Video: Groupon, LivingSocial "deal of the day" pros and cons (September 2024)
Cyber-angripare har nyligen brutit mot LivingSocials system och olagligt fått tillgång till kundinformation för mer än 50 miljoner användare, sa LivingSocial. Användare måste byta lösenord omedelbart.
Som PCMag.com rapporterade igår skickade LivingSocial e-postmeddelanden om dataöverträdelse till alla berörda kunder som informerade dem om en cyberattack som resulterade i obehörig åtkomst till kunddata. Mer än 50 miljoner konton påverkades potentiellt, enligt LivingSocial, vilket gjorde detta till ett av de största lösenordsbrott i år.
Det är för närvarande inte klart hur överträdelsen inträffade och vilka andra uppgifter som stulits. I den här typen av incidenter bryter angriparna vanligtvis in genom att hemligt installera skadlig programvara på anställdas enheter och sedan jobba sig runt nätverket tills de hittar känsliga system, berättade George Tubin, senior säkerhetsstrateg vid Trusteer, till SecurityWatch .
Leverantörer "bör förvänta sig hackare att rikta in sig på sina system för att få kunddata eller känslig företagsinformation, " sade Tubin. Vid denna punkt "är det uppenbart att dessa leverantörer helt enkelt inte gör tillräckligt för att skydda sina kunders information", sa Tubin.
Saltade, hashade lösenord inte sprickskyddade
Det är ett gott tecken på att LivingSocial hade skyltat och saltat sina lösenord eftersom det kommer att bromsa angriparna något, men "det kommer inte att stoppa" angriparna från att försöka, och lyckas med att räkna ut de ursprungliga lösenorden, Ross Barrett, senior chef för säkerhet engineering på Rapid7, berättade SecurityWatch . Medan saltningen bromsar sprickprocessen, "så småningom kommer angriparna eller deras nätverk att få den information de är ute efter" sa Barrett..
Hashing är en envägskryptering, där du alltid får samma utgång för en viss ingång, men det är inte möjligt att börja med en hash och räkna ut vad den ursprungliga strängen var. Angripare förlitar sig ofta på regnbågens bord, en serie enorma ordböcker som innehåller alla tänkbara strängar (inklusive ordbok, vanliga efternamn, till och med sångtexter) och relevanta hashvärden. Angripare kan matcha hash från lösenordstabellen med regnbågtabellen för att hitta den ursprungliga strängen som genererade koden.
Saltning avser processen att lägga till extra information till den ursprungliga inmatningssträngen innan du skapar en hash. Eftersom angriparen inte vet vad de extra bitarna med data blir blir hårdare att knäcka hasherna.
Problemet är dock att LivingSocial använde SHA1 för att generera hash, en svag algoritm. Liksom MD5, en annan populär algoritm, designades SHA1 för att fungera snabbt och med en minimal mängd datoressurser.
Med tanke på de senaste framstegen inom hårdvaru- och hackingtekniker är SHA1-hash, till och med saltad, inte spricksäker. LivingSocial skulle ha varit bättre med bcrypt, scrypt eller PBKDF-2.
Ändra dessa lösenord nu
LivingSocial har återställt lösenord för alla användare och användare bör se till att välja nya lösenord som inte används någon annanstans. Många brukar återanvända samma lösenord på webbplatser; om användare använde LivingSocial-lösenordet på andra webbplatser, bör de också ändra dessa lösenord omedelbart. När lösenorden är knäckta kan angripare pröva lösenorden mot populära tjänster som e-post, Facebook och LinkedIn.
"Dessa överträdelser är en annan påminnelse om varför det är så viktigt att upprätthålla god lösenordshygien och använda olika lösenord för alla konton och webbplatser, " sa Barrett.
Angripare kan också använda födelsedatum och namn för att utforma phishing och andra socialteknikkampanjer. De kan hänvisa till dessa detaljer för att lura användare att tro att det är legitima meddelanden. De stulna uppgifterna kommer att "driva attacker under mycket lång tid", sa Barrett.
LivingSocial-brottet är "ytterligare en påminnelse om att organisationer kommer att fortsätta att vara inriktade på deras värdefulla kunddata", sa Barrett.
