Klávesové zkratky na tomto webu - základní­
Přeskočit hlavičku portálu


Diskuse k článku

Změňte si heslo, varuje Mall.cz 1,3 milionů uživatelů. Hesla někdo prolomil

Internetový obchod Mall.cz vyzval velkou část svých zákazníků, aby si změnili heslo ke svému zákaznickému účtu. Podle firmy mohli hackeři odcizit údaje až k 750 tisíc uživatelským účtům. Firma se proto rozhodla část hesel resetovat, aby zabránila jejich zneužití. O resetu informovali zákazníky e-mailem.

Upozornění

Litujeme, ale tato diskuse byla uzavřena a již do ní nelze vkládat nové příspěvky.
Děkujeme za pochopení.

Zobrazit příspěvky: Všechny podle vláken Všechny podle času

J97a67r52o26s15l39a93v 26B78r36a47b17e86n80e52c 1237568672919

Jo, u blbýho e-šopu chcou furt nějaký složitý heslo a když se nechcete registrovat, tak se někdy nedá ani nakoupit. A u účtu , kde máte fůru peněz musí stačit čtyři číslice ...

0/0
30.8.2017 12:26

F19r35a61n62t26i56š73e11k 42O56s14t94r49ý 4285201397153

Problém není ani tak v použití md5, ale v nepoužití soli. Bez soli mají stejný problém i jiné hashovací funkce.

0/0
30.8.2017 9:10

L69u66k75á36š 93F11r76a50n11c75o46u78z 3456774564

Jako reakce na tuto událost se všude píše o tom, jaká by lidé měli mít hesla a jak jsou hloupí že mají jedno stejné apod. Jistě. Ovšem, Mall.cz, který umožnil tento únik dat (neschopnost zabránit mu) se staví automaticky do role oběti. Ve skutečnosti by měl hradit škody svým zákazníkům, kteří nyní musí celé dny minimálně měnit svá hesla na dalších účtech...

+4/−2
29.8.2017 10:58
Foto

M10a86r77t49a 72D15o89u98b57r65a91v83o31v31á 4520664675697

- Zadejte uživatelské jméno !

- logik2

- Zadejte heslo !

- jablko

- Lituji, heslo musí obsahovat minimálně 8 znaků !

- červenéjablko

- Lituji, heslo musí obsahovat min. 1 číslici !

- 1červenéjablko

- Lituji, heslo musí obsahovat min. jedno velké písmeno !

- 1VYJEBANÉčervené jablko

- Lituji, heslo nesmí obsahovat za sebou následující velká písmena ! - 1VyjebanéČervenéJablkoAnastrčSiHo ! - Lituji, heslo nesmí obsahovat znaky s diakritikou ! - 1VyjebaneShnileCerveneJablkoAchcipniTyHajzleJestliAniTohleHesloNeprijmes - Lituji, toto heslo je již obsazeno !

+6/0
29.8.2017 10:13

J23a17r85o10s26l81a40v 60B84r75a55b96e63n62e20c 1357478482419

Tak jsem se dnes i zasmál , dávám BOD R^ , u mně dobrý .

0/0
30.8.2017 12:30

V41a88c42l63a76v 75M77e37d18e92k 5281782335795

hmm, to zas někdo na eshopu tak velkého rozsahu má uživatelské hesla v nekryptovaném stavu? 8-o

0/0
28.8.2017 23:15

P20e74t63r 49B23i86e60l66i42k 9547154332121

take mi to doslo do emailu... povazoval jsem to a spam a smazal... :-) ...btw. na mall.cz jsem nakupoval jen jednou, asi v roce 2012 (holici strojek) ... nepamatuju si, ze bych se registroval... asi me to registrovalo automaticky (dle VOP), coz mne velmi vytaci a mam velice rad e-shopy, ktere nucenou registraci nevyzaduji / nedelaji.

+2/0
28.8.2017 21:24

J68a38r30o20s94l14a27v 36B37r33a74b32e33n50e13c 1137528902569

Taky mi to přišlo na e-mail a taky jsem se neregistroval , humus .

0/0
30.8.2017 12:15

M75a72r83e51k 44D71e96m35č53á80k 9325984196715

Pro mall je to velký problém z hlediska reputace, pro zákazníky, kteří tam měli "své" jediné heslo je to potom katastrofa - bez změny hesla mohou přijít o kontrolu nad vlastním e-mailem, tím pádem třeba i nad vlastním FB účtem (pokud nemají zapnutou 2FA) = útočník může třeba obeslat přátele s prosbou o půjčku. Pokud je stejný login třeba na alza.cz a má-li tam člověk uloženou kartu, pak lze teoreticky provést nákup (spíše věcí s elektronickým doručením).

+1/−1
28.8.2017 16:18

P51e75t68r 79N72i17v82n29i61c83k46ý 3392744905637

Přijít o FB účet - tomu říkám životní tragédie. ;-D

+1/−1
28.8.2017 16:26
Foto

K20a63r38e12l 23P76l35a95c53h77ý 6746336164919

Kdyby ty ucty nedelali "nasilne a povinne" nemeli by takovy problem.

+5/0
28.8.2017 16:33

L81u56d11v74í22k 60G97a37j44d71o28š48í92k 2535313674972

Nemyslím, že to je pro Mall až tak velký problém reputace.

Zákazníci používající jedno jednoduché heslo na vše mají problém hlavně sami u sebe a Mall je takto aspoň upozornil, že dělají něco špatně.

+1/−1
28.8.2017 19:40

M32i19c76h91a83l 57S91c85h42w14a15r13z 2338876711468

Chápu. Dává naprostý smysl, když všemožným eshopům a dalším webům sděluji své jediné a univerzální heslo, které navíc používám i pro mail (a nejlépe i pro datovou schránku apod.). Ani náhodou mě přece nemůže napadnout, že když *kamkoli* tohle heslo zadávám, tak ho provozovatel webu má (alespoň chvíli) k dispozici, a má teoretickou možnost ho zneužít, že?

Je to jako používat jeden univerzální klíč k domu, bytu, kanceláři, autu, zámku na kolo, poštovní schránce, atd., a pak ho vesele zapůjčit třeba autoservisu v rámci prohlídky, s tím že "oni mají určitě nějak zabezpečené že si ho nikdo nezkopíruje" :).

Kdo chce kam, pomozme mu tam.

0/0
29.8.2017 17:02

J17a13n 32M65a87j58e42r 9753779628461

Protože MD5 je starý způsob hashování, existují dnes již účinné metody, které umí zpětně dešifrovat z kontrolního součtu původní heslo. Stačí použít například dostupné databáze, které využívají známých hesel a slovníků k vytvoření dekódovacích tabulek. Například tato stránka dokázala řetězec 955db0b81ef1989b4a4dfeae8061a9a6 dešifrovat jako „heslo“ za desetinu sekundy a „heslo123“ za 0,7 sekundy. Je tedy vidět, že zvláště jednoduchá hesla nečiní hackerům problém dekódovat velice rychle.

A teď hurá do opravy dvou chyb... :-)

1) Hash nejde dešifrovat, jde pouze najít "kolizi". MD5 je 128 bitové číslo, dva řetězce klidně můžou mít stejný hash. Oproti zašifrovanému textu, kdy musí jít samozřejmě dešifrovat původní zpráva.

2) Stačí použít například dostupné databáze, které využívají známých hesel a slovníků k vytvoření dekódovacích tabulek.

Pokud programátor aplikace ví co je salt, tak nestačí. I v Mallu salt u novějších hesel používali. Podrobnosti salted hash.

https://en.wikipedia.org/wiki/Salt_(cryptography)

https://www.interval.cz/clanky/salted-hash-dalsi-krok-ke-zvyseni-bezpecnosti/

Od listopadu 2012 jsme bezpečnost hesel zajišťovali hashovací metodou SHA1 + unikátní solí a od října 2016 chráníme přístupové údaje jednou z nejsilnějších hashovacích metod bcrypt. Do roku 2012 byly údaje hashovány metodou MD5, která dnes již není považována za bezpečnou.

https://blog.mall.cz/o-nas/q-a-vse-co-jste-chteli-vedet-o-bezpecnosti-na-mall-cz-451.html

+1/0
28.8.2017 16:10
Foto

P13a83v64e66l 38K22a19s14í94k94, 72T97e87c47h32n91e70t31.98c20z

Ano, "dešifrování" je v tomto případě taková zkratka. A ano, osolení pomůže.

0/−1
28.8.2017 17:47

K70a52r69e88l 60S91t13r36ž10a38n36o50v86s80k51ý 1438485515

Kdyby měl mít člověk do každé aplikace a služby jiné heslo, potřeboval by sebou na ně nosit sešit.

+2/0
28.8.2017 15:26

R76a12d48i57m 13Z17a37t91o88p70e94k 9532845902247

zase tak divoké to být nemusí. já si před časem na nekritické služby a aplikace vytvořil algoritmus, který zohledňuje URL/název a je dostatečně bezpečný. Pak mi nedělá problém si na heslo pro danou službu okamžitě vzpomenout. Nu a na ty kritické (banka, firemní účet, osobní e-mail, nastavení domény) mám silné hesla bez jakékoliv spojitosti s mou osobou nebo danou službou.

+1/−1
28.8.2017 15:37
Foto

P17a19v41e41l 93K77a76s30í15k76, 94T66e45c57h10n65e80t58.31c78z

Ano, v principu máte pravdu. Ale naštěstí existují elektronické "sešity" na hesla, říká se jim správce hesel. Viz návod odkázaný v článku.

+1/−2
28.8.2017 15:59

P65e80t32r 98N24i65v14n83i51c58k71ý 3722414115177

Správce hesel s v nejpotřebnější chvíli podělá a všechna hesla jsou v .... Zlatý sešit.

+2/0
28.8.2017 16:27
Foto

K56a97r34e28l 51P36l22a70c56h41ý 6706396714369

Je to rovnez o tom, ze spousta lidi, co si neco jednorazove koupi, da uplne primitivni heslo, jelikoz tam nechce nakupovat "ob den". Tyhle "registrace vsech", co si neco koupi", jsou nesmyslne a k zlosti.

+2/0
28.8.2017 16:38

P69a44v84e10l 19S45v38o95b54o30d89a 4217890812932

Sesit je fajn, pokuseil jsem se spocitat pocet hesel ci spise webu, ktere v nem mam. U cisla 50 mne to prestalo bavit. Predstava, ze pokazde budu muset nakukovat do sesitu je desiva:-) Pouzivam neco podobneho jako p. Zatopek a kousicek vyse. 80% hesla tvori stejny zaklad a zbytek se vytvori jednoduse zapamatovatelnym algoritmem. Neni to nic genialniho, ale funguje to spolehlive. No a mam take par mimonskych hesel a na jejich nezapomenuti je ten sesitek dobry:-)))

0/0
28.8.2017 22:41

P98a37v91e48l 56T24r32u33k82s13a 3523397682613

Jake "nakukovani" do sesitu myslite? Proste u kloudneho spravce hesel se prihlasite centralnik heslem nebo otiskem prstu a prihlasi se pamatuje tak dlouho, jak si nastavite (cas neaktivity, spusteni sporice obrazovky,....), pripadne u nekterych webu (banka, paypal,..) si muzete vybrat, ze centralni heslo zadavate vzdycky, pripadne musite prejet pres ctecku otisku prstu.

Takz logicky nikam nenakukujete...vlezete na web a heslo se vam bud automaticky vyplni, nebo zadate centralni heslo a doplni se vam automaticky hned po jeho zadani...

0/0
29.8.2017 11:49

F52r82a94n74t22i25š87e36k 86O41s91t70r28ý 4125791967603

Přihlašovat se někam otiskem prstu je zásadní bezpečnostní chyba.

0/0
30.8.2017 9:12

P25a31v87e62l 41T42r46u33k78s55a 3223617272153

Tak vzhledem k tomu, ze se predtim jeste musim prihlasit do operacniho systemu, tak nejake miniaturni "false positive" u ctecky otisku prstu me fakt netrapi. Nemluve o tom, ze treba banka u prevodu vyzaduje kod, ktery jde na mobil.

0/0
30.8.2017 9:17

L98u36d91v77í17k 26G25a69j77d20o10š14í17k 2635523134302

No však. Akorát dnes žijeme v elektronickém světě a stačí proto úplně šifrovaná elektronická databáze. :-)

0/0
28.8.2017 19:08

E13r15i90k 24S47v73o89b50o61d38a 1873458424248

Mall.cz jde už posledních pár let pěkně z kopce. Běžně problémy s doručováním a dodržováním termínu dodání. Dřív jsem u nich nakupoval hodně, teď už minimálně. A když ani neumí ochránit data zákazníků, tak už tam nebudu nakupovat vůbec. Ta firma jde strašně dolů.

0/0
28.8.2017 15:16

L35u23k86á77š 29M74a87l29v53i98n15s28k83y 2318414413268

Průšvih je to hlavně pro ty lidi co mají stejné heslo i na mail a zároveň je jejich heslo velmi jednoduché. Ti asi přijdou i o mail.

0/0
28.8.2017 15:14

P12e18t41r 24N98i11v84n88i27c86k66ý 3632864805427

Ber to pozitivně. Třeba s z toho do budoucna poučí.

+1/0
28.8.2017 16:28

O76l85d78ř92i76c74h 83S54m24u85t47n25ý 2410542164285

:-0 Taky mi to přišlo. Žádné nové heslo zadávat rozhodně nebudu a s mallem končím, amatéři neschopní :-/

+5/0
28.8.2017 15:10

J30a95n 71M30o40t15ů93r98e87k 7750432851699

tak to jste velký drsoň a jste jim to teď natřel.

+1/−3
28.8.2017 15:11

E42r85i44k 28S46v51o54b55o61d33a 1473368334858

Já jeho rozčílení chápu. Proč kvůli chybě někoho jiného (kterému navíc platíte) máte mít problémy vy.

+1/0
28.8.2017 15:17

L98u23d62v69í56k 71G80a47j42d89o19š21í45k 2795843924872

Pokud má někdo s tímhle problémy, tak si za ně může pouze sám tím, že používá nevhodná a stejná hesla na více služeb.

Jediné co má normální uživatel za "problém" je ta minuta na změnění hesla na Mallu a to nestojí za nějaké rozčílení.

Naopak si na Mallu cením, že se to nesnažili nějak ututlat nebo problém zlehčit.

+1/−1
28.8.2017 19:13

R97a49d68e53k 53H60o79d22a18ň 9636737741433

Pěkné jak Mall pečlivě vysvětluje, že za vše vlastně mohou uživatelé, protože mají slabé heslo (citace mailu: "zaznamenali jsme totiž pokus o narušení bezpečnosti, který se dotkl starší databáze uživatelských účtů, jež neměly dostatečné silné heslo")

Jenže ono je to vlastně úplně jinak: z článku vyplývá, že na heslo použili md5. Sice to pečlivě obcházejí že "MD5 dnes není považováno za bezpečnou metodu", jenže ona ta funkce taky nikdy na uchovávání hesel dělána nebyla.

Řečeno jinak: Mall to kolosálně po... po stránce bezpečnosti protože hesla nekryptoval, a snaží se to hodit na uživatele že nemají bezpečné heslo. Bláboly o trestním oznámení jsou pak na úrovni 16tiletého Cendry, či spammera a vyděrače Slabého. Tam snad chybí už jen že "tým našich právníků vás dá k soudu... a tatínek vám vyhlásí válku".

+12/0
28.8.2017 15:04

R47a81d14i80m 17Z10a74t23o73p38e97k 9602485112387

Sice nebyla, ale běžně se na hashování hesel používala. Ale to už je sakra dávno, asi tak 20 let, co jsem se učil PHP z knihy Jirky Koska a naposledy jsem MD5 na hashování hesel používal před 15 lety, kdy se ještě MD5 považovalo za bezpečnou funkci.

+1/0
28.8.2017 15:41

R37a39d18i74m 76Z39a59t37o82p27e54k 9682115882437

Ještě jsem chtěl napsat, že se MD5 svého času používala k hashování hesel uživatelů na Linuxu.

0/0
28.8.2017 15:46
Foto

K63a26r73e67l 55P70l38a41c98h76ý 6926236844759

Ja jim odepsal:

Dobrý sen týme Mall.cz,

kdybyste zároveň s nákupem "povinně" neshromažďovali údaje o zákaznících a nezakládali jim účty o které nestojí, nestalo by se vám to.

Smažte prosím veškeré údaje o mě ze své databáze. Nestojím o to, abych si někde koupil televizi a nic jiného, a najednou tam měl účet. Ta data se i kradou (např. naštvaný zaměstnanec), obchoduje se s nimi a potom lidem chodí reklamní nabídky/newslettery na vše možné a půl dne stráví tím, jak odhlašuje odběry, nebo psaním takovýchto e-mailů.

S díky a pozdravem Karel Plachý (váš jednorázový zákazník před třemi lety)

+5/0
28.8.2017 14:58

L39a55d91a 22N77o83v80a34k 4652983667

to je zlomí.....;-D

+1/0
28.8.2017 15:21
Foto

K18a32r75e96l 89P54l15a21c83h94ý 6436436744439

Urcite... :-)

0/0
28.8.2017 16:31

M82a65r11e75k 74J98a46n46e51č17k86a 1987766883211

Mě spíše zaráží lidi, co nakupují na Mall.cz. Cenově dle srovnávačů nijak zajímavý eshop, ale za to je to ještě vydatnější spamer než Alza.

0/0
28.8.2017 14:35

J59a82n 91N17á67d87v62o15r65n11í86k 7483178735907

Tak cena asi není vše, ne?

+2/0
28.8.2017 14:53

P44e22t58r 47N44i11v24n32i88c34k67ý 3702854335897

Není, jako bonus získáš dobrá pocit z toho, že tvé údaje se pak válí na internetu. A to se vyplatí. ;-D

0/0
28.8.2017 16:29

L12a54d38i31s72l44a60v 50L66a74k93e12r 2943209735216

Ta zpráva je nějaká podivná. Tragické by přece bylo už to, že mall.cz ukládal na svých serverech ta hesla! To se přece nedělá. Použije se hash funkce a server pouze porovnává zákazníkem zadané heslo s uloženým "otiskem".

0/0
28.8.2017 14:10
Foto

P97a38v77e26l 52K86a27s51í76k58, 67T69e28c43h30n91e29t41.21c84z

Původní zpráva byla z ČTK, hned, jak jsem se k tomu dostal a ověřil u Mall.cz podrobnosti, zprávu jsem rozšířil a doplnil. Odpověď na vaši otázku: zdá se, že jim unikly staré hashe (MD5) a hackeři z nich dešifrovali původní hesla. Kdesi se pak Mall.cz dostal k databázi těchto již dešifrovaných (prolomených) hesel: „Zajistili jsme databázi, ve které již byla útočníkem prolomena hesla. Na základě analýzy těchto dat jsme usoudili, že se jedná o databázi z roku 2014,“ uvedl mluvčí Mall.cz Jan Řezáč.

Zdroj: http://technet.idnes.cz/mall-heslo-hacker-0eb-/sw_internet.aspx?c=A170828_104617_ekonomika_bur

0/0
28.8.2017 14:19

L92u78d51ě27k 98R60á17j79e68c16k22ý 7368787590554

IMO jen zkratka, Mall žádná hesla neukládal. Ukládal hashe, ale jak je ukázáno v článku - některé hashe (třeba MD5) jsou dneska už překonané.

0/0
28.8.2017 14:19

E72v56a 55D72r58o67z20d79o94v85á 7919807475405

Nakupování na Mall je v posledních letech katastrofa. A to měli našlápnuto velmi dobře.

Tohle je jen jeden z desítek problémů, které mají.

+2/−2
28.8.2017 13:48

P74a78v61e36l 15Š59e35s97t53á35k 3209700178

a proto jsem rad ze jsem tam mel jen to nejmene bezpecne heslo ktere existuje, :) vsak registrace je tam jen k tomu aby clovek nemusel porad dokola vyplnovat kontaktni udaje

0/0
28.8.2017 13:48

M60a98r96t28i67n 95H30o74l15a42ň 9989181861

Jen doufám že se poučí zákazníci a nebudou tam nakupovat. Jednou mi stačilo a nikdy víc.:-/

+2/−3
28.8.2017 13:05

P44e46t47r 97M56i97c90h12a92l24č11á79k 2907620751402

Tento obchod pro mne již rok neexistuje po špatných zkušenostech.

+5/−3
28.8.2017 12:29

P66e82t38r 79K18o53l80á49ř 2858557604751

Ten článek nedává smysl ... Co se tedy vlastně stalo? Ukradli hesla nebo se nabourávali do účtů? Pokud ukradli hesla, tak je to obrovská ostuda ...

+4/−2
28.8.2017 12:11

M64i72l30o91š 68B63é44m 6774319872423

Ukradli minimálně kombinaci přihlašovacího jména a hashe hesla, z kterého lze v jistých případech získat heslo samotné.

0/0
28.8.2017 12:21







Najdete na iDNES.cz