Хэшированные пароли и коды сброса паролей утекли в результате массового взлома данных Tokopedia

На прошлой неделе служба мониторинга нарушений данных Under the Breach заметила интересный пост на популярном хакерском форуме. Автор предлагал 15 миллионов записей пользователей, украденных из Tokopedia, одной из крупнейших платформ электронной коммерции в Индонезии, совершенно бесплатно. Данные были украдены в марте этого года, и человек, который поделился ими, заявил, что это была часть гораздо большей свалки, которую он намеревался монетизировать. Действительно, днем позже «Нарушение» заявило, что «тот же самый актер» продал колоссальные 91 миллион записей «Токопедии» за 5 тысяч долларов на темном интернет-рынке.

Как и ожидалось, люди начали задавать вопросы, и, не отрицая нарушения, Токопедия провел встречу с представителями некоторых правительственных учреждений Индонезии, чтобы прояснить ситуацию. По сообщению The Jakarta Post , в ходе этого визита Джонни Плейт, министр связи и информации страны, был уверен, что «учетные записи пользователей и финансовые данные в безопасности». Но так ли это на самом деле?

Хакеры украли хешированные пароли и пытаются найти способ взломать их

Поначалу это может показаться немного странным. С одной стороны, данные действительно были украдены, но с другой, людям не нужно беспокоиться о своих счетах. Путаница связана с тем, что The Jakarta Post не поделилась техническими подробностями со своими читателями. К счастью, ZDNet сделал.

Хорошей новостью является то, что Токопедия не хранит пароли в открытом виде. Когда он бесплатно раздал первые 15 миллионов записей, человек, ответственный за нарушение, попросил своих коллег-хакеров помочь ему взломать учетные данные, хранящиеся в базе данных. Согласно ZDNet, это не значит подвиг. Пароли были, очевидно, хешированы с помощью SHA2-384, и сам хакер признал, что он не может украсть криптографические соли, используемые для повышения безопасности алгоритма хеширования. В результате всего этого было бы довольно сложно преобразовать хеш-коды в незашифрованные пароли и войти в учетные записи пользователей.

Вот почему Джонни Плейт сказал, что учетные записи пользователей Tokopedia безопасны, и именно поэтому хакер продает дамп за сравнительно скромные 5 тысяч долларов. К сожалению, это не значит, что люди должны отдыхать.

Пострадавшие пользователи Tokopedia сталкиваются с рядом угроз

Как указывает ZDNet, SHA2-384 можно считать безопасным, но это не значит, что он безошибочен. Например, недавно хакеры украли базу данных у Quidd, платформы для торговли цифровыми предметами коллекционирования, и они были изначально разочарованы, узнав, что пароли были хешированы с помощью bcrypt, другого надежного алгоритма хеширования. Однако некоторые мошенники решили попробовать, и неизбежно часть хешей была взломана.

Даже без паролей люди, которые получают данные Токопедии, могли бы искать множество возможностей для атаки. Пролистав копию первоначального дампа, ZDNet сказал, что записи содержат довольно много личной информации, такой как имена, электронные письма, даты рождения, а также тонну специфичных для профиля данных, таких как даты создания аккаунта, информация о местоположении, образование, поля about-me и т. д. Судя по всему, коды сброса пароля также были утечки, хотя остается неясным, действительны ли они.

Это было серьезное нарушение данных, и хакер получил много информации, которая может помочь киберпреступникам разработать множество различных мошеннических действий. С этого момента владельцы аккаунтов Tokopedia должны быть немного осторожнее.