Zdrowe odżywianie, choć bardzo dobre dla zdrowia, może okazać się nie tak dobre dla bezpieczeństwa Waszych haseł. Z tego powodu warto także zadbać o zdrowe nawyki w obszarze bezpieczeństwa i prywatności.
Jedną z podstaw zdrowego trybu życia jest utrzymywanie odpowiedniego bilansu przyswajanych kalorii. Zdecydowanie nie jest to proste – wymaga zarówno dużej dyscypliny jak i wiedzy, ile kalorii mogą dostarczać poszczególne produkty. W obu kwestiach pomocą służby chyba najpopularniejsza w tej dziedzinie aplikacja MyFitnessPal, której twórcy właśnie informują użytkowników o wycieku danych.
Wyciekło niedużo, ale skutki mogą być poważne
Firma informuje, zarówno na swojej stronie WWW jak i w emailach do klientów, że 5 dni temu dowiedziała się o wycieku danych, do którego doszło w lutym tego roku. Niestety nie wiemy na razie nic o sposobie, w jaki doszło do incydentu – w ogłoszeniu zawarto jedynie informację, że nieautoryzowana strona trzecia uzyskała dostęp do danych. Zakres tych danych wskazuje jednak, że mogło być to działanie włamywacza, którego celem była kradzież danych użytkowników. Wiemy też, że wykradziono dane 150 milionów uzytkowników.
Według komunikatu firmy wykradziono takie dane jak nazwę użytkownika, adres email oraz hasze haseł. Co trochę pocieszające, firma wskazuje, że „większość haseł” zahaszowana była w miarę bezpiecznym algorytmem bcrypt (choć nie podaje np. parametru bezpieczeństwa algorytmu, czyli liczby rund obliczeń niezbędnych do wykonania by próbować odgadnąć zahaszowane hasło). O ile bcrypt faktycznie będzie istotnie utrudniał przestępcom odgadywanie haseł, to nie jest to niemożliwe – szczególnie w przypadku haseł o niewielkiej długości lub niskim stopniu skomplikowania. Co więcej, firma wskazuje, że jedynie „większość haseł” korzystała z bcrypta, nie wspominając, z czego korzystała reszta haseł. Można domniemywać, że algorytm haszowania został w pewnym momencie zmieniony, a użytkownicy, którzy od dawna nie zmieniali hasła, mogą mieć w bazie hasze haseł dużo łatwiejsze do złamania przez przestępców.
Główny problem – to samo hasło
Jak pewnie się domyślacie, hasło do konta MyFitnessPal nie jest potrzebne przestępcom by śledzić diety stosowane przez użytkowników lub wrzucać im wirtualny bekon do lekkiego serka na śniadanie. Głównym celem przestępców jest uzyskanie dostępu do skrzynek pocztowych ofiar lub do ich innych kont w innych serwisach. Jeśli zatem hasła używanego w MyFitnessPal używaliście gdziekolwiek indziej, to czas je we wszystkich tych miejscach zmienić. Przestępcy korzystają z bardzo wydajnych skryptów (tzw. checkerów) do weryfikacji par email/login + hasło w wielu popularnych serwisach i jeśli Wasze hasło pasuje, to wkrótce mogą próbować przejąć Wasze konto Twittera, Dropboksa, Steama i wiele, wiele innych. Tu przydaje się używanie unikatowych haseł – choć trudne w praktyce, to na szczęście dzięki menedżerom haseł możliwe do wdrożenia.
PS Ciekawe ile ofiar wycieku z polskiej firmy dietetycznej Fit and Eat znajduje się w bazie MyFitnessPal. Pechowy sektor.
PS2 Dziękujemy wszystkim Czytelnikom, którzy podesłali informację.
Komentarze
KURŁA!
Też dostałem maila w nocy, cały świat wie już że jestem gruby, tajemnica wyciekła :-)
Ale jaki cudowny wyciek do tłumaczenia żonie & psiapsiółom zagrożeń. Baby nie boją się wycieku danych osobowych, ale za to waga i prawdziwy wiek przerażają xD
„nieautoryzowana strona trzecia” jednak zmieniacie nazwę, czy to konkurencja? ;)
Kiedyś tego używałam, ale na szczęście na „śmieciowym” mailu i haśle :) (ale jeszcze sprawdziłam dla pewności)
Ale chyba spora część userów loguje się oauthem z FB, zatem aurotyacja jest wyprowadzona na zewnątrz. Poprawcie mnie jeśli się mylę, ale ci chyba mogą spać spokojnie.
Ci drudzy zostali klientami Cambridge Analitica jak mój chłopak
Tak a propo menadżerów haseł – co myślicie o Lastpass (pod kątem bezpieczeństwa)?
Menedżery haseł to bardzo dobry pomysł. W przypadku lastpassa pamiętaj o dwóch rzeczach: 1. Miał w przeszłości problem z bezpieczeństwem (poszukaj sobie opisów), który usunięto. 2. Twoje hasła przechowuje ktoś inny, chociaż są w postaci zaszyfrowanej. To do przemyślenia przed podjęciem decyzji, ale nie oznacza, żeby rezygnować z pomysłu :)
Lepszy LastPass niż nic. Chociaż osobiście LastPassa bym nie wybrał.
Dlatego ja korzystam z Fitatu, nie z MFP ;)
Tak po prostu, nieautoryzowana strona trzecia i włam, który może mieć swoje ogromne konsekwencje. Jeśli chodzi o kwestie samych haseł, to tutaj znając życie będzie masowa podmianka haseł. Nie raz i nie dwa spotkałam się z sytuacją „jedno hasło do wszystkiego” – działania niektórych naprawdę mnie przerażają. I tak wyciekający login i hasło z jednego portalu rozprzestrzeniają straty na dziesiątki innych. Nie wspominając już o podejrzanych mailingach, których identyfikacji szarzy użytkownicy nie nauczą się chyba nigdy. Na nic się zdają coraz to szerzej opisywane zagrożenia, tak jak tu na blogu”: https://www.grupa-tense.pl/blog/akcja-badzmy-legalni-oraz-inne-mailingi-na-ktore-trzeba-uwazac/ jest ułamek sekundy zastanowienia, czy to nie „fejk”, a potem jak śliwka w kompot.
Halo, odkopuję artykuł!
Właśnie ogarnelam z czego dostaję te dziadowskie maile na skrzynkę. Powiedzcie, jak się tego pozbyć?
Zastanawiałem się przez chwilę kto używa swojego podstawowego maila do tworzenia kont w internecie. Potem pomyślałem o kilku osobach i okazało się, że wszyscy. Ja jestem tutaj chyba ewenementem ;) W dzisiejszych czasach każda dana jest cenna. Sam jestem analitykiem internetowym, więc wiem ;)
Pozdrawiam, https://piotrstarzynski.com