Senhas hash e códigos de redefinição de senha foram vazados em uma violação maciça de dados da Tokopedia

Tokopedia Data Breach

Na semana passada, o serviço de monitoramento de violação de dados Under the Breach notou um post interessante em um fórum popular de hackers. O autor estava oferecendo 15 milhões de registros de usuários roubados da Tokopedia, uma das maiores plataformas de comércio eletrônico da Indonésia, totalmente gratuita. Os dados foram roubados em março deste ano e a pessoa que os compartilhou alegou que fazia parte de um lixão muito maior, que pretendia gerar receita. De fato, um dia depois, o Under the Breach disse que "o mesmo ator" estava vendendo 91 milhões de discos da Tokopedia por US $ 5 mil em um mercado da dark web.

Previsivelmente, as pessoas começaram a fazer perguntas e, longe de negar a violação, a Tokopedia realizou uma reunião com representantes de algumas agências governamentais indonésias para esclarecer as coisas. De acordo com o The Jakarta Post, durante o processo, Johnny Plate, ministro de Comunicação e Informação do país, garantiu que as "contas de usuário e dados financeiros dos compradores estão seguras". Mas este é realmente o caso?

Os hackers roubaram senhas com hash e estão tentando encontrar uma maneira de decifrá-las

Pode parecer um pouco estranho no começo. Por um lado, os dados foram realmente roubados, mas, por outro, as pessoas não precisam se preocupar com suas contas. A confusão vem do fato de que o Jakarta Post não compartilhou detalhes técnicos com seus leitores. Felizmente, o ZDNet fez.

A boa notícia é que a Tokopedia não está armazenando senhas em texto simples. Quando ele compartilhou os primeiros 15 milhões de registros de graça, a pessoa responsável pela violação pediu a seus colegas hackers que o ajudassem a descobrir as credenciais de login armazenadas no banco de dados. De acordo com o ZDNet, isso não é tarefa fácil. Aparentemente, as senhas foram hash com SHA2-384, e o próprio hacker admitiu que não podia roubar os sais criptográficos usados para melhorar a segurança do algoritmo de hash. Como resultado de tudo isso, seria muito difícil transformar os hashes em senhas em texto simples e fazer login nas contas das pessoas.

É por isso que Johnny Plate disse que as contas dos usuários da Tokopedia são seguras e é por isso que o hacker está vendendo o lixo por relativamente modestos US $ 5 mil. Infelizmente, isso não significa que as pessoas devam relaxar.

Os usuários afetados da Tokopedia enfrentam várias ameaças

Como o ZDNet apontou, o SHA2-384 pode ser considerado seguro, mas isso não significa que seja infalível. Recentemente, por exemplo, hackers roubaram um banco de dados da Quidd, uma plataforma para negociar colecionáveis digitais, e ficaram inicialmente desapontados ao saber que as senhas haviam sido hash com bcrypt, outro forte algoritmo de hash. Alguns dos bandidos decidiram tentar, no entanto, e inevitavelmente, uma parte dos hashes estava rachada.

Mesmo sem as senhas, as pessoas que colocam as mãos nos dados da Tokopedia podem estar olhando para várias oportunidades de ataque. Depois de vasculhar uma cópia do despejo inicial, o ZDNet disse que os registros contêm muitas informações pessoais, como nomes, e-mails, datas de nascimento, além de vários detalhes específicos do perfil, como datas de criação da conta, informações de localização, educação, campos sobre mim, etc. Aparentemente, os códigos de redefinição de senha também foram vazados, embora ainda não esteja claro se são válidos.

Foi uma enorme violação de dados, e o hacker decolou com muitas informações, o que pode ajudar os cibercriminosos a criar uma série de golpes diferentes. Os proprietários da conta Tokopedia devem ter um pouco mais de cuidado a partir de agora.

May 5, 2020
Carregando…

Detalhes e Termos de Backup do Cyclonis

O plano Básico do Backup Gratuito do Cyclonis oferece 2 GB de espaço de armazenamento na nuvem com funcionalidade total! Não é necessário cartão de crédito. Precisa de mais espaço de armazenamento? Compre um plano maior do Backup do Cyclonios agora! Para saber mais sobre nossas políticas e preços, consulte os Termos de Serviço, Política de Privacidade, os Termos de Desconto e a Página de Compra. Se você deseja desinstalar o aplicativo, visite a página Instruções de Desinstalação.

Detalhes e Termos do Gerenciador de Senhas do Cyclonis

Teste GRATUITO: Oferta Única de 30 Dias! Nenhum cartão de crédito será necessário para o teste gratuito. Funcionalidade completa durante o período de avaliação gratuita. (A funcionalidade completa após a Avaliação Gratuita requer a compra deaassinatura.) Para saber mais sobre nossas políticas e preços, consulte o CLUF, a Política de Privacidade, os Termos de Desconto e a Página de Compra. Se você deseja desinstalar o aplicativo, visite a página Instruções de Desinstalação.