Video: Groupon, LivingSocial "deal of the day" pros and cons (Oktober 2024)
Cyber-angribere overtrådte for nylig LivingSocials systemer og fik ulovligt adgang til kundeoplysninger for mere end 50 millioner brugere, sagde LivingSocial. Brugere skal straks ændre deres adgangskoder.
Som PCMag.com rapporterede i går, sendte LivingSocial e-mails om underretning om dataovertrædelse til alle berørte kunder, der informerede dem om et cyberangreb, som resulterede i uautoriseret adgang til kundedata. Mere end 50 millioner konti blev potentielt påvirket ifølge LivingSocial, hvilket gjorde dette til en af de største adgangskodebrydelser i år.
Det er ikke klart på dette tidspunkt, hvordan overtrædelsen opstod, og hvilke andre oplysninger, der blev stjålet. I disse slags hændelser bryder angribere typisk ind ved hemmeligt at installere malware på medarbejderenheder og derefter arbejde sig rundt på netværket, indtil de finder følsomme systemer, fortalte George Tubin, senior sikkerhedstrateg ved Trusteer, til SecurityWatch .
Udbydere "burde forvente, at hackere målretter mod deres systemer for at få kundedata eller følsomme virksomhedsoplysninger, " sagde Tubin. På dette tidspunkt "er det åbenlyst, at disse udbydere simpelthen ikke gør nok for at beskytte deres kunders information, " sagde Tubin.
Saltede, knuste adgangskoder Ikke revne-bevis
Det er et godt tegn på, at LivingSocial havde skyllet og saltet sine adgangskoder, da det vil bremse angribere noget, men "det vil ikke forhindre", at angriberen forsøger og lykkes med at finde ud af de originale adgangskoder, Ross Barrett, senior manager for sikkerhed engineering hos Rapid7, fortalte SecurityWatch . Mens saltning bremser krakningsprocessen, "vil angribere eller deres netværk til sidst få de oplysninger, de er efter", sagde Barrett..
Hashing er en envejskryptering, hvor du altid får den samme output for en bestemt input, men det er ikke muligt at starte med en hash og finde ud af, hvad den originale streng var. Angribere er ofte afhængige af regnbue-borde, en række enorme ordbøger, der indeholder enhver tænkelig streng (inklusive ordbogsord, almindelige efternavne, endda sangtekster) og de relevante hashværdier. Angribere kan matche hash fra adgangskodetabellen med regnbue-tabellen for at finde den originale streng, der genererede koden.
Saltning refererer til processen med at tilføje ekstra information til den originale inputstreng, inden du opretter en hash. Eftersom angriberen ikke ved, hvad de ekstra data er, bliver cracking af hash sværere.
Problemet er imidlertid, at LivingSocial brugte SHA1 til at generere hash, en svag algoritme. Ligesom MD5, en anden populær algoritme, var SHA1 designet til at fungere hurtigt og med en minimal mængde databehandlingsressourcer.
I betragtning af de seneste fremskridt inden for hardware og hacking-teknologier er SHA1-hash, selv saltet, ikke revnebestandigt. LivingSocial ville have været bedre stillet med bcrypt, scrypt eller PBKDF-2.
Skift disse adgangskoder nu
LivingSocial har preemptivt nulstillet adgangskoder til alle brugere, og brugere skal sørge for at vælge nye adgangskoder, der ikke bruges andre steder. Mange mennesker har en tendens til at genbruge den samme adgangskode på tværs af sider; hvis brugere brugte LivingSocial-adgangskoden på andre websteder, skal de også ændre disse adgangskoder med det samme. Når adgangskoderne er brudt, kan angribere prøve adgangskoderne mod populære tjenester såsom e-mail, Facebook og LinkedIn.
"Disse overtrædelser er en anden påmindelse om, hvorfor det er så vigtigt at opretholde god adgangskodehygiejne og bruge forskellige adgangskoder til alle konti og websteder, " sagde Barrett.
Angribere kan også bruge fødselsdatoer og navne til at udføre phishing og andre sociale ingeniørkampagner. De kan henvise til disse detaljer for at narre brugerne til at tro, at dette er legitime meddelelser. De stjålne data vil være "at angribe i meget lang tid, " sagde Barrett.
LivingSocial-overtrædelsen er "en anden påmindelse om, at organisationer fortsat vil være målrettet mod deres værdifulde kundedata, " sagde Barrett.
