LiveAuctioneers ujawniło naruszenie bezpieczeństwa milionów haseł, adresów e-mail i numerów telefonów
W sobotę LiveAuctioneers, platforma internetowa, która pozwala użytkownikom uczestniczyć w prawdziwych aukcjach antyków, dzieł sztuki i biżuterii, ogłosiła, że niektóre dane osobowe swoich klientów mogły zostać naruszone. Powiadomienie szybko zwróciło uwagę, że naruszenie miało miejsce u zewnętrznego partnera przetwarzającego dane i że LiveAuctioneers była tylko jedną z wielu usług internetowych, których dotyczy problem, ale nie możemy sobie wyobrazić, że to zrobiło cokolwiek, aby poprawić nastrój osób, których dane wyciekły.
Table of Contents
Hakerzy uzyskują dostęp do danych LiveAuctioneers po naruszeniu przez osoby trzecie
Pierwotna wersja powiadomienia o naruszeniu danych twierdziła, że hakerzy mieli między innymi dostęp do czterech ostatnich cyfr niektórych kart kredytowych użytkowników. Aktualizacja z 12 lipca usunęła jednak tę informację. Zamiast tego w zmienionym zawiadomieniu stwierdzono, że 19 czerwca hakerzy zaatakowali partnera przetwarzającego dane LiveAuctioneers i uzyskali dostęp do nazw użytkowników, adresów e-mail i adresów e-mail, numerów telefonów oraz „zaszyfrowanych haseł”.
Graham Cluley, ekspert ds. Cyberbezpieczeństwa, był ciekawy dowiedzieć się, co LiveAuctioneers rozumie przez „zaszyfrowane hasła”, a także chciał dowiedzieć się, ile osób mogło zostać zaatakowanych, dlatego też próbował skontaktować się z firmą i poprosić o więcej informacji. Wczoraj otrzymał odpowiedzi. Niestety nie pochodziły one od LiveAuctioneers, ale z forum hakerskiego, na którym cyberprzestępcy kupują i sprzedają skradzione dane.
Hakerzy próbują sprzedać zainfekowane dane LiveAuctioneers
Wczoraj naukowcy z CloudSEK ogłosili, że ich platforma monitorowania ryzyka wykryła reklamę 3,4 miliona skradzionych rekordów LiveAuctioneers na czystym forum hakerów internetowych. Wpis został datowany na 10 lipca, dzień przed ogłoszeniem przez platformę naruszenia, i, jak powiedział LiveAuctioneers, zapisy zawierały nazwiska, adresy e-mail i adresy korespondencyjne, aw niektórych przypadkach adresy IP. Jednak w przypadku około 3 milionów kont sprzedawca twierdził, że ma złamane hasła.
W reklamie powiedziano, że hasła zostały zaszyfrowane przy użyciu MD5, co, jak zauważył Graham Cluley, jest „obok bezużyteczne”, jeśli chodzi o ochronę poświadczeń, a sam fakt, że hakerowi udało się odzyskać większość danych logowania w mniej niż miesiąc powinien być wystarczającym dowodem na to, jak żałośnie niepewny jest algorytm.
Można śmiało powiedzieć, że wszystkie hasła należy teraz uznać za zagrożone, ale czy to takie złe?
Jak złe są konsekwencje?
Na pierwszy rzut oka wybaczyłbyś sobie myślenie, że naruszenie nie jest tak wielką sprawą. Zespół ds. Bezpieczeństwa cybernetycznego LiveAuctioneers najwyraźniej wiedział, że nie używa najbezpieczniejszej metody przechowywania haseł, a kiedy dowiedział się o naruszeniu, natychmiast wyłączył najnowsze hasła wszystkich kont licytujących. Podoba się to lub nie, użytkownicy dotknięci atakiem będą musieli zmienić swoje hasła LiveAuctioneers.
Muszą jednak również upewnić się, że dane logowania, których dane zostały naruszone, nie są używane w żadnych innych witrynach ani usługach. W przeciwnym razie hakerzy mogą łatwo przejąć konta za pomocą prostego ataku polegającego na wypełnieniu poświadczeń. Niestety dla użytkowników LiveAuctioneers jest to tylko jeden z problemów.
Nie zapominajmy, że LiveAuctioneers to platforma, która pomaga w sprzedaży sztuki, antyków, biżuterii i innych drogich towarów. Ludzie, którzy go używają, mają dużo pieniędzy do wydania, dlatego są idealnymi celami dla wyrafinowanych ataków typu spearphishing. Dane osobowe również nie są oferowane za darmo, co oznacza, że ktokolwiek je kupi, prawdopodobnie podejmie wysiłek, aby uzyskać zwrot z inwestycji. Innymi słowy, użytkownicy LiveAuctioneers muszą być jeszcze bardziej ostrożni niż zwykle.
