Vídeo: Groupon, LivingSocial "deal of the day" pros and cons (Outubro 2024)
Recentemente, os ciberataques violaram os sistemas da LivingSocial e acessaram ilegalmente as informações dos clientes para mais de 50 milhões de usuários, afirmou a LivingSocial. Os usuários precisam alterar suas senhas imediatamente.
Como o PCMag.com informou ontem, o LivingSocial enviou e-mails de notificação de violação de dados a todos os clientes afetados, informando-os de um ataque cibernético que resultou em acesso não autorizado aos dados do cliente. Mais de 50 milhões de contas foram potencialmente afetadas, de acordo com a LivingSocial, tornando essa uma das maiores violações de senha deste ano.
No momento, não está claro como ocorreu a violação e que outras informações foram roubadas. Nesse tipo de incidente, os invasores geralmente invadem secretamente o malware nos dispositivos dos funcionários e, em seguida, trabalham em torno da rede até encontrar sistemas confidenciais, disse à SecurityWatch George Tubin, estrategista sênior de segurança da Trusteer.
Os fornecedores "devem esperar que os hackers direcionem seus sistemas para obter dados de clientes ou informações corporativas confidenciais", disse Tubin. Neste ponto, "é óbvio que esses fornecedores simplesmente não estão fazendo o suficiente para proteger as informações de seus clientes", disse Tubin.
Senhas salgadas e com hash não são à prova de rachaduras
É um bom sinal de que o LivingSocial fez hash e salgou suas senhas, pois isso desacelerará um pouco os invasores, mas "não impedirá" os invasores de tentarem e conseguirem descobrir as senhas originais, Ross Barrett, gerente sênior de segurança engenharia no Rapid7, disse à SecurityWatch . Enquanto a salga desacelera o processo de cracking ", eventualmente os atacantes ou sua rede obterão as informações que estão buscando", disse Barrett.
O hash é uma criptografia unidirecional, na qual você sempre obtém a mesma saída para uma determinada entrada, mas não é possível começar com um hash e descobrir qual era a string original. Os atacantes freqüentemente dependem de tabelas do arco-íris, uma série de dicionários imensos que contêm todas as seqüências possíveis (incluindo palavras do dicionário, sobrenomes comuns e até letras de músicas) e os valores de hash relevantes. Os atacantes podem combinar o hash da tabela de senhas com a tabela arco-íris para encontrar a sequência original que gerou o código.
Salga refere-se ao processo de adicionar informações extras à sequência de entrada original antes de criar um hash. Como o invasor não sabe quais são os bits extras de dados, quebrar os hashes se torna mais difícil.
O problema, no entanto, é que o LivingSocial usou o SHA1 para gerar o hash, um algoritmo fraco. Como o MD5, outro algoritmo popular, o SHA1 foi projetado para operar rapidamente e com uma quantidade mínima de recursos de computação.
Considerando os recentes avanços nas tecnologias de hardware e hackers, os hashes SHA1, mesmo salgados, não são à prova de crack. O LivingSocial teria sido melhor com bcrypt, scrypt ou PBKDF-2.
Alterar essas senhas agora
O LivingSocial redefiniu preventivamente as senhas para todos os usuários, e os usuários devem certificar-se de escolher novas senhas que não estão sendo usadas em nenhum outro lugar. Muitas pessoas tendem a reutilizar a mesma senha nos sites; se os usuários usaram a senha do LivingSocial em outros sites, eles devem alterar essas senhas imediatamente também. Depois que as senhas são quebradas, os atacantes podem tentar as senhas em serviços populares como email, Facebook e LinkedIn.
"Essas violações são outro lembrete do por que é tão importante manter uma boa higiene das senhas e usar senhas diferentes para todas as contas e sites", disse Barrett.
Os invasores também podem usar datas de nascimento e nomes para criar phishing e outras campanhas de engenharia social. Eles podem fazer referência a esses detalhes para induzir os usuários a pensar que são mensagens legítimas. Os dados roubados estarão "alimentando ataques por muito tempo", disse Barrett.
A violação do LivingSocial é "outro lembrete de que as organizações continuarão sendo direcionadas para seus valiosos dados de clientes", disse Barrett.
