Haskade lösenord och återställningskoder för lösenord har läckts ut i ett massivt Tokopedia-dataintrång

Tokopedia Data Breach

Förra veckan uppmärksammade övervakningstjänster för dataöverträdelser Under Breach ett intressant inlägg på ett populärt hackingforum. Författaren erbjöd 15 miljoner användaruppgifter stulna från Tokopedia, en av Indonesiens största e-handelsplattformar, helt gratis. Uppgifterna stulen i mars i år, och personen som delade den hävdade att det var en del av en mycket större dumpning, som han tänkte tjäna pengar på. En dag senare sa Under the Breach att "samma skådespelare" sålde 91 miljoner Tokopedia-skivor för $ 5 tusen på en mörk webbmarknad.

Förutsägbart började folk ställa frågor, och långt ifrån att förneka brottet höll Tokopedia ett möte med företrädare för några indonesiska myndigheter för att rensa upp saker. Enligt The Jakarta Post, under detta, var Johnny Plate, landets kommunikations- och informationsminister, säker på att kundernas "användarkonton och finansiella data är säkra." Men är detta verkligen fallet?

Hackare stal hashade lösenord och försöker hitta ett sätt att spricka dem

Det kanske verkar lite konstigt till en början. Å ena sidan var uppgifterna verkligen stulna, men å andra sidan behöver människor inte oroa sig för sina konton. Förvirringen kommer från det faktum att The Jakarta Post delade inga tekniska detaljer med sina läsare. Lyckligtvis gjorde ZDNet det.

Den goda nyheten är att Tokopedia inte lagrar lösenord i klartext. När han delade de första 15 miljoner skivorna gratis, bad den ansvariga för brottet sina hackare att hjälpa honom att knäcka inloggningsuppgifterna lagrade i databasen. Enligt ZDNet är detta ingen meningsfull prestation. Lösenorden var uppenbarligen hashad med SHA2-384, och hackaren själv erkände att han inte kunde sprida de kryptografiska salterna som användes för att förbättra hashalgoritmens säkerhet. Som ett resultat av allt detta skulle det vara ganska svårt att omvandla hasherna till vanliga lösenord och logga in på människors konton.

Det är därför Johnny Plate sa att Tokopedia-användarnas konton är säkra, och det är därför hackaren säljer dumpningen för en relativt blygsam $ 5 tusen. Tyvärr betyder det inte att människor ska koppla av.

Påverkade Tokopedia-användare står inför ett antal hot

Som ZDNet påpekade kan SHA2-384 anses vara säkert, men det betyder inte att det är ofelbart. Nyligen, till exempel, stal hackare en databas från Quidd, en plattform för handel med digitala samlarföremål, och de blev initialt besvikna över att få veta att lösenorden hade hashats med bcrypt, en annan stark hash-algoritm. Några av skurkarna bestämde sig dock för att ge den en gång, men oundvikligen knäcktes en del av hasherna.

Även utan lösenord kan de människor som tar hand om Tokopedia-data titta på ett antal attackmöjligheter. Efter att ha bläddrat igenom en kopia av den ursprungliga dumpningen, sa ZDNet att posterna innehåller en hel del personlig information som namn, e-postmeddelanden, födelsedatum samt massor av profilspecifika detaljer som kontodatum, platsinformation, utbildning, om-mig-fält osv. Uppenbarligen läcktes också återställningskoder för lösenord, även om det fortfarande är oklart om de är giltiga.

Det var ett massivt dataöverträdelse, och hackaren tog fart med ganska mycket information, vilket kan hjälpa cyberkriminella att utforma ett antal olika bedrägerier. Tokopedia-kontots ägare borde vara lite mer försiktiga från och med nu.

May 5, 2020
Läser in...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.