Video: Groupon, LivingSocial "deal of the day" pros and cons (Oktober 2024)
Cyber-angripere brøt nylig LivingSocials systemer og fikk ulovlig tilgang til kundeinformasjon for mer enn 50 millioner brukere, sa LivingSocial. Brukere må endre passordene umiddelbart.
Som PCMag.com rapporterte i går, sendte LivingSocial e-postmeldinger om varsel om dataovertredelse til alle berørte kunder og informerte dem om et nettangrep som resulterte i uautorisert tilgang til kundedata. Mer enn 50 millioner kontoer ble potensielt berørt, ifølge LivingSocial, noe som gjorde dette til et av de største passordbruddene i år.
Det er foreløpig ikke klart hvordan bruddet skjedde og hvilke andre opplysninger som ble stjålet. I denne typen hendelser bryter angripere vanligvis inn ved å hemmelig installere skadelig programvare på ansattes enheter og deretter jobbe seg rundt i nettverket til de finner sensitive systemer, sier George Tubin, senior sikkerhetsstrateg ved Trusteer, til SecurityWatch .
Leverandører "bør forvente at hackere målretter seg mot sine systemer for å skaffe kundedata eller sensitiv bedriftsinformasjon, " sa Tubin. På dette tidspunktet, "er det åpenbart at disse leverandørene rett og slett ikke gjør nok for å beskytte kundenes informasjon, " sa Tubin.
Saltede, knuste passord som ikke er spreng-bevis
Det er et godt tegn på at LivingSocial hadde skylt og saltet passordene sine, da det vil bremse angripere noe, men "det vil ikke stoppe" angriperne fra å prøve og lykkes med å finne ut de opprinnelige passordene, Ross Barrett, toppsjef for sikkerhet engineering på Rapid7, fortalte SecurityWatch . Mens salting bremser sprekkprosessen, "til slutt vil angriperne eller nettverket deres få informasjonen de er ute etter" sa Barrett..
Hashing er en enveiskryptering, der du alltid får samme output for en viss inngang, men det er ikke mulig å starte med en hasj og finne ut hva den opprinnelige strengen var. Angripere stoler ofte på regnbuebord, en serie enorme ordbøker som inneholder alle tenkelige strenger (inkludert ordbok, vanlige etternavn, til og med sangtekster) og de relevante hasjverdiene. Angripere kan matche hasj fra passordtabellen med regnbuebordet for å finne den opprinnelige strengen som genererte koden.
Salting refererer til prosessen med å legge til ekstra informasjon til den opprinnelige inputstrengen før du oppretter en hasj. Siden angriperen ikke vet hva de ekstra databitene er, blir det vanskeligere å sprekke hasjene.
Problemet er imidlertid at LivingSocial brukte SHA1 for å generere hasjen, en svak algoritme. I likhet med MD5, en annen populær algoritme, ble SHA1 designet for å fungere raskt og med en minimal mengde databehandlingsressurser.
Tatt i betraktning nyere fremskritt innen maskinvare- og hackingteknologier, er SHA1-hasj, til og med saltet, ikke sprekker-bevis. LivingSocial hadde vært bedre med bcrypt, scrypt eller PBKDF-2.
Endre passordene nå
LivingSocial har nullstilt passord for alle brukere, og brukerne bør sørge for å velge nye passord som ikke brukes andre steder. Mange pleier å bruke det samme passordet på flere nettsteder; Hvis brukere brukte LivingSocial-passordet på andre nettsteder, bør de også endre passordene umiddelbart. Når passordene er sprukket, kan angripere prøve passordene mot populære tjenester som e-post, Facebook og LinkedIn.
"Disse bruddene er en annen påminnelse om hvorfor det er så viktig å opprettholde god passordhygiene og bruke forskjellige passord for alle kontoer og nettsteder, " sa Barrett.
Angripere kan også bruke fødselsdato og navn til å lage phishing og andre sosiale ingeniørkampanjer. De kan henvise disse detaljene for å lure brukere til å tro at dette er legitime meldinger. De stjålne dataene vil være "drive angrep i veldig lang tid, " sa Barrett.
LivingSocial-bruddet er "en annen påminnelse om at organisasjoner vil fortsette å være målrettet mot deres verdifulle kundedata, " sa Barrett.
