วีดีโอ: A day with Scandale - Harmonie Collection - Spring / Summer 2013 (กันยายน 2024)
เมื่อเร็ว ๆ นี้ผู้โจมตีทางไซเบอร์ทำการละเมิดระบบของ LivingSocial และเข้าถึงข้อมูลลูกค้าอย่างผิดกฎหมายสำหรับผู้ใช้มากกว่า 50 ล้านคน LivingSocial กล่าว ผู้ใช้จำเป็นต้องเปลี่ยนรหัสผ่านทันที
ตามที่ PCMag.com รายงานเมื่อวานนี้ LivingSocial ส่งอีเมลแจ้งเตือนการละเมิดข้อมูลไปยังลูกค้าที่ได้รับผลกระทบทั้งหมดแจ้งให้พวกเขาทราบถึงการโจมตีทางไซเบอร์ซึ่งส่งผลให้เข้าถึงข้อมูลลูกค้าโดยไม่ได้รับอนุญาต จากรายงานของ LivingSocial กว่า 50 ล้านบัญชีทำให้ LivingSocial เป็นหนึ่งในรหัสผ่านที่ใหญ่ที่สุดในปีนี้
ในขณะนี้ยังไม่ชัดเจนว่าการละเมิดเกิดขึ้นได้อย่างไรและข้อมูลอื่น ๆ ถูกขโมยไปอย่างไร ในเหตุการณ์ประเภทนี้ผู้โจมตีมักบุกเข้ามาโดยติดตั้งมัลแวร์บนอุปกรณ์ของพนักงานแล้วทำงานรอบเครือข่ายจนกว่าพวกเขาจะพบระบบที่ละเอียดอ่อน George Tubin นักยุทธศาสตร์ด้านความปลอดภัยอาวุโสของ Trusteer บอก SecurityWatch
ผู้ให้บริการ "ควรคาดหวังว่าแฮ็กเกอร์จะกำหนดเป้าหมายระบบของพวกเขาเพื่อรับข้อมูลลูกค้าหรือข้อมูลองค์กรที่มีความละเอียดอ่อน" Tubin กล่าว ณ จุดนี้“ เห็นได้ชัดว่าผู้ให้บริการเหล่านี้ไม่ได้ทำเพียงพอที่จะปกป้องข้อมูลลูกค้าของพวกเขา” Tubin กล่าว
รหัสผ่านที่ผ่านการแฮชซึ่งผ่านการรับรองแล้วไม่แตก
มันเป็นสัญญาณที่ดีที่ LivingSocial ได้ทำการแฮชและเค็มรหัสผ่านซึ่งจะทำให้นักโจมตีช้าลง แต่ "มันจะไม่หยุด" ผู้โจมตีพยายามและประสบความสำเร็จในการหารหัสผ่านเดิม Ross Barrett ผู้จัดการอาวุโสด้านความปลอดภัย วิศวกรรมที่ Rapid7 บอก SecurityWatch ในขณะที่การล้างเกลือจะทำให้กระบวนการแคร็กช้าลง "ในที่สุดผู้โจมตีหรือเครือข่ายของพวกเขาจะได้รับข้อมูลหลังจากพวกเขา" บาร์เร็ตกล่าว
การแฮชคือการเข้ารหัสทางเดียวซึ่งคุณจะได้รับผลลัพธ์เหมือนกันสำหรับอินพุตบางตัว แต่มันเป็นไปไม่ได้ที่จะเริ่มด้วยแฮชและคำนวณว่าสตริงดั้งเดิมนั้นเป็นอะไร ผู้โจมตีมักอาศัยตารางรุ้งชุดของพจนานุกรมอันยิ่งใหญ่ที่บรรจุสตริงที่เป็นไปได้ทั้งหมด (รวมถึงคำในพจนานุกรมนามสกุลทั่วไปแม้แต่เนื้อเพลง) และค่าแฮชที่เกี่ยวข้อง ผู้โจมตีสามารถจับคู่แฮชจากตารางรหัสผ่านกับตารางรุ้งเพื่อค้นหาสตริงเดิมที่สร้างรหัส
การเติมเกลือหมายถึงกระบวนการเพิ่มข้อมูลพิเศษให้กับสายป้อนข้อมูลดั้งเดิมก่อนที่จะสร้างแฮช เนื่องจากผู้โจมตีไม่ทราบว่าข้อมูลส่วนเกินพิเศษคืออะไรการถอดรหัสแฮชจึงยากขึ้น
อย่างไรก็ตามปัญหาคือ LivingSocial ใช้ SHA1 เพื่อสร้างแฮชซึ่งเป็นอัลกอริทึมที่อ่อนแอ เช่นเดียวกับ MD5 อัลกอริทึมยอดนิยมอื่น SHA1 ได้รับการออกแบบให้ทำงานได้อย่างรวดเร็วและมีทรัพยากรการคำนวณน้อยที่สุด
เมื่อพิจารณาถึงความก้าวหน้าครั้งล่าสุดในด้านฮาร์ดแวร์และเทคโนโลยีการแฮ็ก SHA1 แฮชที่ใส่เกลือถึงแม้จะไม่ได้มีการป้องกันการแตกก็ตาม LivingSocial น่าจะดีกว่าด้วย bcrypt, scrypt หรือ PBKDF-2
เปลี่ยนรหัสผ่านเหล่านั้นทันที
LivingSocial ได้รีเซ็ตรหัสผ่านล่วงหน้าสำหรับผู้ใช้และผู้ใช้ทุกคนควรตรวจสอบให้แน่ใจว่าได้เลือกรหัสผ่านใหม่ที่ไม่ได้ใช้งานที่อื่น หลายคนมักจะใช้รหัสผ่านเดียวกันทั่วทั้งไซต์ หากผู้ใช้ใช้รหัสผ่าน LivingSocial บนเว็บไซต์อื่น ๆ พวกเขาควรเปลี่ยนรหัสผ่านเหล่านั้นทันทีเช่นกัน เมื่อรหัสผ่านถูกถอดรหัสแล้วผู้โจมตีสามารถลองใช้รหัสผ่านกับบริการยอดนิยมเช่นอีเมล Facebook และ LinkedIn
“ การละเมิดเหล่านี้เป็นเครื่องเตือนความจำอีกประการหนึ่งว่าทำไมการรักษาสุขอนามัยของรหัสผ่านที่ดีและใช้รหัสผ่านที่แตกต่างกันสำหรับบัญชีและเว็บไซต์ทั้งหมด” บาร์เร็ตกล่าว
ผู้โจมตีสามารถใช้วันเดือนปีเกิดและชื่อเพื่อประดิษฐ์ฟิชชิงและแคมเปญวิศวกรรมสังคมอื่น ๆ พวกเขาสามารถอ้างอิงรายละเอียดเหล่านี้เพื่อหลอกให้ผู้ใช้คิดว่านี่เป็นข้อความที่ถูกกฎหมาย ข้อมูลที่ถูกขโมยจะเป็น "การโจมตีที่ทรงพลังเป็นเวลานาน" บาร์เร็ตต์กล่าว
การฝ่าฝืน LivingSocial เป็นอีกหนึ่งการเตือนว่าองค์กรจะยังคงเป็นเป้าหมายสำหรับข้อมูลลูกค้าที่มีค่าของพวกเขาบาร์เร็ตต์กล่าว
