Klávesové zkratky na tomto webu - základní­
Přeskočit hlavičku portálu


Změňte si heslo, varuje Mall.cz 1,3 milionů uživatelů. Hesla někdo prolomil

  11:14aktualizováno  14:13
Internetový obchod Mall.cz vyzval velkou část svých zákazníků, aby si změnili heslo ke svému zákaznickému účtu. Podle firmy mohli hackeři odcizit údaje až k 750 tisíc uživatelským účtům. Firma se proto rozhodla část hesel resetovat, aby zabránila jejich zneužití. O resetu informovali zákazníky e-mailem.

(ilustrační snímek) | foto: iDNES.cz / Profimedia.cz

„Dobrý den, píšeme Vám, protože Vaše původní heslo k MALL.cz už nefunguje. Pro jistotu jsme se rozhodli ho z bezpečnostních důvodů zrušit, zaznamenali jsme totiž pokus o narušení bezpečnosti, který se dotkl starší databáze uživatelských účtů, jež neměly dostatečné silné heslo,“ rozeslal internetový obchod Mall.cz e-mail více než milionu svých utivatelů. „Aby Váš účet nikdo nezneužil, neváhali jsme a neprodleně jej zablokovali.“

Celkově tento e-mail dostalo 1,3 milionů uživatelů Mall.cz. Firma se k takto významnému kroku odhodlala proto, že zjistila únik uživatelských informací, a to ve velkém rozsahu. Dostala se k ní totiž soubor, který sestavil neznámý útočník a ve kterém byla uložena uživatelská jména a hesla: „Zajistili jsme databázi, ve které již byla útočníkem prolomena hesla. Na základě analýzy těchto dat jsme usoudili, že se jedná o databázi z roku 2014,“ uvedl mluvčí Mall.cz Jan Řezáč. P“o zjištění této skutečnosti jsme okamžitě začali zjišťovat rozsah možných rizik, učinili jsme veškerá (i preventivní) bezpečnostní opatření a začali jsme spolupracovat s příslušnými orgány.“

Uniknout mohla stará, špatně zajištěná databáze

Hashování hesel

Pokud by si provozovatel ukládal hesla v textovém formátu, hrozilo by, že by kdokoli (hacker, zaměstnanec) mohl heslo zneužít.

Proto se stalo dobrým zvykem, že se neukládají hesla v tzv. planitextu (čitelném textu), ale ukládá se pouze kontrolní součet (tzv. hash). Při přihlášení pak systém porovná hash zadaného hesla s hashem uloženým databázi.

Ohrožena byla s největší pravděpodobností starší databáze z roku 2014. Část z ní obsahovala jednoduchá hesla, která neodpovídají současným bezpečnostním zásadám. „Od listopadu 2012 jsme bezpečnost hesel zajišťovali hashovací metodou SHA1 + unikátní solí a od října 2016 chráníme přístupové údaje jednou z nejsilnějších hashovacích metod bcrypt. Do roku 2012 byly údaje hashovány metodou MD5,“ uvádí firma ve vysvětlujícím článku na svém blogu. Hashování zajišťuje, aby ani při úniku databáze nedošlo k úniku původních hesel.

Právě hashování pomocí MD5 je ale v tomto případě problém, jak přiznává i Mall.cz: „MD5 již dnes není považována za bezpečnou metodu. Většina prolomených hesel pochází právě z doby, kdy byla používána tato metoda.“ Pokud tedy někdo použil jako heslo řetězec „heslo“, jeho kontrolní součet MD5 byl: „955db0b81ef1989b4a4dfeae8061a9a6“.

Protože MD5 je starý způsob hashování, existují dnes již účinné metody, které umí zpětně dešifrovat z kontrolního součtu původní heslo. Stačí použít například dostupné databáze, které využívají známých hesel a slovníků k vytvoření dekódovacích tabulek. Například tato stránka dokázala řetězec 955db0b81ef1989b4a4dfeae8061a9a6 dešifrovat jako „heslo“ za desetinu sekundy a „heslo123“ za 0,7 sekundy. Je tedy vidět, že zvláště jednoduchá hesla nečiní hackerům problém dekódovat velice rychle.

„Od roku 2016 Mall.cz pro ukládání a šifrování zákaznických dat využívá jiný - bezpečnější způsob, který splňuje moderní bezpečnostní standardy a prolomení by u něj nemělo hrozit,“ uvedl mediální zástupce Mall.cz Jan Řezáč. Je to metoda bcrypt, v současné době považována za dostatečně obtížnou na prolomení.

Největší nebezpečí tak v tomto případě hrozí lidem, kteří používali stejné heslo kromě Mall.cz také na jiných službách. Hackeři totiž možná mají k dispozici nejen jejich dešifrované heslo, ale také jejich e-mail, a mohou tedy (automatizovaně) vyzkoušet, kde všude uživatelé používají stejné heslo. Všichni, kterým přišel e-mail od Mall.cz o resetu hesla, by si tedy měli změnit hesla nejen na Mall.cz, ale i všude jinde, kde používali stejné heslo.

Heslo má být silné, ale hlavně unikátní

Tento a další úniky opět ukazují, jak důležité je neopakovat jedno heslo pro více různých služeb, ale zvolit si vždy heslo jedinečné

Protože lidé potřebují používat na internetu desítky různých služeb, velmi rychle zjistí, že si nemohou všechna ta hesla pamatovat. Obvykle tedy zvolí jedno „oblíbené“ heslo a to pak používají u všech možných služeb. To je ale nebezpečné, protože pokud heslo z jedné této služby unikne, útočník dostane přístup ke všem ostatním účtům tohoto uživatele.

Správné heslo by tedy mělo být:

  • unikátní - jedna služba, jedno heslo
  • silné - dlouhé, neuhádnutelné, náhodné, nemělo by to být existující slovo
  • zabezpečené - tam, kde to jde, používejte další nástroje pro ochranu účtu, především dvoufaktorové ověření

Více v našem návodu na Technet.cz: Jak správně pracovat s hesly

Není heslo jako heslo. Či spíše heslo jako heslo vlastně ani není heslo.

Není jednoduché pamatovat si více hesel. Přesto je to velmi důležité.

Mall.cz situaci řeší s ÚOOÚ a připravuje trestní oznámení

Společnost kontaktovala zákazníky, kterých se únik hesel mohl týkat, a oznámila jim, že jejich heslo z bezpečnostních důvodů smazala. Také jim sdělila postup, jak si zadat nové heslo. Mall.cz kvůli tomu posílil centrum zákaznické péče.

„Aktuálně pro naše zákazníky připravujeme aplikaci, která bude k dispozici na našich stránkách, na níž si budou moci ověřit, zda se problém týká právě jejich účtu,“ dodal Řezáč. Vedení společnosti kontaktovalo Úřad pro ochranu osobních údajů a připravuje podání trestního oznámení.

Mall.cz patří do skupiny Mall Group, kterou vlastní investiční skupina Rockaway Capital. Kromě Mall.cz jsou v ní například specializované obchody CZC.cz, Vivantis, Proděti, BigBrands, Kolonial, Bux, Sporty a Rozbaleno. Obrat skupiny e-shopů dosáhl v loňském roce 600 milionů eur (16,5 mld. Kč).

Aktualizace: Článek jsme rozšířili o nové informace od Mall.cz a doplnili jsme vysvětlení šifrování a dešifrování hesel (hash MD5).

Autoři: ,




Hlavní zprávy

Další z rubriky

Russia Files na Wikileaks.org
Wikileaks začaly zveřejňovat data o ruské firmě, která prý pomáhá špehovat

Web Wikileaks.org zveřejnil první část uniklých dat, která ukazují, jakým způsobem Ruská federace masově sleduje provoz na síti internet. První část...  celý článek

Logo Pirate Bay
Stahujete z Pirate Bay? Zpomalí vám počítač, protože tajně těží kryptoměnu

Návštěvníci stránek torrentové sítě The Pirate Bay hlásí, že stránka jejich procesor využívá k těžbě digitálních měn.  celý článek

Problémy služby Outlook.com
Microsoft měl problémy s Outlookem

Nedostupnost a výpadky služby Outlook.com sužovaly během večerních a nočních hodin řadu uživatelů.  celý článek

Najdete na iDNES.cz



mobilní verze
© 1999–2017 MAFRA, a. s., a dodavatelé Profimedia, Reuters, ČTK, AP. Jakékoliv užití obsahu včetně převzetí, šíření či dalšího zpřístupňování článků a fotografií je bez souhlasu MAFRA, a. s., zakázáno. Provozovatelem serveru iDNES.cz je MAFRA, a. s., se sídlem
Karla Engliše 519/11, 150 00 Praha 5, IČ: 45313351, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze, oddíl B, vložka 1328. Vydavatelství MAFRA, a. s., je členem koncernu AGROFERT.