Klávesové zkratky na tomto webu - základní­
Přeskočit hlavičku portálu


Změňte si heslo, varuje Mall.cz 1,3 milionů uživatelů. Hesla někdo prolomil

  11:14aktualizováno  14:13
Internetový obchod Mall.cz vyzval velkou část svých zákazníků, aby si změnili heslo ke svému zákaznickému účtu. Podle firmy mohli hackeři odcizit údaje až k 750 tisíc uživatelským účtům. Firma se proto rozhodla část hesel resetovat, aby zabránila jejich zneužití. O resetu informovali zákazníky e-mailem.

(ilustrační snímek) | foto: iDNES.cz / Profimedia.cz

„Dobrý den, píšeme Vám, protože Vaše původní heslo k MALL.cz už nefunguje. Pro jistotu jsme se rozhodli ho z bezpečnostních důvodů zrušit, zaznamenali jsme totiž pokus o narušení bezpečnosti, který se dotkl starší databáze uživatelských účtů, jež neměly dostatečné silné heslo,“ rozeslal internetový obchod Mall.cz e-mail více než milionu svých utivatelů. „Aby Váš účet nikdo nezneužil, neváhali jsme a neprodleně jej zablokovali.“

Celkově tento e-mail dostalo 1,3 milionů uživatelů Mall.cz. Firma se k takto významnému kroku odhodlala proto, že zjistila únik uživatelských informací, a to ve velkém rozsahu. Dostala se k ní totiž soubor, který sestavil neznámý útočník a ve kterém byla uložena uživatelská jména a hesla: „Zajistili jsme databázi, ve které již byla útočníkem prolomena hesla. Na základě analýzy těchto dat jsme usoudili, že se jedná o databázi z roku 2014,“ uvedl mluvčí Mall.cz Jan Řezáč. P“o zjištění této skutečnosti jsme okamžitě začali zjišťovat rozsah možných rizik, učinili jsme veškerá (i preventivní) bezpečnostní opatření a začali jsme spolupracovat s příslušnými orgány.“

Uniknout mohla stará, špatně zajištěná databáze

Hashování hesel

Pokud by si provozovatel ukládal hesla v textovém formátu, hrozilo by, že by kdokoli (hacker, zaměstnanec) mohl heslo zneužít.

Proto se stalo dobrým zvykem, že se neukládají hesla v tzv. planitextu (čitelném textu), ale ukládá se pouze kontrolní součet (tzv. hash). Při přihlášení pak systém porovná hash zadaného hesla s hashem uloženým databázi.

Ohrožena byla s největší pravděpodobností starší databáze z roku 2014. Část z ní obsahovala jednoduchá hesla, která neodpovídají současným bezpečnostním zásadám. „Od listopadu 2012 jsme bezpečnost hesel zajišťovali hashovací metodou SHA1 + unikátní solí a od října 2016 chráníme přístupové údaje jednou z nejsilnějších hashovacích metod bcrypt. Do roku 2012 byly údaje hashovány metodou MD5,“ uvádí firma ve vysvětlujícím článku na svém blogu. Hashování zajišťuje, aby ani při úniku databáze nedošlo k úniku původních hesel.

Právě hashování pomocí MD5 je ale v tomto případě problém, jak přiznává i Mall.cz: „MD5 již dnes není považována za bezpečnou metodu. Většina prolomených hesel pochází právě z doby, kdy byla používána tato metoda.“ Pokud tedy někdo použil jako heslo řetězec „heslo“, jeho kontrolní součet MD5 byl: „955db0b81ef1989b4a4dfeae8061a9a6“.

Protože MD5 je starý způsob hashování, existují dnes již účinné metody, které umí zpětně dešifrovat z kontrolního součtu původní heslo. Stačí použít například dostupné databáze, které využívají známých hesel a slovníků k vytvoření dekódovacích tabulek. Například tato stránka dokázala řetězec 955db0b81ef1989b4a4dfeae8061a9a6 dešifrovat jako „heslo“ za desetinu sekundy a „heslo123“ za 0,7 sekundy. Je tedy vidět, že zvláště jednoduchá hesla nečiní hackerům problém dekódovat velice rychle.

„Od roku 2016 Mall.cz pro ukládání a šifrování zákaznických dat využívá jiný - bezpečnější způsob, který splňuje moderní bezpečnostní standardy a prolomení by u něj nemělo hrozit,“ uvedl mediální zástupce Mall.cz Jan Řezáč. Je to metoda bcrypt, v současné době považována za dostatečně obtížnou na prolomení.

Největší nebezpečí tak v tomto případě hrozí lidem, kteří používali stejné heslo kromě Mall.cz také na jiných službách. Hackeři totiž možná mají k dispozici nejen jejich dešifrované heslo, ale také jejich e-mail, a mohou tedy (automatizovaně) vyzkoušet, kde všude uživatelé používají stejné heslo. Všichni, kterým přišel e-mail od Mall.cz o resetu hesla, by si tedy měli změnit hesla nejen na Mall.cz, ale i všude jinde, kde používali stejné heslo.

Heslo má být silné, ale hlavně unikátní

Tento a další úniky opět ukazují, jak důležité je neopakovat jedno heslo pro více různých služeb, ale zvolit si vždy heslo jedinečné

Protože lidé potřebují používat na internetu desítky různých služeb, velmi rychle zjistí, že si nemohou všechna ta hesla pamatovat. Obvykle tedy zvolí jedno „oblíbené“ heslo a to pak používají u všech možných služeb. To je ale nebezpečné, protože pokud heslo z jedné této služby unikne, útočník dostane přístup ke všem ostatním účtům tohoto uživatele.

Správné heslo by tedy mělo být:

  • unikátní - jedna služba, jedno heslo
  • silné - dlouhé, neuhádnutelné, náhodné, nemělo by to být existující slovo
  • zabezpečené - tam, kde to jde, používejte další nástroje pro ochranu účtu, především dvoufaktorové ověření

Více v našem návodu na Technet.cz: Jak správně pracovat s hesly

Není heslo jako heslo. Či spíše heslo jako heslo vlastně ani není heslo.

Není jednoduché pamatovat si více hesel. Přesto je to velmi důležité.

Mall.cz situaci řeší s ÚOOÚ a připravuje trestní oznámení

Společnost kontaktovala zákazníky, kterých se únik hesel mohl týkat, a oznámila jim, že jejich heslo z bezpečnostních důvodů smazala. Také jim sdělila postup, jak si zadat nové heslo. Mall.cz kvůli tomu posílil centrum zákaznické péče.

„Aktuálně pro naše zákazníky připravujeme aplikaci, která bude k dispozici na našich stránkách, na níž si budou moci ověřit, zda se problém týká právě jejich účtu,“ dodal Řezáč. Vedení společnosti kontaktovalo Úřad pro ochranu osobních údajů a připravuje podání trestního oznámení.

Mall.cz patří do skupiny Mall Group, kterou vlastní investiční skupina Rockaway Capital. Kromě Mall.cz jsou v ní například specializované obchody CZC.cz, Vivantis, Proděti, BigBrands, Kolonial, Bux, Sporty a Rozbaleno. Obrat skupiny e-shopů dosáhl v loňském roce 600 milionů eur (16,5 mld. Kč).

Aktualizace: Článek jsme rozšířili o nové informace od Mall.cz a doplnili jsme vysvětlení šifrování a dešifrování hesel (hash MD5).

Autoři: ,



Nejčtenější

Nejšťastnější americká stíhačka. Pilot ji opustil, a tak přistála sama

Convair F-106A Delta Dart

Před téměř půlstoletím se stal v americké Montaně zázrak. Z nebe se snesl na pšeničné pole proudový letoun, který byl...

Nejvtipnější chyby z českého hitu Kingdom Come: Deliverance

Kingdom Come: Deliverance

Kingdom Come je obrovská a propracovaná hra, ale její autory čeká ještě spousta práce při odlaďování mnoha chyb, které...



Vyfotil jeden jediný atom. Stačil běžný foťák a složitá past

Snímek zachycující jediný atom stroncia v tzv. iontové pasti. Atom je uprostřed...

Atomy jsou pouhým okem neviditelné, to víme všichni. Ale pokud je správně nasvítíte a připravíte pro ně vhodné...

Internet levně a rychle. SpaceX načíná další „megalomanský“ projekt

Falcon 9 připravený pro misi Paz. Všimněte si nového aerodynamického krytu...

Na oběžnou dráhu dnes odstartovala další raketa firmy SpaceX. Tentokrát na palubě ponese mimo jiné i dva experimentální...

Prohledejte půl miliardy uniklých hesel. Najdete tam i to svoje?

Ilustrační foto

Úniků dat, často velmi citlivých, stále přibývá. O spoustě z nich se ani nemusíme dozvědět. Kromě e-mailových adres...

Další z rubriky

Britský soud označil neomezené sledování občanů za nezákonné

Ilustrační foto.

Britský odvolací soud označil legislativu Velké Británie, která se týká masového sledování, za nelegální.

Facebooku klesá návštěvnost, ale zisky stoupají. Zuckerberg chce změnu

Mark Zuckerberg na Facebook Communities Summitu v Chicagu 2017

V roce 2017 Facebooku poprvé v historii poklesla doba strávená na stránce. Podle Zuckerberga to však je součást změny...

Továrna na náhodu: romantická stěna na recepci jistí 10 % internetu

Lávové lampy jako zdroj náhodných čísel

Společnost Cloudflare je zodpovědná za šifrování až desetiny celosvětového internetového provozu. Možná nejzajímavějším...

Najdete na iDNES.cz