vragen. Gisteren kreeg hij zijn antwoorden. Helaas kwamen ze niet van LiveAuctioneers, maar van een hackforum waar cybercriminelen gestolen gegevens kopen en verkopen.
Hackers proberen de besmette LiveAuctioneers-gegevens te verkopen
Gisteren hebben onderzoekers van CloudSEK aangekondigd dat hun risicobewakingsplatform een advertentie voor 3,4 miljoen gestolen LiveAuctioneers-records had gedetecteerd op een duidelijk webhacking-forum. De post dateerde van 10 juli, een dag voordat het platform de inbreuk aankondigde, en, zoals LiveAuctioneers zei, de records namen, e-mail- en postadressen en, in sommige gevallen, IP's bevatten. Voor ongeveer 3 miljoen van de accounts beweerde de verkoper echter ook de gekraakte wachtwoorden te hebben.
In de advertentie stond dat de wachtwoorden waren gehasht met MD5, wat, zoals Graham Cluley opmerkte, "naast nutteloos" is als het gaat om het beschermen van inloggegevens, en het loutere feit dat de hacker erin slaagde de meeste inloggegevens op te halen in minder dan een maand zou voldoende moeten zijn om te bewijzen hoe jammerlijk onzeker het algoritme is.
Het is redelijk om te zeggen dat alle wachtwoorden nu als gecompromitteerd moeten worden beschouwd, maar is dit zo erg?
Hoe erg zijn de gevolgen?
Op het eerste gezicht zou het je vergeven zijn te denken dat de inbreuk niet zo'n groot probleem is. Het cybersecurity-team van LiveAuctioneers wist blijkbaar dat ze niet de veiligste methode voor wachtwoordopslag gebruikten, en toen ze hoorden van de inbreuk, schakelden ze onmiddellijk de meest recente wachtwoorden van alle biedersaccounts uit. Of je het nu leuk vindt of niet, gebruikers die door de aanval worden getroffen, moeten hun LiveAuctioneers-wachtwoorden wijzigen.
Ze moeten er echter ook voor zorgen dat de gecompromitteerde inloggegevens niet worden gebruikt op andere websites of services. Anders kunnen de hackers hun accounts gemakkelijk overnemen met een simpele inlogvulling. Helaas is dit voor LiveAuctioneers-gebruikers slechts een van de problemen.
Laten we niet vergeten dat LiveAuctioneers een platform is dat helpt bij de verkoop van kunst, antiek, sieraden en andere dure goederen. Mensen die het gebruiken, hebben veel geld te besteden en zijn daarom het perfecte doelwit voor geavanceerde spearphishing-aanvallen. De persoonlijke gegevens worden ook niet gratis aangeboden, wat betekent dat degene die ze koopt waarschijnlijk moeite zal doen om hun investering terug te verdienen. Met andere woorden, gebruikers van LiveAuctioneers moeten nog voorzichtiger zijn dan normaal.
