サイバー攻撃者は最近、LivingSocialのシステムを侵害し、5000万人を超えるユーザーの違法な顧客情報にアクセスした、とLivingSocialは述べています。 ユーザーはすぐにパスワードを変更する必要があります。
PCMag.comが昨日報告したように、LivingSocialは、影響を受けたすべての顧客にデータ侵害通知メールを送信し、顧客データへの不正アクセスにつながるサイバー攻撃を通知しました。 LivingSocialによると、5000万を超えるアカウントが潜在的に影響を受けており、今年最大のパスワード侵害の1つとなっています。
現時点では、侵害がどのように発生し、他のどのような情報が盗まれたかは明らかではありません。 これらの種類の事件では、攻撃者は通常、従業員のデバイスにマルウェアを密かにインストールして侵入し、機密システムを見つけるまでネットワーク上を動き回ります、とTrusteerのシニアセキュリティストラテジスト、ジョージチュービンは SecurityWatch に語りました。
プロバイダーは「ハッカーがシステムを標的にして顧客データや企業の機密情報を入手することを期待すべきだ」とTubinは述べた。 この時点で、「これらのプロバイダーが顧客の情報を保護するのに十分なことをしていないことは明らかです」とTubinは言いました。
塩漬け、ハッシュ化されたパスワードが割れない
LivingSocialがパスワードをハッシュ化して塩漬けにしたことは良い兆候です。攻撃者を多少遅くしますが、攻撃者が元のパスワードを試して成功することを「止めない」、セキュリティ担当シニアマネージャーRoss Barrett Rapid7のエンジニアリングはSecurityWatchに語った。 塩漬けはクラッキングプロセスの速度を低下させますが、「最終的には攻撃者またはそのネットワークが後の情報を取得します」とバレットは言いました。
ハッシュは一方向暗号化であり、特定の入力に対して常に同じ出力を取得しますが、ハッシュから始めて元の文字列が何であったかを把握することはできません。 攻撃者は、レインボーテーブル、考えられるすべての文字列(辞書の単語、一般的な姓、歌の歌詞を含む)と関連するハッシュ値を含む一連の巨大な辞書に頻繁に依存しています。 攻撃者は、パスワードテーブルのハッシュとレインボーテーブルを照合して、コードを生成した元の文字列を見つけることができます。
ソルティングとは、ハッシュを作成する前に元の入力文字列に追加情報を追加するプロセスを指します。 攻撃者は余分なデータが何であるかを知らないため、ハッシュのクラッキングはより困難になります。
ただし、問題は、LivingSocialがSHA1を使用して、弱いアルゴリズムであるハッシュを生成したことです。 別の一般的なアルゴリズムであるMD5と同様に、SHA1は最小限のコンピューティングリソースで迅速に動作するように設計されています。
ハードウェアおよびハッキングテクノロジーの最近の進歩を考慮すると、SHA1ハッシュはソルト処理されていても、クラック防止機能はありません。 LivingSocialは、bcrypt、scrypt、またはPBKDF-2のほうがよかったでしょう。
それらのパスワードを今すぐ変更
LivingSocialはすべてのユーザーのパスワードを予防的にリセットしているため、ユーザーは他の場所で使用されていない新しいパスワードを選択する必要があります。 多くの人々は、サイト間で同じパスワードを再利用する傾向があります。 ユーザーが他のサイトでLivingSocialパスワードを使用した場合、それらのパスワードもすぐに変更する必要があります。 パスワードが解読されると、攻撃者はメール、Facebook、LinkedInなどの一般的なサービスに対してパスワードを試すことができます。
「これらの違反は、良好なパスワード衛生を維持し、すべてのアカウントとサイトに異なるパスワードを使用することが非常に重要である理由のもう1つのリマインダーです」とバレット氏は言いました。
攻撃者は、生年月日と名前を使用して、フィッシングやその他のソーシャルエンジニアリングキャンペーンを作成することもできます。 ユーザーはこれらの詳細を参照して、ユーザーを正当なメッセージだと思わせることができます。 盗まれたデータは「非常に長い時間攻撃を仕掛ける」とバレット氏は語った。
LivingSocialの違反は、「組織が引き続き貴重な顧客データの標的となることを思い出させるものです」とBarrett氏は述べています。
