Premium

Získejte všechny články
jen za 89 Kč/měsíc

Změňte si heslo, varuje Mall.cz 1,3 milionů uživatelů. Hesla někdo prolomil

  11:14aktualizováno  14:13
Internetový obchod Mall.cz vyzval velkou část svých zákazníků, aby si změnili heslo ke svému zákaznickému účtu. Podle firmy mohli hackeři odcizit údaje až k 750 tisíc uživatelským účtům. Firma se proto rozhodla část hesel resetovat, aby zabránila jejich zneužití. O resetu informovali zákazníky e-mailem.

(ilustrační snímek) | foto: iDNES.cz / Profimedia.cz

„Dobrý den, píšeme Vám, protože Vaše původní heslo k MALL.cz už nefunguje. Pro jistotu jsme se rozhodli ho z bezpečnostních důvodů zrušit, zaznamenali jsme totiž pokus o narušení bezpečnosti, který se dotkl starší databáze uživatelských účtů, jež neměly dostatečné silné heslo,“ rozeslal internetový obchod Mall.cz e-mail více než milionu svých utivatelů. „Aby Váš účet nikdo nezneužil, neváhali jsme a neprodleně jej zablokovali.“

Celkově tento e-mail dostalo 1,3 milionů uživatelů Mall.cz. Firma se k takto významnému kroku odhodlala proto, že zjistila únik uživatelských informací, a to ve velkém rozsahu. Dostala se k ní totiž soubor, který sestavil neznámý útočník a ve kterém byla uložena uživatelská jména a hesla: „Zajistili jsme databázi, ve které již byla útočníkem prolomena hesla. Na základě analýzy těchto dat jsme usoudili, že se jedná o databázi z roku 2014,“ uvedl mluvčí Mall.cz Jan Řezáč. P“o zjištění této skutečnosti jsme okamžitě začali zjišťovat rozsah možných rizik, učinili jsme veškerá (i preventivní) bezpečnostní opatření a začali jsme spolupracovat s příslušnými orgány.“

Uniknout mohla stará, špatně zajištěná databáze

Hashování hesel

Pokud by si provozovatel ukládal hesla v textovém formátu, hrozilo by, že by kdokoli (hacker, zaměstnanec) mohl heslo zneužít.

Proto se stalo dobrým zvykem, že se neukládají hesla v tzv. planitextu (čitelném textu), ale ukládá se pouze kontrolní součet (tzv. hash). Při přihlášení pak systém porovná hash zadaného hesla s hashem uloženým databázi.

Ohrožena byla s největší pravděpodobností starší databáze z roku 2014. Část z ní obsahovala jednoduchá hesla, která neodpovídají současným bezpečnostním zásadám. „Od listopadu 2012 jsme bezpečnost hesel zajišťovali hashovací metodou SHA1 + unikátní solí a od října 2016 chráníme přístupové údaje jednou z nejsilnějších hashovacích metod bcrypt. Do roku 2012 byly údaje hashovány metodou MD5,“ uvádí firma ve vysvětlujícím článku na svém blogu. Hashování zajišťuje, aby ani při úniku databáze nedošlo k úniku původních hesel.

Právě hashování pomocí MD5 je ale v tomto případě problém, jak přiznává i Mall.cz: „MD5 již dnes není považována za bezpečnou metodu. Většina prolomených hesel pochází právě z doby, kdy byla používána tato metoda.“ Pokud tedy někdo použil jako heslo řetězec „heslo“, jeho kontrolní součet MD5 byl: „955db0b81ef1989b4a4dfeae8061a9a6“.

Protože MD5 je starý způsob hashování, existují dnes již účinné metody, které umí zpětně dešifrovat z kontrolního součtu původní heslo. Stačí použít například dostupné databáze, které využívají známých hesel a slovníků k vytvoření dekódovacích tabulek. Například tato stránka dokázala řetězec 955db0b81ef1989b4a4dfeae8061a9a6 dešifrovat jako „heslo“ za desetinu sekundy a „heslo123“ za 0,7 sekundy. Je tedy vidět, že zvláště jednoduchá hesla nečiní hackerům problém dekódovat velice rychle.

„Od roku 2016 Mall.cz pro ukládání a šifrování zákaznických dat využívá jiný - bezpečnější způsob, který splňuje moderní bezpečnostní standardy a prolomení by u něj nemělo hrozit,“ uvedl mediální zástupce Mall.cz Jan Řezáč. Je to metoda bcrypt, v současné době považována za dostatečně obtížnou na prolomení.

Největší nebezpečí tak v tomto případě hrozí lidem, kteří používali stejné heslo kromě Mall.cz také na jiných službách. Hackeři totiž možná mají k dispozici nejen jejich dešifrované heslo, ale také jejich e-mail, a mohou tedy (automatizovaně) vyzkoušet, kde všude uživatelé používají stejné heslo. Všichni, kterým přišel e-mail od Mall.cz o resetu hesla, by si tedy měli změnit hesla nejen na Mall.cz, ale i všude jinde, kde používali stejné heslo.

Heslo má být silné, ale hlavně unikátní

Tento a další úniky opět ukazují, jak důležité je neopakovat jedno heslo pro více různých služeb, ale zvolit si vždy heslo jedinečné

Protože lidé potřebují používat na internetu desítky různých služeb, velmi rychle zjistí, že si nemohou všechna ta hesla pamatovat. Obvykle tedy zvolí jedno „oblíbené“ heslo a to pak používají u všech možných služeb. To je ale nebezpečné, protože pokud heslo z jedné této služby unikne, útočník dostane přístup ke všem ostatním účtům tohoto uživatele.

Správné heslo by tedy mělo být:

  • unikátní - jedna služba, jedno heslo
  • silné - dlouhé, neuhádnutelné, náhodné, nemělo by to být existující slovo
  • zabezpečené - tam, kde to jde, používejte další nástroje pro ochranu účtu, především dvoufaktorové ověření

Více v našem návodu na Technet.cz: Jak správně pracovat s hesly

Není jednoduché pamatovat si více hesel. Přesto je to velmi důležité.

Mall.cz situaci řeší s ÚOOÚ a připravuje trestní oznámení

Společnost kontaktovala zákazníky, kterých se únik hesel mohl týkat, a oznámila jim, že jejich heslo z bezpečnostních důvodů smazala. Také jim sdělila postup, jak si zadat nové heslo. Mall.cz kvůli tomu posílil centrum zákaznické péče.

„Aktuálně pro naše zákazníky připravujeme aplikaci, která bude k dispozici na našich stránkách, na níž si budou moci ověřit, zda se problém týká právě jejich účtu,“ dodal Řezáč. Vedení společnosti kontaktovalo Úřad pro ochranu osobních údajů a připravuje podání trestního oznámení.

Mall.cz patří do skupiny Mall Group, kterou vlastní investiční skupina Rockaway Capital. Kromě Mall.cz jsou v ní například specializované obchody CZC.cz, Vivantis, Proděti, BigBrands, Kolonial, Bux, Sporty a Rozbaleno. Obrat skupiny e-shopů dosáhl v loňském roce 600 milionů eur (16,5 mld. Kč).

Aktualizace: Článek jsme rozšířili o nové informace od Mall.cz a doplnili jsme vysvětlení šifrování a dešifrování hesel (hash MD5).

Autoři: ,
  • Nejčtenější

Dnes už se bez nich válčit nedá. Raketový vzestup bojových dronů

v diskusi je 47 příspěvků

24. dubna 2024

Bezpilotní letadla (drony) jsou v posledních dvou dekádách na raketovém vzestupu. Přispěla k tomu...

KVÍZ generála Pattona. Vypořádejte se s ocelovou lavinou

v diskusi je 7 příspěvků

28. dubna 2024

Jak jste dobří v tancích, poznáte je nejen na plese, ale i v následujícím kvízu. Kvíz je zaměřen na...

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

Čekání na české lidové auto nemělo konce. Před 100 lety jezdili jen boháči

v diskusi je 24 příspěvků

28. dubna 2024

Před 100 lety Čechoslováci marně čekali na tuzemské lidové auto. Drtivá většina obyvatel si totiž...

Sphere jako osmý div světa? Zábavní komplex ve Vegas je technologický zážitek

v diskusi je 21 příspěvků

25. dubna 2024

Uvidíte v ní famózní obraz s nejvyšším rozlišením na světě, do uší zahraje sto šedesát tisíc...

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

Necháte se nachytat na triky internetových podvodníků?

v diskusi je 18 příspěvků

29. dubna 2024

Typickou obětí internetového podvodu už nejsou jen senioři. Kyberzločinci se zaměřili i na mladší...

Devět praktických triků pro užívání Windows. Usnadněte si práci s textem

v diskusi je 8 příspěvků

1. května 2024

Ať už připravujete itinerář dovolené, dokument pro šéfa či esej do školy, jistě toužíte potom, aby...

Na Ukrajině zuří válka dronů. Co jsou sebevražedné drony a vyčkávací munice?

v diskusi je 9 příspěvků

30. dubna 2024

Sebevražedné drony a vyčkávací munice zažily obrovský rozvoj, protože se dají vyrobit za pár...

Nečekaně nízká poptávka po brýlích Apple snižuje dodávky až o polovinu

v diskusi je 21 příspěvků

29. dubna 2024  17:30

V době uvedení na trh byly brýle Apple Vision Pro nedostatkovým produktem. Nyní, několik měsíců po...

Necháte se nachytat na triky internetových podvodníků?

v diskusi je 18 příspěvků

29. dubna 2024

Typickou obětí internetového podvodu už nejsou jen senioři. Kyberzločinci se zaměřili i na mladší...

Allgemein öffentliches Krankenhaus Spittal/Drau
Ärztin/Arzt für Innere Medizin

Allgemein öffentliches Krankenhaus Spittal/Drau

nabízený plat: 172 000 - 273 000 Kč

Horňáci versus dolňáci. Víme, čemu muži dávají přednost, a je to překvapení

Ženské tělo je pro muže celkově velmi atraktivní a nabízí jejich očím mnoho zajímavých partií. Největší pozornosti se...

Hello Kitty slaví padesátiny. Celý svět si myslí, že je to kočička, jenže není

Kulatý obličej se dvěma trojúhelníkovýma ušima, drobný čumáček, vousky a červená mašle na uchu. Taková je Hello Kitty,...

Muž má recept na dlouhověkost, v jednašedesáti je ve skvělé formě

Dave Pascoe chce dokázat světu, že i v důchodu můžete vypadat jako za mlada a také se tak cítit. Stačí dodržovat pár...

Natáčení Přátel bylo otřesné, vzpomíná herečka Olivia Williamsová

Britská herečka Olivia Williamsová (53) si ve čtvrté sérii sitcomu Přátelé zahrála epizodní roli jedné z družiček na...

Jsou nebezpeční či přešlechtění. Evropa zakazuje chov oblíbených psích plemen

Premium Máte doma jezevčíka? Francouzského buldočka? A co třeba pitbulla, rotvajlera nebo nějakého velkého ovčáckého psa? Tak...