Morele.net zgubiło dane klientów

Jednym z pozytywnych następstw wprowadzenia RODO jest zwiększenie zachęt dla firm, by dzielić się z klientami informacją o swoich problemach z bezpieczeństwem. I tak dziś w nocy morele.net poinformowało swoich klientów, że miał miejsce „nieuprawniony dostęp do danych osobowych ich klientów”.

Nieznane osoby miały dostęp do części bazy klientów: adresu email, numeru telefonu, imienia i nazwiska oraz zakodowanego ciągu znaków (hash). Dzięki polityce polskich pośredników płatności, morele.net nie przechowywało danych kart kredytowych itp.

Czy z hasha da się odzyskać hasło?
Tak. Wymaga to trochę mocy obliczeniowej, ale jest to wykonalne.

Hash to tzw. jednokierunkowa funkcja skrótu. Trywializując – jeśli hasło do zapisania to „12345”, to w bazie haseł może być zapisane „120”. Kiedy klient wprowadza swoje hasło, mnożymy przez siebie wszystkie jego cyfry i sprawdzamy, czy nam się zgadza. Ze „120” trudno wyciągnąć „12345”, jeśli nie wiemy, że hasło ma pięć cyfr, więc włamywacz tworzy tabelę wszystkich możliwych kombinacji, co jest czasochłonne.

W praktyce oczywiście jest to bardziej skomplikowane, bo przedstawiony przeze mnie algorytm tak samo potraktowałby „12345” jak „54321”, nie uwzględniam też „soli” (losowego elementu dodawanego do hasła przed jego skróceniem) – ale idea powinna być jasna.

Dzięki tanim usługom serwerowym, powstały komercyjne usługi dekodowania zahashowanych haseł. Ich twórcy stworzyli olbrzymie bazy danych obejmujące sporą liczbę kombinacji i pomagają w szybkim odgadnięciu zakodowanego hasła.

Mam konto na morele.net, co robić?
Po pierwsze – zmień hasło. Jeśli (a przecież tego nie robisz!) to samo hasło było wykorzystane w innym serwisie, też je zmień. I zapomnij o nim. Jest spalone jak spalona ziemia po pożarze buszu. Po drugie, wyślij mail do morele.net (i w sumie do innych dostawców swoich usług), by zainteresowali się dwuetapową weryfikacją swoich klientów. To nie jest coś technicznie trudnego do wprowadzenia, a znacząco zmniejsza ryzyko, że ktoś się gdzieś zaloguje twoimi danymi. A jeśli chcesz wiedzieć więcej o bezpiecznych hasłach, zapraszam do 48. epizodu podkastu Cyber, cyber…, w którym opowiadam właśnie o tym.

obrazek wyróżniający autorstwa www.bluecoat.com dostępny na licencji CC-BY-SA-2.0

About lmj

Łukasz Jachowicz (honey). Pierwszy raz w internecie w 1991 lub 1992. Pierwszy raz z własnym serwisem (codziennie aktualizowanym!) – w 1996. Pierwszy raz z własnym serwisem oraz grupą wiernych fanów – w 2000/2001. Do dziś bez stałego łącza do internetu (choć by chciał – ale dystans ok. 90 metrów do skrzynki nie do przeskoczenia dla operatora). Przez wiele lat popularyzator idei otwartości w oprogramowaniu i standardach wykorzystywanych przez administrację publiczną. Zwolennik otwartości dostępu do możliwie szerokiego zakresu danych publicznych. Autor analiz i policy papers dotyczących otwartości danych publicznych i zarządzania internetem. Miłośnik (choć nie bezkrytyczny) Linuksa. Przez wiele lat zawodowo zajmował się analizowaniem styku polityki i technologii. Twórca 7thGuarda, Rębaczy i rosnącej liczby odcinków podkastu Cyber Cyber. Zawodowo związany z Mediarecovery, gdzie zajmuje się bezpieczeństwem IT i informatyką śledczą.

View all posts by lmj →