Klávesové zkratky na tomto webu - základní­
Přeskočit hlavičku portálu


Diskuse k článku

Změňte si heslo, varuje Mall.cz 1,3 milionů uživatelů. Hesla někdo prolomil

Internetový obchod Mall.cz vyzval velkou část svých zákazníků, aby si změnili heslo ke svému zákaznickému účtu. Podle firmy mohli hackeři odcizit údaje až k 750 tisíc uživatelským účtům. Firma se proto rozhodla část hesel resetovat, aby zabránila jejich zneužití. O resetu informovali zákazníky e-mailem.

Upozornění

Litujeme, ale tato diskuse byla uzavřena a již do ní nelze vkládat nové příspěvky.
Děkujeme za pochopení.

Zobrazit příspěvky: Všechny podle vláken Všechny podle času

J61a82r81o50s70l93a20v 24B31r29a75b78e42n15e62c 1487728622329

Jo, u blbýho e-šopu chcou furt nějaký složitý heslo a když se nechcete registrovat, tak se někdy nedá ani nakoupit. A u účtu , kde máte fůru peněz musí stačit čtyři číslice ...

0/0
30.8.2017 12:26

F46r89a12n95t51i89š23e69k 55O35s90t19r58ý 4165521977363

Problém není ani tak v použití md5, ale v nepoužití soli. Bez soli mají stejný problém i jiné hashovací funkce.

0/0
30.8.2017 9:10

L51u45k45á12š 40F52r58a11n44c87o37u97z 3376494704

Jako reakce na tuto událost se všude píše o tom, jaká by lidé měli mít hesla a jak jsou hloupí že mají jedno stejné apod. Jistě. Ovšem, Mall.cz, který umožnil tento únik dat (neschopnost zabránit mu) se staví automaticky do role oběti. Ve skutečnosti by měl hradit škody svým zákazníkům, kteří nyní musí celé dny minimálně měnit svá hesla na dalších účtech...

+4/−2
29.8.2017 10:58
Foto

M91a27r87t39a 70D80o84u97b80r79a50v68o94v38á 4650294355627

- Zadejte uživatelské jméno !

- logik2

- Zadejte heslo !

- jablko

- Lituji, heslo musí obsahovat minimálně 8 znaků !

- červenéjablko

- Lituji, heslo musí obsahovat min. 1 číslici !

- 1červenéjablko

- Lituji, heslo musí obsahovat min. jedno velké písmeno !

- 1VYJEBANÉčervené jablko

- Lituji, heslo nesmí obsahovat za sebou následující velká písmena ! - 1VyjebanéČervenéJablkoAnastrčSiHo ! - Lituji, heslo nesmí obsahovat znaky s diakritikou ! - 1VyjebaneShnileCerveneJablkoAchcipniTyHajzleJestliAniTohleHesloNeprijmes - Lituji, toto heslo je již obsazeno !

+6/0
29.8.2017 10:13

J64a22r30o27s85l44a59v 59B46r50a55b34e41n56e96c 1517488662879

Tak jsem se dnes i zasmál , dávám BOD R^ , u mně dobrý .

0/0
30.8.2017 12:30

V63a67c65l70a59v 47M31e59d11e89k 5151152325185

hmm, to zas někdo na eshopu tak velkého rozsahu má uživatelské hesla v nekryptovaném stavu? 8-o

0/0
28.8.2017 23:15

P72e74t84r 58B70i98e11l94i21k 9307484572351

take mi to doslo do emailu... povazoval jsem to a spam a smazal... :-) ...btw. na mall.cz jsem nakupoval jen jednou, asi v roce 2012 (holici strojek) ... nepamatuju si, ze bych se registroval... asi me to registrovalo automaticky (dle VOP), coz mne velmi vytaci a mam velice rad e-shopy, ktere nucenou registraci nevyzaduji / nedelaji.

+2/0
28.8.2017 21:24

J55a18r21o96s86l26a61v 47B97r95a55b59e67n48e22c 1107578552449

Taky mi to přišlo na e-mail a taky jsem se neregistroval , humus .

0/0
30.8.2017 12:15

M49a12r33e83k 31D65e88m94č88á62k 9725534506215

Pro mall je to velký problém z hlediska reputace, pro zákazníky, kteří tam měli "své" jediné heslo je to potom katastrofa - bez změny hesla mohou přijít o kontrolu nad vlastním e-mailem, tím pádem třeba i nad vlastním FB účtem (pokud nemají zapnutou 2FA) = útočník může třeba obeslat přátele s prosbou o půjčku. Pokud je stejný login třeba na alza.cz a má-li tam člověk uloženou kartu, pak lze teoreticky provést nákup (spíše věcí s elektronickým doručením).

+1/−1
28.8.2017 16:18

P88e95t14r 91N78i18v28n15i55c35k76ý 3872124215417

Přijít o FB účet - tomu říkám životní tragédie. ;-D

+1/−1
28.8.2017 16:26
Foto

K61a81r21e71l 91P23l84a52c84h37ý 6746306374669

Kdyby ty ucty nedelali "nasilne a povinne" nemeli by takovy problem.

+5/0
28.8.2017 16:33

L57u44d33v12í19k 55G59a26j95d65o76š36í30k 2965763584542

Nemyslím, že to je pro Mall až tak velký problém reputace.

Zákazníci používající jedno jednoduché heslo na vše mají problém hlavně sami u sebe a Mall je takto aspoň upozornil, že dělají něco špatně.

+1/−1
28.8.2017 19:40

M77i85c83h56a10l 89S42c77h28w75a20r60z 2178506421968

Chápu. Dává naprostý smysl, když všemožným eshopům a dalším webům sděluji své jediné a univerzální heslo, které navíc používám i pro mail (a nejlépe i pro datovou schránku apod.). Ani náhodou mě přece nemůže napadnout, že když *kamkoli* tohle heslo zadávám, tak ho provozovatel webu má (alespoň chvíli) k dispozici, a má teoretickou možnost ho zneužít, že?

Je to jako používat jeden univerzální klíč k domu, bytu, kanceláři, autu, zámku na kolo, poštovní schránce, atd., a pak ho vesele zapůjčit třeba autoservisu v rámci prohlídky, s tím že "oni mají určitě nějak zabezpečené že si ho nikdo nezkopíruje" :).

Kdo chce kam, pomozme mu tam.

0/0
29.8.2017 17:02

J76a88n 76M41a64j10e12r 9843129648251

Protože MD5 je starý způsob hashování, existují dnes již účinné metody, které umí zpětně dešifrovat z kontrolního součtu původní heslo. Stačí použít například dostupné databáze, které využívají známých hesel a slovníků k vytvoření dekódovacích tabulek. Například tato stránka dokázala řetězec 955db0b81ef1989b4a4dfeae8061a9a6 dešifrovat jako „heslo“ za desetinu sekundy a „heslo123“ za 0,7 sekundy. Je tedy vidět, že zvláště jednoduchá hesla nečiní hackerům problém dekódovat velice rychle.

A teď hurá do opravy dvou chyb... :-)

1) Hash nejde dešifrovat, jde pouze najít "kolizi". MD5 je 128 bitové číslo, dva řetězce klidně můžou mít stejný hash. Oproti zašifrovanému textu, kdy musí jít samozřejmě dešifrovat původní zpráva.

2) Stačí použít například dostupné databáze, které využívají známých hesel a slovníků k vytvoření dekódovacích tabulek.

Pokud programátor aplikace ví co je salt, tak nestačí. I v Mallu salt u novějších hesel používali. Podrobnosti salted hash.

https://en.wikipedia.org/wiki/Salt_(cryptography)

https://www.interval.cz/clanky/salted-hash-dalsi-krok-ke-zvyseni-bezpecnosti/

Od listopadu 2012 jsme bezpečnost hesel zajišťovali hashovací metodou SHA1 + unikátní solí a od října 2016 chráníme přístupové údaje jednou z nejsilnějších hashovacích metod bcrypt. Do roku 2012 byly údaje hashovány metodou MD5, která dnes již není považována za bezpečnou.

https://blog.mall.cz/o-nas/q-a-vse-co-jste-chteli-vedet-o-bezpecnosti-na-mall-cz-451.html

+1/0
28.8.2017 16:10
Foto

P16a25v86e63l 55K17a78s30í52k50, 81T10e44c42h68n40e37t82.16c44z

Ano, "dešifrování" je v tomto případě taková zkratka. A ano, osolení pomůže.

0/−1
28.8.2017 17:47

K32a29r87e81l 22S22t85r80ž71a96n34o27v70s13k88ý 1558145985

Kdyby měl mít člověk do každé aplikace a služby jiné heslo, potřeboval by sebou na ně nosit sešit.

+2/0
28.8.2017 15:26

R71a21d54i36m 16Z75a96t32o41p70e57k 9292585792577

zase tak divoké to být nemusí. já si před časem na nekritické služby a aplikace vytvořil algoritmus, který zohledňuje URL/název a je dostatečně bezpečný. Pak mi nedělá problém si na heslo pro danou službu okamžitě vzpomenout. Nu a na ty kritické (banka, firemní účet, osobní e-mail, nastavení domény) mám silné hesla bez jakékoliv spojitosti s mou osobou nebo danou službou.

+1/−1
28.8.2017 15:37
Foto

P88a92v41e36l 29K96a17s39í64k11, 38T47e17c50h68n33e93t59.39c58z

Ano, v principu máte pravdu. Ale naštěstí existují elektronické "sešity" na hesla, říká se jim správce hesel. Viz návod odkázaný v článku.

+1/−2
28.8.2017 15:59

P63e80t77r 91N81i15v25n89i53c19k23ý 3772744475227

Správce hesel s v nejpotřebnější chvíli podělá a všechna hesla jsou v .... Zlatý sešit.

+2/0
28.8.2017 16:27
Foto

K24a94r24e77l 78P74l13a24c70h14ý 6466596244899

Je to rovnez o tom, ze spousta lidi, co si neco jednorazove koupi, da uplne primitivni heslo, jelikoz tam nechce nakupovat "ob den". Tyhle "registrace vsech", co si neco koupi", jsou nesmyslne a k zlosti.

+2/0
28.8.2017 16:38

P12a34v34e97l 49S98v35o21b62o43d47a 4907910492212

Sesit je fajn, pokuseil jsem se spocitat pocet hesel ci spise webu, ktere v nem mam. U cisla 50 mne to prestalo bavit. Predstava, ze pokazde budu muset nakukovat do sesitu je desiva:-) Pouzivam neco podobneho jako p. Zatopek a kousicek vyse. 80% hesla tvori stejny zaklad a zbytek se vytvori jednoduse zapamatovatelnym algoritmem. Neni to nic genialniho, ale funguje to spolehlive. No a mam take par mimonskych hesel a na jejich nezapomenuti je ten sesitek dobry:-)))

0/0
28.8.2017 22:41

P90a25v68e41l 13T55r19u97k45s61a 3783877772623

Jake "nakukovani" do sesitu myslite? Proste u kloudneho spravce hesel se prihlasite centralnik heslem nebo otiskem prstu a prihlasi se pamatuje tak dlouho, jak si nastavite (cas neaktivity, spusteni sporice obrazovky,....), pripadne u nekterych webu (banka, paypal,..) si muzete vybrat, ze centralni heslo zadavate vzdycky, pripadne musite prejet pres ctecku otisku prstu.

Takz logicky nikam nenakukujete...vlezete na web a heslo se vam bud automaticky vyplni, nebo zadate centralni heslo a doplni se vam automaticky hned po jeho zadani...

0/0
29.8.2017 11:49

F31r76a68n65t74i62š17e88k 52O75s96t23r87ý 4835601437413

Přihlašovat se někam otiskem prstu je zásadní bezpečnostní chyba.

0/0
30.8.2017 9:12

P82a21v73e59l 23T31r89u81k86s55a 3253367622873

Tak vzhledem k tomu, ze se predtim jeste musim prihlasit do operacniho systemu, tak nejake miniaturni "false positive" u ctecky otisku prstu me fakt netrapi. Nemluve o tom, ze treba banka u prevodu vyzaduje kod, ktery jde na mobil.

0/0
30.8.2017 9:17

L29u46d43v98í22k 69G32a36j73d57o82š35í26k 2645153424302

No však. Akorát dnes žijeme v elektronickém světě a stačí proto úplně šifrovaná elektronická databáze. :-)

0/0
28.8.2017 19:08

E24r83i27k 47S15v66o87b71o62d46a 1743928754618

Mall.cz jde už posledních pár let pěkně z kopce. Běžně problémy s doručováním a dodržováním termínu dodání. Dřív jsem u nich nakupoval hodně, teď už minimálně. A když ani neumí ochránit data zákazníků, tak už tam nebudu nakupovat vůbec. Ta firma jde strašně dolů.

0/0
28.8.2017 15:16

L73u26k23á19š 93M51a50l61v31i70n60s83k10y 2118394943728

Průšvih je to hlavně pro ty lidi co mají stejné heslo i na mail a zároveň je jejich heslo velmi jednoduché. Ti asi přijdou i o mail.

0/0
28.8.2017 15:14

P27e80t23r 93N22i78v69n80i41c76k20ý 3492164845617

Ber to pozitivně. Třeba s z toho do budoucna poučí.

+1/0
28.8.2017 16:28

O80l80d31ř61i10c51h 95S47m77u73t32n95ý 2750532814875

:-0 Taky mi to přišlo. Žádné nové heslo zadávat rozhodně nebudu a s mallem končím, amatéři neschopní :-/

+5/0
28.8.2017 15:10

J69a33n 50M11o75t94ů48r78e14k 7440482221199

tak to jste velký drsoň a jste jim to teď natřel.

+1/−3
28.8.2017 15:11

E73r50i80k 63S74v32o28b30o18d43a 1723748834748

Já jeho rozčílení chápu. Proč kvůli chybě někoho jiného (kterému navíc platíte) máte mít problémy vy.

+1/0
28.8.2017 15:17

L26u47d55v73í15k 86G93a31j79d82o44š59í15k 2855823824952

Pokud má někdo s tímhle problémy, tak si za ně může pouze sám tím, že používá nevhodná a stejná hesla na více služeb.

Jediné co má normální uživatel za "problém" je ta minuta na změnění hesla na Mallu a to nestojí za nějaké rozčílení.

Naopak si na Mallu cením, že se to nesnažili nějak ututlat nebo problém zlehčit.

+1/−1
28.8.2017 19:13

R17a57d35e67k 98H80o24d21a78ň 9596697491253

Pěkné jak Mall pečlivě vysvětluje, že za vše vlastně mohou uživatelé, protože mají slabé heslo (citace mailu: "zaznamenali jsme totiž pokus o narušení bezpečnosti, který se dotkl starší databáze uživatelských účtů, jež neměly dostatečné silné heslo")

Jenže ono je to vlastně úplně jinak: z článku vyplývá, že na heslo použili md5. Sice to pečlivě obcházejí že "MD5 dnes není považováno za bezpečnou metodu", jenže ona ta funkce taky nikdy na uchovávání hesel dělána nebyla.

Řečeno jinak: Mall to kolosálně po... po stránce bezpečnosti protože hesla nekryptoval, a snaží se to hodit na uživatele že nemají bezpečné heslo. Bláboly o trestním oznámení jsou pak na úrovni 16tiletého Cendry, či spammera a vyděrače Slabého. Tam snad chybí už jen že "tým našich právníků vás dá k soudu... a tatínek vám vyhlásí válku".

+12/0
28.8.2017 15:04

R17a38d10i20m 72Z62a65t87o73p17e32k 9792285112807

Sice nebyla, ale běžně se na hashování hesel používala. Ale to už je sakra dávno, asi tak 20 let, co jsem se učil PHP z knihy Jirky Koska a naposledy jsem MD5 na hashování hesel používal před 15 lety, kdy se ještě MD5 považovalo za bezpečnou funkci.

+1/0
28.8.2017 15:41

R40a72d22i43m 35Z60a75t67o36p49e57k 9472745582927

Ještě jsem chtěl napsat, že se MD5 svého času používala k hashování hesel uživatelů na Linuxu.

0/0
28.8.2017 15:46
Foto

K18a43r61e40l 67P37l30a15c75h19ý 6296406284829

Ja jim odepsal:

Dobrý sen týme Mall.cz,

kdybyste zároveň s nákupem "povinně" neshromažďovali údaje o zákaznících a nezakládali jim účty o které nestojí, nestalo by se vám to.

Smažte prosím veškeré údaje o mě ze své databáze. Nestojím o to, abych si někde koupil televizi a nic jiného, a najednou tam měl účet. Ta data se i kradou (např. naštvaný zaměstnanec), obchoduje se s nimi a potom lidem chodí reklamní nabídky/newslettery na vše možné a půl dne stráví tím, jak odhlašuje odběry, nebo psaním takovýchto e-mailů.

S díky a pozdravem Karel Plachý (váš jednorázový zákazník před třemi lety)

+5/0
28.8.2017 14:58

L27a45d29a 61N23o40v47a86k 4562153897

to je zlomí.....;-D

+1/0
28.8.2017 15:21
Foto

K55a62r41e83l 33P15l27a22c24h23ý 6236456664709

Urcite... :-)

0/0
28.8.2017 16:31

M22a13r51e17k 67J25a40n45e48č52k31a 1217286223451

Mě spíše zaráží lidi, co nakupují na Mall.cz. Cenově dle srovnávačů nijak zajímavý eshop, ale za to je to ještě vydatnější spamer než Alza.

0/0
28.8.2017 14:35

J62a70n 55N14á34d77v80o67r72n90í84k 7243238165677

Tak cena asi není vše, ne?

+2/0
28.8.2017 14:53

P14e32t83r 94N51i27v44n45i49c46k73ý 3242264925417

Není, jako bonus získáš dobrá pocit z toho, že tvé údaje se pak válí na internetu. A to se vyplatí. ;-D

0/0
28.8.2017 16:29

L11a92d98i98s78l59a52v 88L61a45k44e31r 2833449755406

Ta zpráva je nějaká podivná. Tragické by přece bylo už to, že mall.cz ukládal na svých serverech ta hesla! To se přece nedělá. Použije se hash funkce a server pouze porovnává zákazníkem zadané heslo s uloženým "otiskem".

0/0
28.8.2017 14:10
Foto

P26a31v42e83l 26K87a43s27í92k45, 35T20e64c86h14n66e50t78.59c82z

Původní zpráva byla z ČTK, hned, jak jsem se k tomu dostal a ověřil u Mall.cz podrobnosti, zprávu jsem rozšířil a doplnil. Odpověď na vaši otázku: zdá se, že jim unikly staré hashe (MD5) a hackeři z nich dešifrovali původní hesla. Kdesi se pak Mall.cz dostal k databázi těchto již dešifrovaných (prolomených) hesel: „Zajistili jsme databázi, ve které již byla útočníkem prolomena hesla. Na základě analýzy těchto dat jsme usoudili, že se jedná o databázi z roku 2014,“ uvedl mluvčí Mall.cz Jan Řezáč.

Zdroj: http://technet.idnes.cz/mall-heslo-hacker-0eb-/sw_internet.aspx?c=A170828_104617_ekonomika_bur

0/0
28.8.2017 14:19

L30u24d16ě88k 54R79á93j42e16c81k23ý 7618147700434

IMO jen zkratka, Mall žádná hesla neukládal. Ukládal hashe, ale jak je ukázáno v článku - některé hashe (třeba MD5) jsou dneska už překonané.

0/0
28.8.2017 14:19

E97v94a 60D56r84o15z64d80o84v23á 7269787955585

Nakupování na Mall je v posledních letech katastrofa. A to měli našlápnuto velmi dobře.

Tohle je jen jeden z desítek problémů, které mají.

+2/−2
28.8.2017 13:48

P40a64v42e64l 26Š56e95s17t35á93k 3719180498

a proto jsem rad ze jsem tam mel jen to nejmene bezpecne heslo ktere existuje, :) vsak registrace je tam jen k tomu aby clovek nemusel porad dokola vyplnovat kontaktni udaje

0/0
28.8.2017 13:48

M83a86r62t22i58n 59H26o70l68a55ň 9289121971

Jen doufám že se poučí zákazníci a nebudou tam nakupovat. Jednou mi stačilo a nikdy víc.:-/

+2/−3
28.8.2017 13:05

P25e58t34r 14M40i62c25h46a57l51č57á28k 2497540851112

Tento obchod pro mne již rok neexistuje po špatných zkušenostech.

+5/−3
28.8.2017 12:29

P86e34t62r 22K95o25l96á96ř 2608147294451

Ten článek nedává smysl ... Co se tedy vlastně stalo? Ukradli hesla nebo se nabourávali do účtů? Pokud ukradli hesla, tak je to obrovská ostuda ...

+4/−2
28.8.2017 12:11

M41i69l95o86š 45B23é57m 6794579112893

Ukradli minimálně kombinaci přihlašovacího jména a hashe hesla, z kterého lze v jistých případech získat heslo samotné.

0/0
28.8.2017 12:21







Najdete na iDNES.cz