Wielu klientów Ikei, posiadaczy karty Ikea Family, dowiedziało się dzisiaj, że doszło do nieautoryzowanych logowań na ich konta, a firma wymusiła reset haseł. Na czym mógł polegać ten atak i jak zabezpieczyć się przed takimi zdarzeniami?
Mamy dzisiaj dziesiątki, jak nie setki kont w serwisach internetowych. Nie tylko my jesteśmy aktywni w sieci – robią to także przestępcy. Efektem połączenia tych dwóch zjawisk są coraz częstsze informacje o wycieku naszych danych lub innych incydentach. Co mogło przytrafić się klientom Ikei?
Komunikat Ikei
Wielu czytelników zgłasza nam dzisiaj otrzymanie komunikatu e-mailowego i SMS-owego od Ikei. Komunikat wygląda tak:
Wersja wysyłana e-mailem i zamieszczona na stronie Ikei mówi tak:
Podejrzewamy, że mogło dojść do nieautoryzowanego logowania na niektórych kontach IKEA Family. W celu ochrony danych Klubowiczów zablokowaliśmy dostęp do tych profili. Jeśli nie możesz zalogować się na swoje konto dotychczasowym hasłem, możesz odblokować dostęp poprzez ustawienie nowego hasła. Wystarczy, że skorzystasz z opcji: „Nie pamiętam hasła” w ścieżce logowania.
Pamiętaj! Nie powtarzaj swojego dotychczasowego hasła. Nie używaj również haseł, z których już korzystasz w innych serwisach.
Aby zwiększyć bezpieczeństwo swoich danych, zachęcamy do regularnej zmiany hasła, a także używania różnych haseł w różnych serwisach.
Zespół IKEA Family pracuje intensywnie nad wyjaśnieniem okoliczności tego zdarzenia. Wkrótce przekażemy Wam więcej informacji na ten temat.
Komunikat nie obfituje w szczegóły. Co zatem mogło się tam stać?
Przejmowanie kont przez identyczne loginy i hasła
Dzisiaj najczęściej loginem do konta jest nasz adres e-mail – w ten sposób wiele serwisów eliminuje problem konfliktów loginów. Podobnie jest w serwisie Ikea Family. Niestety, jeśli połączymy to z faktem, że wielu internautów używa takich samych haseł w wielu miejscach w sieci, dostajemy przepis na problemy. Co z taką sytuacją robi przestępca? Proces odbywa się w kilku krokach:
- Złodziej włamuje się gdziekolwiek i kradnie bazę adresów e-mail i haseł (lub ją kupuje).
- Złodziej, za pomocą odpowiednich narzędzi i serwerów proxy, bierze pary e-mail + hasło i próbuje zalogować się nimi tam, gdzie można coś ukraść.
- Jeśli próba się udaje, grabi i łupi to, co jest do zagrabienia i złupienia. Co zagrabi, to sprzedaje.
Przykładowy scenariusz może wyglądać tak: najpierw kradzież e-maili i haseł z forum dla graczy, potem logowanie do Steama i kradzież konta użytkownika. Albo kradzież e-maili i haseł z forum o makijażu i logowanie do Facebooka w celu wysyłania z kont ofiar próśb o kod BLIK. Scenariuszy są setki, jak nie tysiące.
Co prawdopodobnie spotkało klientów IKEA Family
Czekamy na dokładniejsze wyjaśnienia od Ikei, ale wygląda na to, że jej klienci padli ofiarami właśnie takiego ataku „wpychania poświadczeń” (ang. credential stuffing). Ofiary musiały używać w serwisie IKEA Family takiego samego adresu e-mail i hasła, co gdzie indziej w internecie. Złodzieje użyli setek tysięcy par e-mail + hasło i w pewnej ilości przypadków zadziałało. Co mogli zrobić po zalogowaniu na konto? Oto możliwości:
- kradzież danych osobowych – część klientów pewnie podała Ikei swój adres, datę urodzenia, numer telefonu czy liczbę mieszkańców w gospodarstwie domowym,
- głównym celem ataku pewnie były jednak kody rabatowe – złodziejom chodzi o pieniądze, a kody rabatowe, przypisane do kont klientów, można zapewne w jakiś sposób zamienić na wymierne zyski.
Jeśli macie inne pomysły, jak można wykorzystać cudze konto IKEA Family, to dajcie znać w komentarzu. Może też na nasze pytania w tej kwestii odpowie IKEA.
Warto też zauważyć, że IKEA, wykrywając atak i resetując hasła zagrożonych użytkowników, postąpiła słusznie i dojrzale. Mamy tylko nadzieję, że atak został wykryty szybko i złodzieje nie zdążyli dostać się do zbyt wielu kont.
Mamy jednak jedną krytyczną uwagę: rekomendację o regularnej zmianie haseł to mogła już sobie IKEA darować – od wielu lat regularna zmiana uznawana jest za szkodliwą, bo wpływa negatywnie na jakość haseł. Lepiej, by IKEA wdrożyła dwuskładnikowe logowanie…
Jak się nie dać i nie zwariować
Metoda jest prosta – nie używać tej samej pary e-mail + hasło w więcej niż jednym miejscu. Oczywiście łatwiej powiedzieć, a trudniej zrobić. Porady bardziej praktyczne to:
- używaj menedżera haseł – albo dedykowanego, albo chociaż tego w przeglądarce i wszędzie od dzisiaj twórz nowe hasło (i zmień te stare hasła na kontach, gdzie trzymasz dane karty, swój adres itp.),
- mając skrzynkę w Gmailu (lub we własnej domenie), możesz też używać różnych adresów e-mail, np. [email protected] – poczta dojdzie, a dowiesz się przy okazji, kto cię sprzedał,
- skorzystaj z naszego świetnego kursu wideo Security Awareness, gdzie wśród 7 godzin materiałów znajdziesz wiele porad, w tym dedykowane odcinki dotyczące bezpieczeństwa haseł, kont internetowych czy bezpiecznych zakupów (z kodem BijZlodzieja 15% rabatu!).
Komentarze
> Złodziej włamuje się gdziekolwiek i kradnie bazę adresów email i haseł (lub ją kupuje).
Wygląda na to że nie, dostałem e-mail z IKEA, a hasło jest unikalne i skomplikowane (manager haseł). Więc albo jakiś stary wyciek i zareagowali w IKEA również na nieudane próby logowania na konto (pojawił się email), albo pociekło coś z IKEA.
Tak samo u mnie, wiem dodatkowo że mój adres email kiedyś wyciekł wraz z jednym takim losowym hasłem :)
Rozmawiałem na czacie z pracownikiem IKEA:
Pyt:Czy mógł nastąpić nieautoryzowany dostęp do Waszej bazy danych i ich wyciek?
Odp: Właśnie dlatego konta są zablokowane, żeby nie doszło do wycieku
Pyt:Czy ktoś uzyskał dostęp do moich danych osobowych zawartych w Waszej bazie danych?
Odp: Nie wynika, ze ktoś je uzyskał, bo to tylko podejrzenia że ktoś w ogóle próbował. Właśnie dlatego zablokowaliśmy konta, żeby to uniemożliwić
Pyt: Rozumiem, że ktoś próbował się zalogować na konto ale mu się nie udało, a Wy dla zachowania bezpieczeństwa prosicie o zmianę hasła. Czy tak?
Odp: tak
„Jeśli próba się udaje, grabi i łupi to, co jest do zagrabienia i złupienia. Co zagrabi, to sprzedaje.”
Co się w takim razie dzieje z rzeczami które złodziej złupił, skoro sprzedaje tylko te co zagrabił?
Chyba warto było by zacząć na stałe nazywać rzeczy po imieniu, czyli „Złodziej włamuje się i kradnie bazę adresów e-mail i haseł”.
Żadne 'baza wyciekła’. Jest 'złodziej’ i 'ukradł’.
Wyjaśnijcie mi proszę skąd ta ślepa wiara w managery haseł?
Przecież to programy do których można się włamać lub w których producent umieścić tylne wejścia celem pozyskania haseł.
Kiedyś ludzie wierzyli w TrueCryta a dziś w programy pamiętające hasła …