Klávesové zkratky na tomto webu - základní­
Přeskočit hlavičku portálu


Diskuse k článku

Změňte si heslo, varuje Mall.cz 1,3 milionů uživatelů. Hesla někdo prolomil

Internetový obchod Mall.cz vyzval velkou část svých zákazníků, aby si změnili heslo ke svému zákaznickému účtu. Podle firmy mohli hackeři odcizit údaje až k 750 tisíc uživatelským účtům. Firma se proto rozhodla část hesel resetovat, aby zabránila jejich zneužití. O resetu informovali zákazníky e-mailem.

Upozornění

Litujeme, ale tato diskuse byla uzavřena a již do ní nelze vkládat nové příspěvky.
Děkujeme za pochopení.

Zobrazit příspěvky: Všechny podle vláken Všechny podle času

J12a17r87o24s81l66a45v 42B63r71a25b72e35n77e72c 1207728222549

Jo, u blbýho e-šopu chcou furt nějaký složitý heslo a když se nechcete registrovat, tak se někdy nedá ani nakoupit. A u účtu , kde máte fůru peněz musí stačit čtyři číslice ...

0/0
30.8.2017 12:26

F36r80a52n21t30i87š49e53k 17O24s94t85r94ý 4225811837203

Problém není ani tak v použití md5, ale v nepoužití soli. Bez soli mají stejný problém i jiné hashovací funkce.

0/0
30.8.2017 9:10

L60u89k25á76š 53F41r87a20n58c57o18u55z 3356184464

Jako reakce na tuto událost se všude píše o tom, jaká by lidé měli mít hesla a jak jsou hloupí že mají jedno stejné apod. Jistě. Ovšem, Mall.cz, který umožnil tento únik dat (neschopnost zabránit mu) se staví automaticky do role oběti. Ve skutečnosti by měl hradit škody svým zákazníkům, kteří nyní musí celé dny minimálně měnit svá hesla na dalších účtech...

+4/−2
29.8.2017 10:58
Foto

M43a55r36t92a 31D63o75u92b92r27a90v34o49v75á 4380774235947

- Zadejte uživatelské jméno !

- logik2

- Zadejte heslo !

- jablko

- Lituji, heslo musí obsahovat minimálně 8 znaků !

- červenéjablko

- Lituji, heslo musí obsahovat min. 1 číslici !

- 1červenéjablko

- Lituji, heslo musí obsahovat min. jedno velké písmeno !

- 1VYJEBANÉčervené jablko

- Lituji, heslo nesmí obsahovat za sebou následující velká písmena ! - 1VyjebanéČervenéJablkoAnastrčSiHo ! - Lituji, heslo nesmí obsahovat znaky s diakritikou ! - 1VyjebaneShnileCerveneJablkoAchcipniTyHajzleJestliAniTohleHesloNeprijmes - Lituji, toto heslo je již obsazeno !

+6/0
29.8.2017 10:13

J87a10r22o31s38l59a37v 20B33r19a38b91e45n61e88c 1857488612659

Tak jsem se dnes i zasmál , dávám BOD R^ , u mně dobrý .

0/0
30.8.2017 12:30

V55a90c87l95a23v 31M82e36d49e63k 5701822285405

hmm, to zas někdo na eshopu tak velkého rozsahu má uživatelské hesla v nekryptovaném stavu? 8-o

0/0
28.8.2017 23:15

P42e39t30r 46B31i33e96l42i92k 9527524822631

take mi to doslo do emailu... povazoval jsem to a spam a smazal... :-) ...btw. na mall.cz jsem nakupoval jen jednou, asi v roce 2012 (holici strojek) ... nepamatuju si, ze bych se registroval... asi me to registrovalo automaticky (dle VOP), coz mne velmi vytaci a mam velice rad e-shopy, ktere nucenou registraci nevyzaduji / nedelaji.

+2/0
28.8.2017 21:24

J34a55r71o60s88l88a25v 56B49r96a21b25e17n17e76c 1117708682489

Taky mi to přišlo na e-mail a taky jsem se neregistroval , humus .

0/0
30.8.2017 12:15

O55d72s14t29r58a65n12ě40n41ý 58U57ž94i52v70a47t28e11l

Uživatel požádal o vymazání
+1/−1
28.8.2017 16:18

P93e90t19r 92N39i24v85n89i32c34k15ý 3262884655917

Přijít o FB účet - tomu říkám životní tragédie. ;-D

+1/−1
28.8.2017 16:26
Foto

K81a82r44e18l 61P50l52a11c32h86ý 6846246904499

Kdyby ty ucty nedelali "nasilne a povinne" nemeli by takovy problem.

+5/0
28.8.2017 16:33

L26u72d46v69í57k 98G75a76j38d61o43š88í43k 2685433774342

Nemyslím, že to je pro Mall až tak velký problém reputace.

Zákazníci používající jedno jednoduché heslo na vše mají problém hlavně sami u sebe a Mall je takto aspoň upozornil, že dělají něco špatně.

+1/−1
28.8.2017 19:40

M25i68c90h12a69l 86S13c20h49w53a48r18z 2708516391708

Chápu. Dává naprostý smysl, když všemožným eshopům a dalším webům sděluji své jediné a univerzální heslo, které navíc používám i pro mail (a nejlépe i pro datovou schránku apod.). Ani náhodou mě přece nemůže napadnout, že když *kamkoli* tohle heslo zadávám, tak ho provozovatel webu má (alespoň chvíli) k dispozici, a má teoretickou možnost ho zneužít, že?

Je to jako používat jeden univerzální klíč k domu, bytu, kanceláři, autu, zámku na kolo, poštovní schránce, atd., a pak ho vesele zapůjčit třeba autoservisu v rámci prohlídky, s tím že "oni mají určitě nějak zabezpečené že si ho nikdo nezkopíruje" :).

Kdo chce kam, pomozme mu tam.

0/0
29.8.2017 17:02

J98a82n 17M42a78j29e17r 9923169158151

Protože MD5 je starý způsob hashování, existují dnes již účinné metody, které umí zpětně dešifrovat z kontrolního součtu původní heslo. Stačí použít například dostupné databáze, které využívají známých hesel a slovníků k vytvoření dekódovacích tabulek. Například tato stránka dokázala řetězec 955db0b81ef1989b4a4dfeae8061a9a6 dešifrovat jako „heslo“ za desetinu sekundy a „heslo123“ za 0,7 sekundy. Je tedy vidět, že zvláště jednoduchá hesla nečiní hackerům problém dekódovat velice rychle.

A teď hurá do opravy dvou chyb... :-)

1) Hash nejde dešifrovat, jde pouze najít "kolizi". MD5 je 128 bitové číslo, dva řetězce klidně můžou mít stejný hash. Oproti zašifrovanému textu, kdy musí jít samozřejmě dešifrovat původní zpráva.

2) Stačí použít například dostupné databáze, které využívají známých hesel a slovníků k vytvoření dekódovacích tabulek.

Pokud programátor aplikace ví co je salt, tak nestačí. I v Mallu salt u novějších hesel používali. Podrobnosti salted hash.

https://en.wikipedia.org/wiki/Salt_(cryptography)

https://www.interval.cz/clanky/salted-hash-dalsi-krok-ke-zvyseni-bezpecnosti/

Od listopadu 2012 jsme bezpečnost hesel zajišťovali hashovací metodou SHA1 + unikátní solí a od října 2016 chráníme přístupové údaje jednou z nejsilnějších hashovacích metod bcrypt. Do roku 2012 byly údaje hashovány metodou MD5, která dnes již není považována za bezpečnou.

https://blog.mall.cz/o-nas/q-a-vse-co-jste-chteli-vedet-o-bezpecnosti-na-mall-cz-451.html

+1/0
28.8.2017 16:10
Foto

P55a27v60e19l 41K88a19s59í97k31, 57T24e12c59h66n47e59t31.38c30z

Ano, "dešifrování" je v tomto případě taková zkratka. A ano, osolení pomůže.

0/−1
28.8.2017 17:47

K90a90r59e71l 69S60t69r91ž46a49n82o19v62s80k96ý 1648315925

Kdyby měl mít člověk do každé aplikace a služby jiné heslo, potřeboval by sebou na ně nosit sešit.

+2/0
28.8.2017 15:26

R38a75d80i42m 78Z72a76t34o92p39e29k 9622695422847

zase tak divoké to být nemusí. já si před časem na nekritické služby a aplikace vytvořil algoritmus, který zohledňuje URL/název a je dostatečně bezpečný. Pak mi nedělá problém si na heslo pro danou službu okamžitě vzpomenout. Nu a na ty kritické (banka, firemní účet, osobní e-mail, nastavení domény) mám silné hesla bez jakékoliv spojitosti s mou osobou nebo danou službou.

+1/−1
28.8.2017 15:37
Foto

P76a84v63e35l 10K47a71s37í49k67, 61T81e73c15h49n77e68t82.37c38z

Ano, v principu máte pravdu. Ale naštěstí existují elektronické "sešity" na hesla, říká se jim správce hesel. Viz návod odkázaný v článku.

+1/−2
28.8.2017 15:59

P98e53t19r 57N80i97v92n35i75c62k27ý 3852234755777

Správce hesel s v nejpotřebnější chvíli podělá a všechna hesla jsou v .... Zlatý sešit.

+2/0
28.8.2017 16:27
Foto

K14a22r10e94l 91P90l14a53c92h21ý 6216946594879

Je to rovnez o tom, ze spousta lidi, co si neco jednorazove koupi, da uplne primitivni heslo, jelikoz tam nechce nakupovat "ob den". Tyhle "registrace vsech", co si neco koupi", jsou nesmyslne a k zlosti.

+2/0
28.8.2017 16:38

P88a50v92e85l 14S55v76o40b53o77d29a 4487770122722

Sesit je fajn, pokuseil jsem se spocitat pocet hesel ci spise webu, ktere v nem mam. U cisla 50 mne to prestalo bavit. Predstava, ze pokazde budu muset nakukovat do sesitu je desiva:-) Pouzivam neco podobneho jako p. Zatopek a kousicek vyse. 80% hesla tvori stejny zaklad a zbytek se vytvori jednoduse zapamatovatelnym algoritmem. Neni to nic genialniho, ale funguje to spolehlive. No a mam take par mimonskych hesel a na jejich nezapomenuti je ten sesitek dobry:-)))

0/0
28.8.2017 22:41

P14a43v94e60l 38T70r73u56k81s41a 3463177482653

Jake "nakukovani" do sesitu myslite? Proste u kloudneho spravce hesel se prihlasite centralnik heslem nebo otiskem prstu a prihlasi se pamatuje tak dlouho, jak si nastavite (cas neaktivity, spusteni sporice obrazovky,....), pripadne u nekterych webu (banka, paypal,..) si muzete vybrat, ze centralni heslo zadavate vzdycky, pripadne musite prejet pres ctecku otisku prstu.

Takz logicky nikam nenakukujete...vlezete na web a heslo se vam bud automaticky vyplni, nebo zadate centralni heslo a doplni se vam automaticky hned po jeho zadani...

0/0
29.8.2017 11:49

F64r69a86n96t74i86š72e76k 92O36s70t31r36ý 4805561277713

Přihlašovat se někam otiskem prstu je zásadní bezpečnostní chyba.

0/0
30.8.2017 9:12

P52a35v51e30l 16T76r98u98k58s28a 3753467132713

Tak vzhledem k tomu, ze se predtim jeste musim prihlasit do operacniho systemu, tak nejake miniaturni "false positive" u ctecky otisku prstu me fakt netrapi. Nemluve o tom, ze treba banka u prevodu vyzaduje kod, ktery jde na mobil.

0/0
30.8.2017 9:17

L19u68d90v86í23k 59G61a79j36d84o41š66í11k 2335663484472

No však. Akorát dnes žijeme v elektronickém světě a stačí proto úplně šifrovaná elektronická databáze. :-)

0/0
28.8.2017 19:08

E74r35i24k 73S64v23o24b43o63d19a 1973758384548

Mall.cz jde už posledních pár let pěkně z kopce. Běžně problémy s doručováním a dodržováním termínu dodání. Dřív jsem u nich nakupoval hodně, teď už minimálně. A když ani neumí ochránit data zákazníků, tak už tam nebudu nakupovat vůbec. Ta firma jde strašně dolů.

0/0
28.8.2017 15:16

L10u56k32á97š 22M66a89l68v14i22n89s54k24y 2448744193968

Průšvih je to hlavně pro ty lidi co mají stejné heslo i na mail a zároveň je jejich heslo velmi jednoduché. Ti asi přijdou i o mail.

0/0
28.8.2017 15:14

P75e91t78r 38N71i77v57n44i13c77k71ý 3782954515817

Ber to pozitivně. Třeba s z toho do budoucna poučí.

+1/0
28.8.2017 16:28

O59l56d85ř66i54c10h 67S36m79u83t66n19ý 2600732674985

:-0 Taky mi to přišlo. Žádné nové heslo zadávat rozhodně nebudu a s mallem končím, amatéři neschopní :-/

+5/0
28.8.2017 15:10

J98a87n 98M10o98t45ů75r70e83k 7540492761629

tak to jste velký drsoň a jste jim to teď natřel.

+1/−3
28.8.2017 15:11

E22r95i35k 26S48v71o63b86o87d52a 1513748334528

Já jeho rozčílení chápu. Proč kvůli chybě někoho jiného (kterému navíc platíte) máte mít problémy vy.

+1/0
28.8.2017 15:17

L58u86d20v48í83k 39G19a72j78d17o51š81í59k 2205203944702

Pokud má někdo s tímhle problémy, tak si za ně může pouze sám tím, že používá nevhodná a stejná hesla na více služeb.

Jediné co má normální uživatel za "problém" je ta minuta na změnění hesla na Mallu a to nestojí za nějaké rozčílení.

Naopak si na Mallu cením, že se to nesnažili nějak ututlat nebo problém zlehčit.

+1/−1
28.8.2017 19:13

R54a28d58e26k 71H69o82d43a35ň 9946447211983

Pěkné jak Mall pečlivě vysvětluje, že za vše vlastně mohou uživatelé, protože mají slabé heslo (citace mailu: "zaznamenali jsme totiž pokus o narušení bezpečnosti, který se dotkl starší databáze uživatelských účtů, jež neměly dostatečné silné heslo")

Jenže ono je to vlastně úplně jinak: z článku vyplývá, že na heslo použili md5. Sice to pečlivě obcházejí že "MD5 dnes není považováno za bezpečnou metodu", jenže ona ta funkce taky nikdy na uchovávání hesel dělána nebyla.

Řečeno jinak: Mall to kolosálně po... po stránce bezpečnosti protože hesla nekryptoval, a snaží se to hodit na uživatele že nemají bezpečné heslo. Bláboly o trestním oznámení jsou pak na úrovni 16tiletého Cendry, či spammera a vyděrače Slabého. Tam snad chybí už jen že "tým našich právníků vás dá k soudu... a tatínek vám vyhlásí válku".

+12/0
28.8.2017 15:04

R56a57d34i22m 33Z22a96t43o11p92e33k 9122335552197

Sice nebyla, ale běžně se na hashování hesel používala. Ale to už je sakra dávno, asi tak 20 let, co jsem se učil PHP z knihy Jirky Koska a naposledy jsem MD5 na hashování hesel používal před 15 lety, kdy se ještě MD5 považovalo za bezpečnou funkci.

+1/0
28.8.2017 15:41

R95a89d13i76m 77Z57a80t30o15p92e41k 9242505642497

Ještě jsem chtěl napsat, že se MD5 svého času používala k hashování hesel uživatelů na Linuxu.

0/0
28.8.2017 15:46
Foto

K13a24r37e67l 17P94l33a35c96h86ý 6816726204269

Ja jim odepsal:

Dobrý sen týme Mall.cz,

kdybyste zároveň s nákupem "povinně" neshromažďovali údaje o zákaznících a nezakládali jim účty o které nestojí, nestalo by se vám to.

Smažte prosím veškeré údaje o mě ze své databáze. Nestojím o to, abych si někde koupil televizi a nic jiného, a najednou tam měl účet. Ta data se i kradou (např. naštvaný zaměstnanec), obchoduje se s nimi a potom lidem chodí reklamní nabídky/newslettery na vše možné a půl dne stráví tím, jak odhlašuje odběry, nebo psaním takovýchto e-mailů.

S díky a pozdravem Karel Plachý (váš jednorázový zákazník před třemi lety)

+5/0
28.8.2017 14:58

L65a91d69a 46N37o34v39a15k 4402433317

to je zlomí.....;-D

+1/0
28.8.2017 15:21
Foto

K98a75r14e17l 39P79l81a92c45h52ý 6306876954869

Urcite... :-)

0/0
28.8.2017 16:31

M12a10r65e77k 78J90a74n17e19č87k36a 1497546133371

Mě spíše zaráží lidi, co nakupují na Mall.cz. Cenově dle srovnávačů nijak zajímavý eshop, ale za to je to ještě vydatnější spamer než Alza.

0/0
28.8.2017 14:35

J24a72n 18N95á33d84v95o57r31n88í56k 7113908275807

Tak cena asi není vše, ne?

+2/0
28.8.2017 14:53

P22e71t80r 50N49i32v39n48i62c64k40ý 3332684935297

Není, jako bonus získáš dobrá pocit z toho, že tvé údaje se pak válí na internetu. A to se vyplatí. ;-D

0/0
28.8.2017 16:29

L12a40d36i89s17l37a56v 78L98a63k26e13r 2183559885446

Ta zpráva je nějaká podivná. Tragické by přece bylo už to, že mall.cz ukládal na svých serverech ta hesla! To se přece nedělá. Použije se hash funkce a server pouze porovnává zákazníkem zadané heslo s uloženým "otiskem".

0/0
28.8.2017 14:10
Foto

P72a26v91e17l 24K76a72s62í87k91, 43T69e42c68h54n71e88t36.69c53z

Původní zpráva byla z ČTK, hned, jak jsem se k tomu dostal a ověřil u Mall.cz podrobnosti, zprávu jsem rozšířil a doplnil. Odpověď na vaši otázku: zdá se, že jim unikly staré hashe (MD5) a hackeři z nich dešifrovali původní hesla. Kdesi se pak Mall.cz dostal k databázi těchto již dešifrovaných (prolomených) hesel: „Zajistili jsme databázi, ve které již byla útočníkem prolomena hesla. Na základě analýzy těchto dat jsme usoudili, že se jedná o databázi z roku 2014,“ uvedl mluvčí Mall.cz Jan Řezáč.

Zdroj: http://technet.idnes.cz/mall-heslo-hacker-0eb-/sw_internet.aspx?c=A170828_104617_ekonomika_bur

0/0
28.8.2017 14:19

L70u64d36ě72k 83R24á12j50e84c16k35ý 7408177740944

IMO jen zkratka, Mall žádná hesla neukládal. Ukládal hashe, ale jak je ukázáno v článku - některé hashe (třeba MD5) jsou dneska už překonané.

0/0
28.8.2017 14:19

E60v51a 12D22r87o63z62d36o28v45á 7239197665935

Nakupování na Mall je v posledních letech katastrofa. A to měli našlápnuto velmi dobře.

Tohle je jen jeden z desítek problémů, které mají.

+2/−2
28.8.2017 13:48

P70a40v29e28l 29Š89e12s61t64á43k 3399620708

a proto jsem rad ze jsem tam mel jen to nejmene bezpecne heslo ktere existuje, :) vsak registrace je tam jen k tomu aby clovek nemusel porad dokola vyplnovat kontaktni udaje

0/0
28.8.2017 13:48

M21a13r85t17i38n 35H92o58l21a46ň 9339571641

Jen doufám že se poučí zákazníci a nebudou tam nakupovat. Jednou mi stačilo a nikdy víc.:-/

+2/−3
28.8.2017 13:05

P16e11t10r 53M48i10c92h83a89l44č94á21k 2877550151582

Tento obchod pro mne již rok neexistuje po špatných zkušenostech.

+5/−3
28.8.2017 12:29

P89e47t77r 58K10o90l24á25ř 2598167794401

Ten článek nedává smysl ... Co se tedy vlastně stalo? Ukradli hesla nebo se nabourávali do účtů? Pokud ukradli hesla, tak je to obrovská ostuda ...

+4/−2
28.8.2017 12:11

M11i21l29o81š 93B71é35m 6944599632883

Ukradli minimálně kombinaci přihlašovacího jména a hashe hesla, z kterého lze v jistých případech získat heslo samotné.

0/0
28.8.2017 12:21



Najdete na iDNES.cz