Nie takie znów "słodkie" te Morele(net) - ostrzeżenie!
#1
Afera z Morele.net rozkręca się coraz bardziej i chociaż nie była u nas anonsowana wcześniej, to warto przekazać nieco wiadomości (tych nowych również) na ten temat. Całą "aferę"...b to już chyba tak można nazwać...analizuje i opisuje od początku Niebezpiecznik i z ostatniego artykułu tam zamieszczonego poniższe fragmenty

Cytat:miesiąc temu Morele zostało zhackowane, a dane (ponad 2 milionów) klientów zostały wykradzione. Firma współpracując z policją prowadziła rozmowy z włamywaczem, ale po nieskutecznej próbie namierzenia hackera postanowiła poinformować klientów o kradzieży ich danych. Włamywacz w odwecie postanowił zaś opisać nie tylko to, co ukradł, ale i to jak wyglądały negocjacje oraz że — wbrew temu co twierdzi Morele — danych ukradł więcej, bo dostęp miał uzyskać także do danych z dowodów osobistych wykorzystywanych podczas zakupów na raty. Morele po naszych pytaniach w tej sprawie w pierś się uderzyło, przyznało do szerszego zakresu “wycieku” i kilka dni temu wysłało drugi komunikat o kradzieży danych (tylko do tych, którzy zostawili firmie swoje dane na potrzeby zakupów na raty).
(...)
Wiadomo — włamanie i strata danych 2 milionów użytkowników to sprawa niełatwa . O ile firmę należy pochwalić za brak chowania głowy w piasek (i nawet można zrozumieć przeoczenie, że początkowo przeoczono iż wyciek był szerszy, bo objął także dane dotyczące dowodów osobistych), to równocześnie Morele jest słusznie krytykowane przez klientów za to, że nie o razu zresetowało hasła do kont użytkowników.


Cytat:UPDATE: Okazuje się, że jak do wymuszenia resetu haseł już doszło, to …Morele nie skasowało aktualnych tokenów sesyjnych. Wymuszona zmiana hasła była więc całkowicie nieskuteczna, jeśli atakujący już był zalogowany na czyimś koncie. W niektórych przypadkach, to może być bardzo poważny w skutkach błąd.

A dlaczego taki reset w przypadku wycieku danych jest wymagany i to jak najszybciej? Bo hashe haseł się łamie. Prędzej czy później (w zależności od użytego algorytmu hashowania) “odwróci” się każdy z hashy. Morele korzystało z nienajgorszego (ale i nie najlepszego) algorytmu hashowania, ale włamywacz zdradził nam, że “złamał” już ponad 350 000 haseł (a to stan na 20 grudnia…).
(...)
Brak resetu haseł pozwalał atakującemu na:

    1. dostęp do kont ofiar, które hasła miały słabe (bo jak widać, to właśnie słabe hasła są w pierwszej kolejności łamane) i ewentualne uzupełnienie na temat ofiar tych danych, których być może włamywaczowi nie udało się ukraść.

A stosowanie przez klientów Morele tego samego hasła co do Morele także w innym miejscu pozwalało włamywaczowi na:

    2. sprawdzenie, czy ofiara na podany w Morele adres e-mail miała także założone konta w innych serwisach (np. Facebooku, e-mailu, serwisach z grami, portalach aukcyjnych). Jeśli hasło było takie samo, włamywacz mógł dostać się na kolejne konto ofiary i wykraść więcej danych na jej temat ale także wykorzystać to konto do oszustw, wyłudzeń lub kradzieży (w zależności od serwisu). Wiemy o kilku takich próbach.
(...)
Wszystko więc wskazuje na to, że Morele zamiast dane kasować, po prostu w dość nieudolny sposób “blokują” dostęp do konta, zmieniając użytkownikowi, który chciał skorzystać z praw jakie daje mu Rozporządzenie o Ochronie Danych Osobowych, adres e-mail na “nieprzewidywalny”.

Niestety, taka blokada jak widać jest podwójnie problematyczna. Raz, że w przypadku użytkowników z własną domeną i mechanizmem catch-all pozwala na odzyskanie swojego “skasowanego” konta, a dwa, że w przypadku kradzieży danych, złodziej pozyskuje to, czego pozyskać nie powinien…. Gdyby komuś udało się przewidzieć sposób generowania tego <id> po “USUNIĘTY_”, to byłoby i trzy. Istniałoby bowiem wtedy także ryzyko przejęcia czyjegoś usuniętego konta — zwłaszcza, że do niedawna bardzo łatwo można było komuś konto usunąć — wystarczyło ofierze podsunąć jeden prosty link).
źródło

[Aby zobaczyć linki, zarejestruj się tutaj]

"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz


Wiadomości w tym wątku
Nie takie znów "słodkie" te Morele(net) - ostrzeżenie! - przez ichito - 28.12.2018, 14:29
RE: Nie takie znów "słodkie" te Morele(net) - ostrzeżenie! - przez Konto usunięte - 31.12.2018, 11:55

Skocz do:


Użytkownicy przeglądający ten wątek: 1 gości