Klávesové zkratky na tomto webu - základní­
Přeskočit hlavičku portálu


Změňte si heslo, varuje Mall.cz 1,3 milionů uživatelů. Hesla někdo prolomil

  11:14aktualizováno  14:13
Internetový obchod Mall.cz vyzval velkou část svých zákazníků, aby si změnili heslo ke svému zákaznickému účtu. Podle firmy mohli hackeři odcizit údaje až k 750 tisíc uživatelským účtům. Firma se proto rozhodla část hesel resetovat, aby zabránila jejich zneužití. O resetu informovali zákazníky e-mailem.

(ilustrační snímek) | foto: iDNES.cz / Profimedia.cz

„Dobrý den, píšeme Vám, protože Vaše původní heslo k MALL.cz už nefunguje. Pro jistotu jsme se rozhodli ho z bezpečnostních důvodů zrušit, zaznamenali jsme totiž pokus o narušení bezpečnosti, který se dotkl starší databáze uživatelských účtů, jež neměly dostatečné silné heslo,“ rozeslal internetový obchod Mall.cz e-mail více než milionu svých utivatelů. „Aby Váš účet nikdo nezneužil, neváhali jsme a neprodleně jej zablokovali.“

Celkově tento e-mail dostalo 1,3 milionů uživatelů Mall.cz. Firma se k takto významnému kroku odhodlala proto, že zjistila únik uživatelských informací, a to ve velkém rozsahu. Dostala se k ní totiž soubor, který sestavil neznámý útočník a ve kterém byla uložena uživatelská jména a hesla: „Zajistili jsme databázi, ve které již byla útočníkem prolomena hesla. Na základě analýzy těchto dat jsme usoudili, že se jedná o databázi z roku 2014,“ uvedl mluvčí Mall.cz Jan Řezáč. P“o zjištění této skutečnosti jsme okamžitě začali zjišťovat rozsah možných rizik, učinili jsme veškerá (i preventivní) bezpečnostní opatření a začali jsme spolupracovat s příslušnými orgány.“

Uniknout mohla stará, špatně zajištěná databáze

Hashování hesel

Pokud by si provozovatel ukládal hesla v textovém formátu, hrozilo by, že by kdokoli (hacker, zaměstnanec) mohl heslo zneužít.

Proto se stalo dobrým zvykem, že se neukládají hesla v tzv. planitextu (čitelném textu), ale ukládá se pouze kontrolní součet (tzv. hash). Při přihlášení pak systém porovná hash zadaného hesla s hashem uloženým databázi.

Ohrožena byla s největší pravděpodobností starší databáze z roku 2014. Část z ní obsahovala jednoduchá hesla, která neodpovídají současným bezpečnostním zásadám. „Od listopadu 2012 jsme bezpečnost hesel zajišťovali hashovací metodou SHA1 + unikátní solí a od října 2016 chráníme přístupové údaje jednou z nejsilnějších hashovacích metod bcrypt. Do roku 2012 byly údaje hashovány metodou MD5,“ uvádí firma ve vysvětlujícím článku na svém blogu. Hashování zajišťuje, aby ani při úniku databáze nedošlo k úniku původních hesel.

Právě hashování pomocí MD5 je ale v tomto případě problém, jak přiznává i Mall.cz: „MD5 již dnes není považována za bezpečnou metodu. Většina prolomených hesel pochází právě z doby, kdy byla používána tato metoda.“ Pokud tedy někdo použil jako heslo řetězec „heslo“, jeho kontrolní součet MD5 byl: „955db0b81ef1989b4a4dfeae8061a9a6“.

Protože MD5 je starý způsob hashování, existují dnes již účinné metody, které umí zpětně dešifrovat z kontrolního součtu původní heslo. Stačí použít například dostupné databáze, které využívají známých hesel a slovníků k vytvoření dekódovacích tabulek. Například tato stránka dokázala řetězec 955db0b81ef1989b4a4dfeae8061a9a6 dešifrovat jako „heslo“ za desetinu sekundy a „heslo123“ za 0,7 sekundy. Je tedy vidět, že zvláště jednoduchá hesla nečiní hackerům problém dekódovat velice rychle.

„Od roku 2016 Mall.cz pro ukládání a šifrování zákaznických dat využívá jiný - bezpečnější způsob, který splňuje moderní bezpečnostní standardy a prolomení by u něj nemělo hrozit,“ uvedl mediální zástupce Mall.cz Jan Řezáč. Je to metoda bcrypt, v současné době považována za dostatečně obtížnou na prolomení.

Největší nebezpečí tak v tomto případě hrozí lidem, kteří používali stejné heslo kromě Mall.cz také na jiných službách. Hackeři totiž možná mají k dispozici nejen jejich dešifrované heslo, ale také jejich e-mail, a mohou tedy (automatizovaně) vyzkoušet, kde všude uživatelé používají stejné heslo. Všichni, kterým přišel e-mail od Mall.cz o resetu hesla, by si tedy měli změnit hesla nejen na Mall.cz, ale i všude jinde, kde používali stejné heslo.

Heslo má být silné, ale hlavně unikátní

Tento a další úniky opět ukazují, jak důležité je neopakovat jedno heslo pro více různých služeb, ale zvolit si vždy heslo jedinečné

Protože lidé potřebují používat na internetu desítky různých služeb, velmi rychle zjistí, že si nemohou všechna ta hesla pamatovat. Obvykle tedy zvolí jedno „oblíbené“ heslo a to pak používají u všech možných služeb. To je ale nebezpečné, protože pokud heslo z jedné této služby unikne, útočník dostane přístup ke všem ostatním účtům tohoto uživatele.

Správné heslo by tedy mělo být:

  • unikátní - jedna služba, jedno heslo
  • silné - dlouhé, neuhádnutelné, náhodné, nemělo by to být existující slovo
  • zabezpečené - tam, kde to jde, používejte další nástroje pro ochranu účtu, především dvoufaktorové ověření

Více v našem návodu na Technet.cz: Jak správně pracovat s hesly

Není heslo jako heslo. Či spíše heslo jako heslo vlastně ani není heslo.

Není jednoduché pamatovat si více hesel. Přesto je to velmi důležité.

Mall.cz situaci řeší s ÚOOÚ a připravuje trestní oznámení

Společnost kontaktovala zákazníky, kterých se únik hesel mohl týkat, a oznámila jim, že jejich heslo z bezpečnostních důvodů smazala. Také jim sdělila postup, jak si zadat nové heslo. Mall.cz kvůli tomu posílil centrum zákaznické péče.

„Aktuálně pro naše zákazníky připravujeme aplikaci, která bude k dispozici na našich stránkách, na níž si budou moci ověřit, zda se problém týká právě jejich účtu,“ dodal Řezáč. Vedení společnosti kontaktovalo Úřad pro ochranu osobních údajů a připravuje podání trestního oznámení.

Mall.cz patří do skupiny Mall Group, kterou vlastní investiční skupina Rockaway Capital. Kromě Mall.cz jsou v ní například specializované obchody CZC.cz, Vivantis, Proděti, BigBrands, Kolonial, Bux, Sporty a Rozbaleno. Obrat skupiny e-shopů dosáhl v loňském roce 600 milionů eur (16,5 mld. Kč).

Aktualizace: Článek jsme rozšířili o nové informace od Mall.cz a doplnili jsme vysvětlení šifrování a dešifrování hesel (hash MD5).

Autoři: ,



Nejčtenější

„Neříkej, že už to děláme!“ Tahák šéfa Facebooku ukazuje, čeho se bál

Mark Zuckerberg vypovídá před americkým Kongresem. Jeho poznámky unikly na...

Mark Zuckerberg, zakladatel a šéf sociální sítě Facebook, vypovídal dlouhé hodiny před americkými kongresmany v...

Pilotovi se nechtělo střílet, ale musel. Sestřelení letu KAL 902

Letoun Korejských aerolinií po nouzovém přistání na zamrzlém jezeře.

Před 40 lety sovětská protivzdušná obrana sestřelila dopravní letadlo korejských aerolinek, které se dostalo na území...



Ruská armáda zavedla do výzbroje „smrtící kombajny“. Byly i v Sýrii

BMPT Terminátor

Ruská armáda dala do zkušebního provozu deset vozidel Terminátor určených pro palebnou podporu tanků. Některá z těchto...

Voda na Marsu je. Chová se však zvláštně a může i levitovat

Na povrchu Marsu můžeme spatřit nejenom doklady o proudění kapalné vody v...

Dva experimenty ukázaly, že na povrchu Marsu se voda chová výrazně jinak, než jsme zvyklí. Například místní „bahno“...

Youtuber zaplakal. V přímém přenosu mu hackeři ukradli 40 milionů

Ian Balina zřejmě během hacku přišel o více než dva miliony dolarů v...

Přijít o miliony dolarů je ve světě kryptoměn až neuvěřitelně snadné. Přesvědčil se o tom i Ian Balina, americký...

Další z rubriky

Britská policie dopadla dealera díky otisku prstu z fotky na WhatsAppu

Snapdragon fingerpring

Dealerovi ve Walesu se stala osudnou fotografie sdílená přes komunikační síť WhastApp. Policisté ho dopadli díky fotce,...

Youtuber zaplakal. V přímém přenosu mu hackeři ukradli 40 milionů

Ian Balina zřejmě během hacku přišel o více než dva miliony dolarů v...

Přijít o miliony dolarů je ve světě kryptoměn až neuvěřitelně snadné. Přesvědčil se o tom i Ian Balina, americký...

Televizi nejen od UPC si přes internet pustíte i na zahraniční dovolené

UPC Horizon GO si již spustíte i v zahraničí. Vyzkoušeli jsme na hotelovém...

Loňské nařízení EU o konci digitálních hranic pro využívání digitálních služeb v rámci Evropy se začíná uplatňovat....

Najdete na iDNES.cz