Pondělí 29. listopadu 2021, svátek má Zina
  • schránka
  • Přihlásit Můj účet
  • Pondělí 29. listopadu 2021 Zina

Změňte si heslo, varuje Mall.cz 1,3 milionů uživatelů. Hesla někdo prolomil

  11:14aktualizováno  14:13
Internetový obchod Mall.cz vyzval velkou část svých zákazníků, aby si změnili heslo ke svému zákaznickému účtu. Podle firmy mohli hackeři odcizit údaje až k 750 tisíc uživatelským účtům. Firma se proto rozhodla část hesel resetovat, aby zabránila jejich zneužití. O resetu informovali zákazníky e-mailem.

(ilustrační snímek) | foto: iDNES.cz / Profimedia.cz

„Dobrý den, píšeme Vám, protože Vaše původní heslo k MALL.cz už nefunguje. Pro jistotu jsme se rozhodli ho z bezpečnostních důvodů zrušit, zaznamenali jsme totiž pokus o narušení bezpečnosti, který se dotkl starší databáze uživatelských účtů, jež neměly dostatečné silné heslo,“ rozeslal internetový obchod Mall.cz e-mail více než milionu svých utivatelů. „Aby Váš účet nikdo nezneužil, neváhali jsme a neprodleně jej zablokovali.“

Celkově tento e-mail dostalo 1,3 milionů uživatelů Mall.cz. Firma se k takto významnému kroku odhodlala proto, že zjistila únik uživatelských informací, a to ve velkém rozsahu. Dostala se k ní totiž soubor, který sestavil neznámý útočník a ve kterém byla uložena uživatelská jména a hesla: „Zajistili jsme databázi, ve které již byla útočníkem prolomena hesla. Na základě analýzy těchto dat jsme usoudili, že se jedná o databázi z roku 2014,“ uvedl mluvčí Mall.cz Jan Řezáč. P“o zjištění této skutečnosti jsme okamžitě začali zjišťovat rozsah možných rizik, učinili jsme veškerá (i preventivní) bezpečnostní opatření a začali jsme spolupracovat s příslušnými orgány.“

Uniknout mohla stará, špatně zajištěná databáze

Hashování hesel

Pokud by si provozovatel ukládal hesla v textovém formátu, hrozilo by, že by kdokoli (hacker, zaměstnanec) mohl heslo zneužít.

Proto se stalo dobrým zvykem, že se neukládají hesla v tzv. planitextu (čitelném textu), ale ukládá se pouze kontrolní součet (tzv. hash). Při přihlášení pak systém porovná hash zadaného hesla s hashem uloženým databázi.

Ohrožena byla s největší pravděpodobností starší databáze z roku 2014. Část z ní obsahovala jednoduchá hesla, která neodpovídají současným bezpečnostním zásadám. „Od listopadu 2012 jsme bezpečnost hesel zajišťovali hashovací metodou SHA1 + unikátní solí a od října 2016 chráníme přístupové údaje jednou z nejsilnějších hashovacích metod bcrypt. Do roku 2012 byly údaje hashovány metodou MD5,“ uvádí firma ve vysvětlujícím článku na svém blogu. Hashování zajišťuje, aby ani při úniku databáze nedošlo k úniku původních hesel.

Právě hashování pomocí MD5 je ale v tomto případě problém, jak přiznává i Mall.cz: „MD5 již dnes není považována za bezpečnou metodu. Většina prolomených hesel pochází právě z doby, kdy byla používána tato metoda.“ Pokud tedy někdo použil jako heslo řetězec „heslo“, jeho kontrolní součet MD5 byl: „955db0b81ef1989b4a4dfeae8061a9a6“.

Protože MD5 je starý způsob hashování, existují dnes již účinné metody, které umí zpětně dešifrovat z kontrolního součtu původní heslo. Stačí použít například dostupné databáze, které využívají známých hesel a slovníků k vytvoření dekódovacích tabulek. Například tato stránka dokázala řetězec 955db0b81ef1989b4a4dfeae8061a9a6 dešifrovat jako „heslo“ za desetinu sekundy a „heslo123“ za 0,7 sekundy. Je tedy vidět, že zvláště jednoduchá hesla nečiní hackerům problém dekódovat velice rychle.

„Od roku 2016 Mall.cz pro ukládání a šifrování zákaznických dat využívá jiný - bezpečnější způsob, který splňuje moderní bezpečnostní standardy a prolomení by u něj nemělo hrozit,“ uvedl mediální zástupce Mall.cz Jan Řezáč. Je to metoda bcrypt, v současné době považována za dostatečně obtížnou na prolomení.

Největší nebezpečí tak v tomto případě hrozí lidem, kteří používali stejné heslo kromě Mall.cz také na jiných službách. Hackeři totiž možná mají k dispozici nejen jejich dešifrované heslo, ale také jejich e-mail, a mohou tedy (automatizovaně) vyzkoušet, kde všude uživatelé používají stejné heslo. Všichni, kterým přišel e-mail od Mall.cz o resetu hesla, by si tedy měli změnit hesla nejen na Mall.cz, ale i všude jinde, kde používali stejné heslo.

Heslo má být silné, ale hlavně unikátní

Tento a další úniky opět ukazují, jak důležité je neopakovat jedno heslo pro více různých služeb, ale zvolit si vždy heslo jedinečné

Protože lidé potřebují používat na internetu desítky různých služeb, velmi rychle zjistí, že si nemohou všechna ta hesla pamatovat. Obvykle tedy zvolí jedno „oblíbené“ heslo a to pak používají u všech možných služeb. To je ale nebezpečné, protože pokud heslo z jedné této služby unikne, útočník dostane přístup ke všem ostatním účtům tohoto uživatele.

Správné heslo by tedy mělo být:

  • unikátní - jedna služba, jedno heslo
  • silné - dlouhé, neuhádnutelné, náhodné, nemělo by to být existující slovo
  • zabezpečené - tam, kde to jde, používejte další nástroje pro ochranu účtu, především dvoufaktorové ověření

Více v našem návodu na Technet.cz: Jak správně pracovat s hesly

Není heslo jako heslo. Či spíše heslo jako heslo vlastně ani není heslo.

Není jednoduché pamatovat si více hesel. Přesto je to velmi důležité.

Mall.cz situaci řeší s ÚOOÚ a připravuje trestní oznámení

Společnost kontaktovala zákazníky, kterých se únik hesel mohl týkat, a oznámila jim, že jejich heslo z bezpečnostních důvodů smazala. Také jim sdělila postup, jak si zadat nové heslo. Mall.cz kvůli tomu posílil centrum zákaznické péče.

„Aktuálně pro naše zákazníky připravujeme aplikaci, která bude k dispozici na našich stránkách, na níž si budou moci ověřit, zda se problém týká právě jejich účtu,“ dodal Řezáč. Vedení společnosti kontaktovalo Úřad pro ochranu osobních údajů a připravuje podání trestního oznámení.

Mall.cz patří do skupiny Mall Group, kterou vlastní investiční skupina Rockaway Capital. Kromě Mall.cz jsou v ní například specializované obchody CZC.cz, Vivantis, Proděti, BigBrands, Kolonial, Bux, Sporty a Rozbaleno. Obrat skupiny e-shopů dosáhl v loňském roce 600 milionů eur (16,5 mld. Kč).

Aktualizace: Článek jsme rozšířili o nové informace od Mall.cz a doplnili jsme vysvětlení šifrování a dešifrování hesel (hash MD5).

Autoři: ,
  • Nejčtenější

Startujeme německý tankový motor z války, desetiletí pohřbený v bahně

Takhle zní zrekonstruovaný motor Maybach HL 120 TRM z německého útočného děla StuG. Strávil celá desetiletí pohřben v...

Padl jeden z důvodů, proč nemít Windows 11. Vraťte si Start a hlavní panel

S Windows 11 chce Microsoft vstoupit do nové éry používání počítačů a kvůli tomu změnil dvě z hlavních součástí...

Žádný rachot ani kouř. Prozkoumali jsme český vodíkový generátor elektřiny

Premium Generátor H2Base vyrábí elektřinu z vodíku a vzduchu, jediným odpadem je vodní pára. Může tak vyrábět elektřinu i v...

Ceny sluchátek, notebooků i telefonů padají. Black Friday startuje

Advertorial Úvahy nad vánočními dárky mnohdy zaberou člověku hodiny. Přeci jen chce člověk darovat něco hodnotného a pěkného, co...

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

Sověti nasadili i parazitní letouny aneb jak bombardér nosil bombardéry

Během druhé světové války došlo i k bojovému nasazení parazitních letounů. V tomto případě to byly stíhačky Polikarpov...

ANALÝZA: Případ Kenosha. Média si napsala vlastní verzi

Premium Půlka Ameriky si udělala z Kylea Rittenhouse, jenž zastřelil dva lidi, vzorovou karikaturu bílého rasisty s puškou, a...

Pět nejčastějších chyb, které Češi dělají v penzijním spoření

Premium Ve starém „penzijku“ si na důchod spoří více než tři miliony Čechů a v nových fondech už přes 1,3 milionu lidí. Stát...

Strach se do lidí pouští jako jed. Horší než covid je hysterie, říká herec Dušek

Premium Je hercem, režisérem, scenáristou, moderátorem. Renesančního ducha zřejmě Jaroslav Dušek zdědil po svém rodu s modrou...

  • Další z rubriky

Facebook končí se svým názvem? Podle médií se firma chystá přejmenovat

Facebook už možná nebude Facebook, tedy aspoň co se týká názvu společnosti, která vedle stejnojmenné sociální sítě...

Instagram pro děti se pozastavuje, mohl by ohrozit jejich duševní zdraví

Letos v březnu se byla zveřejněna informace, že sociální síť Instagram pracuje na speciální verzi Kids, která by měla...

Weby vás tajně sledují prostřednictvím otisku zařízení

Na světě je téměř 1,9 miliardy internetových stránek. Mnohdy slouží k pokoutným účelům a dost často z nich obchodníci...

Pozná rostlinu nebo pomůže s matematikou. Google Lens chce ovšem ještě více

Co je toto za rostlinu? Zaujalo vás nějaké oblečení a rádi byste podobné, potřebujete pomoci s úkolem nebo v reálném...

Akční letáky
Akční letáky

Všechny akční letáky na jednom místě!

Neočkovaný herec Etzler je na kyslíku s oboustranným zápalem plic

Miroslav Etzler skončil s covidovou atakou a oboustranným zápalem plic v nemocnici. Své příznivce na sociálních sítích...

Světem se kvůli mutaci valí lavina výprodejů. Padají akcie, ropa i bitcoin

Kvůli nové mutaci koronaviru, která byla detekována v Jihoafrické republice, klesly v pátek asijské akcie nejvíce za...

Michal po mně skočil, popsala start intimního života zrzka z experimentu

Z šesti dvojic televizní Svatby na první pohled čeká rozhodnutí už jen tři páry. Jarda s Romanou spolu zůstali, vztah...

Souboj na talíři skončil. Kašpárek, Forejt a Punčochář ukázali rodiny

Velkým finále skončila v úterý večer kulinární show Souboj na talíři. Diváci se dozvěděli, kdo ze tří skvělých kuchařů...

Verdikt lékařů manžel neustál, říká Hana Robinson o roztroušené skleróze

Zpěvačka Hana Robinson bojuje už řadu let s roztroušenou sklerózou, která mimo jiné ovlivňuje i hybnost rukou. K té se...