Video: The Groupon Disaster - A Case Study for Entrepreneurs (November 2024)
Cyberaanvallen hebben onlangs de systemen van LivingSocial overtreden en illegaal toegang verkregen tot klantinformatie voor meer dan 50 miljoen gebruikers, zei LivingSocial. Gebruikers moeten hun wachtwoorden onmiddellijk wijzigen.
Zoals PCMag.com gisteren meldde, stuurde LivingSocial e-mailmeldingen voor datalekken naar alle getroffen klanten om hen te informeren over een cyberaanval die resulteerde in ongeautoriseerde toegang tot klantgegevens. Meer dan 50 miljoen accounts werden volgens LivingSocial mogelijk getroffen, waardoor dit een van de grootste wachtwoordinbreuken dit jaar is.
Het is op dit moment niet duidelijk hoe de inbreuk plaatsvond en welke andere informatie werd gestolen. Bij dit soort incidenten breken aanvallers meestal in het geheim malware in op apparaten van werknemers en werken ze zich vervolgens een weg door het netwerk totdat ze gevoelige systemen vinden, vertelde George Tubin, senior beveiligingsstrateeg bij Trusteer, aan SecurityWatch .
Aanbieders "moeten van hackers verwachten dat ze zich op hun systemen richten om klantgegevens of gevoelige bedrijfsinformatie te verkrijgen, " zei Tubin. Op dit punt "is het duidelijk dat deze providers gewoon niet genoeg doen om de informatie van hun klanten te beschermen, " zei Tubin.
Gezouten, gehashte wachtwoorden niet bestand tegen scheuren
Het is een goed teken dat LivingSocial zijn wachtwoorden heeft gehasht en gezouten, omdat dit aanvallers enigszins zal vertragen, maar "het zal de aanvallers niet tegenhouden" en proberen de oorspronkelijke wachtwoorden te achterhalen, Ross Barrett, senior beveiligingsmanager engineering bij Rapid7, vertelde SecurityWatch . Terwijl zouten het kraakproces vertraagt, "zullen de aanvallers of hun netwerk uiteindelijk de informatie krijgen waarnaar ze op zoek zijn", zei Barrett..
Hashing is een eenrichtingsversleuteling, waarbij je altijd dezelfde uitvoer krijgt voor een bepaalde invoer, maar het is niet mogelijk om met een hash te beginnen en uit te werken wat de oorspronkelijke string was. Aanvallers vertrouwen vaak op regenboogtabellen, een reeks immense woordenboeken met alle denkbare tekenreeksen (inclusief woordenboekwoorden, algemene achternamen, zelfs songteksten) en de relevante hash-waarden. Aanvallers kunnen de hash uit de wachtwoordtabel vergelijken met de regenboogtabel om de oorspronkelijke tekenreeks te vinden die de code heeft gegenereerd.
Zouten verwijst naar het proces van het toevoegen van extra informatie aan de oorspronkelijke invoertekenreeks voordat een hash wordt gemaakt. Omdat de aanvaller niet weet wat de extra stukjes gegevens zijn, wordt het kraken van de hashes moeilijker.
Het probleem is echter dat LivingSocial SHA1 gebruikte om de hash te genereren, een zwak algoritme. Net als MD5, een ander populair algoritme, is SHA1 ontworpen om snel en met een minimale hoeveelheid computerbronnen te werken.
Rekening houdend met recente ontwikkelingen in hardware en hacktechnologieën, zijn SHA1-hashes, zelfs gezouten, niet bestand tegen scheuren. LivingSocial zou beter af zijn geweest met bcrypt, scrypt of PBKDF-2.
Verander die wachtwoorden nu
LivingSocial heeft preventief wachtwoorden gereset voor alle gebruikers en gebruikers moeten ervoor zorgen dat ze nieuwe wachtwoorden kiezen die nergens anders worden gebruikt. Veel mensen hebben de neiging om hetzelfde wachtwoord op verschillende sites opnieuw te gebruiken; Als gebruikers het LivingSocial-wachtwoord op andere sites gebruiken, moeten ze die wachtwoorden ook meteen wijzigen. Zodra de wachtwoorden zijn gekraakt, kunnen aanvallers de wachtwoorden proberen tegen populaire services zoals e-mail, Facebook en LinkedIn.
"Deze inbreuken zijn een andere herinnering waarom het zo belangrijk is om een goede wachtwoordhygiëne te handhaven en verschillende wachtwoorden te gebruiken voor alle accounts en sites, " zei Barrett.
Aanvallers kunnen ook geboortedata en namen gebruiken om phishing en andere social engineering-campagnes te maken. Ze kunnen naar deze details verwijzen om gebruikers te laten denken dat dit legitieme berichten zijn. De gestolen gegevens zullen "zeer lang aanvallen aandrijven", zei Barrett.
De inbreuk op LivingSocial is "nog een herinnering dat organisaties nog steeds gericht zullen zijn op hun waardevolle klantgegevens, " zei Barrett.
