Uwaga na ataki na konta klientów karty Ikea Family

dodał 14 maja 2020 o 11:30 w kategorii Info, Wpadki  z tagami:
Uwaga na ataki na konta klientów karty Ikea Family

Wielu klientów Ikei, posiadaczy karty Ikea Family, dowiedziało się dzisiaj, że doszło do nieautoryzowanych logowań na ich konta, a firma wymusiła reset haseł. Na czym mógł polegać ten atak i jak zabezpieczyć się przed takimi zdarzeniami?

Mamy dzisiaj dziesiątki, jak nie setki kont w serwisach internetowych. Nie tylko my jesteśmy aktywni w sieci – robią to także przestępcy. Efektem połączenia tych dwóch zjawisk są coraz częstsze informacje o wycieku naszych danych lub innych incydentach. Co mogło przytrafić się klientom Ikei?

Komunikat Ikei

Wielu czytelników zgłasza nam dzisiaj otrzymanie komunikatu e-mailowego i SMS-owego od Ikei. Komunikat wygląda tak:

Komunikat Ikei

Wersja wysyłana e-mailem i zamieszczona na stronie Ikei mówi tak:

Podejrzewamy, że mogło dojść do nieautoryzowanego logowania na niektórych kontach IKEA Family. W celu ochrony danych Klubowiczów zablokowaliśmy dostęp do tych profili. Jeśli nie możesz zalogować się na swoje konto dotychczasowym hasłem, możesz odblokować dostęp poprzez ustawienie nowego hasła. Wystarczy, że skorzystasz z opcji: „Nie pamiętam hasła” w ścieżce logowania.

Pamiętaj! Nie powtarzaj swojego dotychczasowego hasła. Nie używaj również haseł, z których już korzystasz w innych serwisach.

Aby zwiększyć bezpieczeństwo swoich danych, zachęcamy do regularnej zmiany hasła, a także używania różnych haseł w różnych serwisach.

Zespół IKEA Family pracuje intensywnie nad wyjaśnieniem okoliczności tego zdarzenia. Wkrótce przekażemy Wam więcej informacji na ten temat.

Komunikat nie obfituje w szczegóły. Co zatem mogło się tam stać?

Przejmowanie kont przez identyczne loginy i hasła

Dzisiaj najczęściej loginem do konta jest nasz adres e-mail – w ten sposób wiele serwisów eliminuje problem konfliktów loginów. Podobnie jest w serwisie Ikea Family. Niestety, jeśli połączymy to z faktem, że wielu internautów używa takich samych haseł w wielu miejscach w sieci, dostajemy przepis na problemy. Co z taką sytuacją robi przestępca? Proces odbywa się w kilku krokach:

  1. Złodziej włamuje się gdziekolwiek i kradnie bazę adresów e-mail i haseł (lub ją kupuje).
  2. Złodziej, za pomocą odpowiednich narzędzi i serwerów proxy, bierze pary e-mail + hasło i próbuje zalogować się nimi tam, gdzie można coś ukraść.
  3. Jeśli próba się udaje, grabi i łupi to, co jest do zagrabienia i złupienia. Co zagrabi, to sprzedaje.

Przykładowy scenariusz może wyglądać tak: najpierw kradzież e-maili i haseł z forum dla graczy, potem logowanie do Steama i kradzież konta użytkownika. Albo kradzież e-maili i haseł z forum o makijażu i logowanie do Facebooka w celu wysyłania z kont ofiar próśb o kod BLIK. Scenariuszy są setki, jak nie tysiące.

Co prawdopodobnie spotkało klientów IKEA Family

Czekamy na dokładniejsze wyjaśnienia od Ikei, ale wygląda na to, że jej klienci padli ofiarami właśnie takiego ataku „wpychania poświadczeń” (ang. credential stuffing). Ofiary musiały używać w serwisie IKEA Family takiego samego adresu e-mail i hasła, co gdzie indziej w internecie. Złodzieje użyli setek tysięcy par e-mail + hasło i w pewnej ilości przypadków zadziałało. Co mogli zrobić po zalogowaniu na konto? Oto możliwości:

  • kradzież danych osobowych – część klientów pewnie podała Ikei swój adres, datę urodzenia, numer telefonu czy liczbę mieszkańców w gospodarstwie domowym,
  • głównym celem ataku pewnie były jednak kody rabatowe – złodziejom chodzi o pieniądze, a kody rabatowe, przypisane do kont klientów, można zapewne w jakiś sposób zamienić na wymierne zyski.

Jeśli macie inne pomysły, jak można wykorzystać cudze konto IKEA Family, to dajcie znać w komentarzu. Może też na nasze pytania w tej kwestii odpowie IKEA.

Warto też zauważyć, że IKEA, wykrywając atak i resetując hasła zagrożonych użytkowników, postąpiła słusznie i dojrzale. Mamy tylko nadzieję, że atak został wykryty szybko i złodzieje nie zdążyli dostać się do zbyt wielu kont.

Mamy jednak jedną krytyczną uwagę: rekomendację o regularnej zmianie haseł to mogła już sobie IKEA darować – od wielu lat regularna zmiana uznawana jest za szkodliwą, bo wpływa negatywnie na jakość haseł. Lepiej, by IKEA wdrożyła dwuskładnikowe logowanie…

Jak się nie dać i nie zwariować

Metoda jest prosta – nie używać tej samej pary e-mail + hasło w więcej niż jednym miejscu. Oczywiście łatwiej powiedzieć, a trudniej zrobić. Porady bardziej praktyczne to:

  • używaj menedżera haseł – albo dedykowanego, albo chociaż tego w przeglądarce i wszędzie od dzisiaj twórz nowe hasło (i zmień te stare hasła na kontach, gdzie trzymasz dane karty, swój adres itp.),
  • mając skrzynkę w Gmailu (lub we własnej domenie), możesz też używać różnych adresów e-mail, np. login+nazwasklepu@gmail.com – poczta dojdzie, a dowiesz się przy okazji, kto cię sprzedał,
  • skorzystaj z naszego świetnego kursu wideo Security Awareness, gdzie wśród 7 godzin materiałów znajdziesz wiele porad, w tym dedykowane odcinki dotyczące bezpieczeństwa haseł, kont internetowych czy bezpiecznych zakupów (z kodem BijZlodzieja 15% rabatu!).