Diskuse k článku

Změňte si heslo, varuje Mall.cz 1,3 milionů uživatelů. Hesla někdo prolomil

Internetový obchod Mall.cz vyzval velkou část svých zákazníků, aby si změnili heslo ke svému zákaznickému účtu. Podle firmy mohli hackeři odcizit údaje až k 750 tisíc uživatelským účtům. Firma se proto rozhodla část hesel resetovat, aby zabránila jejich zneužití. O resetu informovali zákazníky e-mailem.

Upozornění

Litujeme, ale tato diskuse byla uzavřena a již do ní nelze vkládat nové příspěvky.
Děkujeme za pochopení.

Zobrazit příspěvky: Všechny podle vláken Všechny podle času

J32a43r19o36s64l37a42v 15B20r65a40b33e59n58e67c 1847218312919

Jo, u blbýho e-šopu chcou furt nějaký složitý heslo a když se nechcete registrovat, tak se někdy nedá ani nakoupit. A u účtu , kde máte fůru peněz musí stačit čtyři číslice ...

0/0
30.8.2017 12:26

F21r90a27n73t77i20š96e32k 60O23s16t18r80ý 4415541147533

Problém není ani tak v použití md5, ale v nepoužití soli. Bez soli mají stejný problém i jiné hashovací funkce.

0/0
30.8.2017 9:10

L32u66k61á38š 75F75r65a32n89c49o93u23z 3196254604

Jako reakce na tuto událost se všude píše o tom, jaká by lidé měli mít hesla a jak jsou hloupí že mají jedno stejné apod. Jistě. Ovšem, Mall.cz, který umožnil tento únik dat (neschopnost zabránit mu) se staví automaticky do role oběti. Ve skutečnosti by měl hradit škody svým zákazníkům, kteří nyní musí celé dny minimálně měnit svá hesla na dalších účtech...

+4/−2
29.8.2017 10:58
Foto

M12a53r35t76a 15D69o41u26b67r15a81v91o14v56á 4590904145547

- Zadejte uživatelské jméno !

- logik2

- Zadejte heslo !

- jablko

- Lituji, heslo musí obsahovat minimálně 8 znaků !

- červenéjablko

- Lituji, heslo musí obsahovat min. 1 číslici !

- 1červenéjablko

- Lituji, heslo musí obsahovat min. jedno velké písmeno !

- 1VYJEBANÉčervené jablko

- Lituji, heslo nesmí obsahovat za sebou následující velká písmena ! - 1VyjebanéČervenéJablkoAnastrčSiHo ! - Lituji, heslo nesmí obsahovat znaky s diakritikou ! - 1VyjebaneShnileCerveneJablkoAchcipniTyHajzleJestliAniTohleHesloNeprijmes - Lituji, toto heslo je již obsazeno !

+6/0
29.8.2017 10:13

J23a62r53o69s62l45a24v 61B50r86a70b13e18n50e96c 1547168362169

Tak jsem se dnes i zasmál , dávám BOD R^ , u mně dobrý .

0/0
30.8.2017 12:30

V77a98c82l89a50v 93M32e92d83e60k 5751402575895

hmm, to zas někdo na eshopu tak velkého rozsahu má uživatelské hesla v nekryptovaném stavu? 8-o

0/0
28.8.2017 23:15

P67e95t62r 16B42i90e89l62i52k 9287544552641

take mi to doslo do emailu... povazoval jsem to a spam a smazal... :-) ...btw. na mall.cz jsem nakupoval jen jednou, asi v roce 2012 (holici strojek) ... nepamatuju si, ze bych se registroval... asi me to registrovalo automaticky (dle VOP), coz mne velmi vytaci a mam velice rad e-shopy, ktere nucenou registraci nevyzaduji / nedelaji.

+2/0
28.8.2017 21:24

J95a41r94o58s49l32a83v 35B55r39a71b13e74n39e51c 1407108742569

Taky mi to přišlo na e-mail a taky jsem se neregistroval , humus .

0/0
30.8.2017 12:15

O22d22s50t54r43a47n73ě45n25ý 25U56ž63i45v93a38t35e61l

Uživatel požádal o vymazání
+1/−1
28.8.2017 16:18

P88e12t35r 17N72i63v22n65i90c13k66ý 3602474325517

Přijít o FB účet - tomu říkám životní tragédie. ;-D

+1/−1
28.8.2017 16:26
Foto

K53a97r43e51l 55P86l60a20c75h86ý 6686206984749

Kdyby ty ucty nedelali "nasilne a povinne" nemeli by takovy problem.

+5/0
28.8.2017 16:33

L35u18d46v14í89k 51G97a49j48d48o58š37í87k 2525443174842

Nemyslím, že to je pro Mall až tak velký problém reputace.

Zákazníci používající jedno jednoduché heslo na vše mají problém hlavně sami u sebe a Mall je takto aspoň upozornil, že dělají něco špatně.

+1/−1
28.8.2017 19:40

M77i92c14h20a47l 59S86c78h73w38a90r59z 2308146521238

Chápu. Dává naprostý smysl, když všemožným eshopům a dalším webům sděluji své jediné a univerzální heslo, které navíc používám i pro mail (a nejlépe i pro datovou schránku apod.). Ani náhodou mě přece nemůže napadnout, že když *kamkoli* tohle heslo zadávám, tak ho provozovatel webu má (alespoň chvíli) k dispozici, a má teoretickou možnost ho zneužít, že?

Je to jako používat jeden univerzální klíč k domu, bytu, kanceláři, autu, zámku na kolo, poštovní schránce, atd., a pak ho vesele zapůjčit třeba autoservisu v rámci prohlídky, s tím že "oni mají určitě nějak zabezpečené že si ho nikdo nezkopíruje" :).

Kdo chce kam, pomozme mu tam.

0/0
29.8.2017 17:02

J89a64n 93M29a56j57e80r 9523149588941

Protože MD5 je starý způsob hashování, existují dnes již účinné metody, které umí zpětně dešifrovat z kontrolního součtu původní heslo. Stačí použít například dostupné databáze, které využívají známých hesel a slovníků k vytvoření dekódovacích tabulek. Například tato stránka dokázala řetězec 955db0b81ef1989b4a4dfeae8061a9a6 dešifrovat jako „heslo“ za desetinu sekundy a „heslo123“ za 0,7 sekundy. Je tedy vidět, že zvláště jednoduchá hesla nečiní hackerům problém dekódovat velice rychle.

A teď hurá do opravy dvou chyb... :-)

1) Hash nejde dešifrovat, jde pouze najít "kolizi". MD5 je 128 bitové číslo, dva řetězce klidně můžou mít stejný hash. Oproti zašifrovanému textu, kdy musí jít samozřejmě dešifrovat původní zpráva.

2) Stačí použít například dostupné databáze, které využívají známých hesel a slovníků k vytvoření dekódovacích tabulek.

Pokud programátor aplikace ví co je salt, tak nestačí. I v Mallu salt u novějších hesel používali. Podrobnosti salted hash.

https://en.wikipedia.org/wiki/Salt_(cryptography)

https://www.interval.cz/clanky/salted-hash-dalsi-krok-ke-zvyseni-bezpecnosti/

Od listopadu 2012 jsme bezpečnost hesel zajišťovali hashovací metodou SHA1 + unikátní solí a od října 2016 chráníme přístupové údaje jednou z nejsilnějších hashovacích metod bcrypt. Do roku 2012 byly údaje hashovány metodou MD5, která dnes již není považována za bezpečnou.

https://blog.mall.cz/o-nas/q-a-vse-co-jste-chteli-vedet-o-bezpecnosti-na-mall-cz-451.html

+1/0
28.8.2017 16:10
Foto

P91a28v97e17l 75K67a11s90í27k93, 64T86e57c58h34n25e23t16.88c28z

Ano, "dešifrování" je v tomto případě taková zkratka. A ano, osolení pomůže.

0/−1
28.8.2017 17:47

K43a16r24e96l 87S49t86r38ž30a22n60o16v88s64k93ý 1608755305

Kdyby měl mít člověk do každé aplikace a služby jiné heslo, potřeboval by sebou na ně nosit sešit.

+2/0
28.8.2017 15:26

R25a90d29i23m 35Z28a35t76o46p69e32k 9412675462247

zase tak divoké to být nemusí. já si před časem na nekritické služby a aplikace vytvořil algoritmus, který zohledňuje URL/název a je dostatečně bezpečný. Pak mi nedělá problém si na heslo pro danou službu okamžitě vzpomenout. Nu a na ty kritické (banka, firemní účet, osobní e-mail, nastavení domény) mám silné hesla bez jakékoliv spojitosti s mou osobou nebo danou službou.

+1/−1
28.8.2017 15:37
Foto

P40a61v85e14l 10K28a35s80í71k70, 15T43e57c97h92n64e72t49.91c90z

Ano, v principu máte pravdu. Ale naštěstí existují elektronické "sešity" na hesla, říká se jim správce hesel. Viz návod odkázaný v článku.

+1/−2
28.8.2017 15:59

P97e98t29r 80N94i71v20n13i26c16k87ý 3542244915577

Správce hesel s v nejpotřebnější chvíli podělá a všechna hesla jsou v .... Zlatý sešit.

+2/0
28.8.2017 16:27
Foto

K13a18r56e74l 11P89l19a56c52h29ý 6846766774529

Je to rovnez o tom, ze spousta lidi, co si neco jednorazove koupi, da uplne primitivni heslo, jelikoz tam nechce nakupovat "ob den". Tyhle "registrace vsech", co si neco koupi", jsou nesmyslne a k zlosti.

+2/0
28.8.2017 16:38

P15a58v91e74l 54S25v41o41b14o18d37a 4187310642652

Sesit je fajn, pokuseil jsem se spocitat pocet hesel ci spise webu, ktere v nem mam. U cisla 50 mne to prestalo bavit. Predstava, ze pokazde budu muset nakukovat do sesitu je desiva:-) Pouzivam neco podobneho jako p. Zatopek a kousicek vyse. 80% hesla tvori stejny zaklad a zbytek se vytvori jednoduse zapamatovatelnym algoritmem. Neni to nic genialniho, ale funguje to spolehlive. No a mam take par mimonskych hesel a na jejich nezapomenuti je ten sesitek dobry:-)))

0/0
28.8.2017 22:41

P59a28v65e49l 89T55r25u73k89s11a 3873517762603

Jake "nakukovani" do sesitu myslite? Proste u kloudneho spravce hesel se prihlasite centralnik heslem nebo otiskem prstu a prihlasi se pamatuje tak dlouho, jak si nastavite (cas neaktivity, spusteni sporice obrazovky,....), pripadne u nekterych webu (banka, paypal,..) si muzete vybrat, ze centralni heslo zadavate vzdycky, pripadne musite prejet pres ctecku otisku prstu.

Takz logicky nikam nenakukujete...vlezete na web a heslo se vam bud automaticky vyplni, nebo zadate centralni heslo a doplni se vam automaticky hned po jeho zadani...

0/0
29.8.2017 11:49

F20r93a41n59t20i56š95e78k 68O75s26t70r13ý 4485461927673

Přihlašovat se někam otiskem prstu je zásadní bezpečnostní chyba.

0/0
30.8.2017 9:12

P54a89v69e68l 65T21r38u62k58s42a 3273847532363

Tak vzhledem k tomu, ze se predtim jeste musim prihlasit do operacniho systemu, tak nejake miniaturni "false positive" u ctecky otisku prstu me fakt netrapi. Nemluve o tom, ze treba banka u prevodu vyzaduje kod, ktery jde na mobil.

0/0
30.8.2017 9:17

L88u63d53v97í42k 75G71a53j18d85o80š59í88k 2335283524762

No však. Akorát dnes žijeme v elektronickém světě a stačí proto úplně šifrovaná elektronická databáze. :-)

0/0
28.8.2017 19:08

E36r96i42k 43S61v16o90b53o82d13a 1963608234778

Mall.cz jde už posledních pár let pěkně z kopce. Běžně problémy s doručováním a dodržováním termínu dodání. Dřív jsem u nich nakupoval hodně, teď už minimálně. A když ani neumí ochránit data zákazníků, tak už tam nebudu nakupovat vůbec. Ta firma jde strašně dolů.

0/0
28.8.2017 15:16

L56u61k54á59š 71M73a91l93v17i86n44s50k94y 2218914363328

Průšvih je to hlavně pro ty lidi co mají stejné heslo i na mail a zároveň je jejich heslo velmi jednoduché. Ti asi přijdou i o mail.

0/0
28.8.2017 15:14

P78e46t41r 79N32i13v47n61i97c62k54ý 3572864165137

Ber to pozitivně. Třeba s z toho do budoucna poučí.

+1/0
28.8.2017 16:28

O55l10d58ř96i94c53h 54S31m18u86t76n11ý 2700802184325

:-0 Taky mi to přišlo. Žádné nové heslo zadávat rozhodně nebudu a s mallem končím, amatéři neschopní :-/

+5/0
28.8.2017 15:10

J23a38n 67M18o72t60ů56r34e58k 7160962721219

tak to jste velký drsoň a jste jim to teď natřel.

+1/−3
28.8.2017 15:11

E47r46i29k 80S40v94o94b61o94d40a 1773348254338

Já jeho rozčílení chápu. Proč kvůli chybě někoho jiného (kterému navíc platíte) máte mít problémy vy.

+1/0
28.8.2017 15:17

L92u54d11v75í80k 88G40a40j28d29o96š39í93k 2525343474872

Pokud má někdo s tímhle problémy, tak si za ně může pouze sám tím, že používá nevhodná a stejná hesla na více služeb.

Jediné co má normální uživatel za "problém" je ta minuta na změnění hesla na Mallu a to nestojí za nějaké rozčílení.

Naopak si na Mallu cením, že se to nesnažili nějak ututlat nebo problém zlehčit.

+1/−1
28.8.2017 19:13

R56a80d19e70k 49H57o30d39a84ň 9236697281973

Pěkné jak Mall pečlivě vysvětluje, že za vše vlastně mohou uživatelé, protože mají slabé heslo (citace mailu: "zaznamenali jsme totiž pokus o narušení bezpečnosti, který se dotkl starší databáze uživatelských účtů, jež neměly dostatečné silné heslo")

Jenže ono je to vlastně úplně jinak: z článku vyplývá, že na heslo použili md5. Sice to pečlivě obcházejí že "MD5 dnes není považováno za bezpečnou metodu", jenže ona ta funkce taky nikdy na uchovávání hesel dělána nebyla.

Řečeno jinak: Mall to kolosálně po... po stránce bezpečnosti protože hesla nekryptoval, a snaží se to hodit na uživatele že nemají bezpečné heslo. Bláboly o trestním oznámení jsou pak na úrovni 16tiletého Cendry, či spammera a vyděrače Slabého. Tam snad chybí už jen že "tým našich právníků vás dá k soudu... a tatínek vám vyhlásí válku".

+12/0
28.8.2017 15:04

R88a82d57i37m 63Z79a56t39o25p82e79k 9172285102827

Sice nebyla, ale běžně se na hashování hesel používala. Ale to už je sakra dávno, asi tak 20 let, co jsem se učil PHP z knihy Jirky Koska a naposledy jsem MD5 na hashování hesel používal před 15 lety, kdy se ještě MD5 považovalo za bezpečnou funkci.

+1/0
28.8.2017 15:41

R10a10d52i37m 56Z51a31t52o15p61e52k 9962805462947

Ještě jsem chtěl napsat, že se MD5 svého času používala k hashování hesel uživatelů na Linuxu.

0/0
28.8.2017 15:46
Foto

K75a69r21e30l 39P23l81a65c88h54ý 6906586404969

Ja jim odepsal:

Dobrý sen týme Mall.cz,

kdybyste zároveň s nákupem "povinně" neshromažďovali údaje o zákaznících a nezakládali jim účty o které nestojí, nestalo by se vám to.

Smažte prosím veškeré údaje o mě ze své databáze. Nestojím o to, abych si někde koupil televizi a nic jiného, a najednou tam měl účet. Ta data se i kradou (např. naštvaný zaměstnanec), obchoduje se s nimi a potom lidem chodí reklamní nabídky/newslettery na vše možné a půl dne stráví tím, jak odhlašuje odběry, nebo psaním takovýchto e-mailů.

S díky a pozdravem Karel Plachý (váš jednorázový zákazník před třemi lety)

+5/0
28.8.2017 14:58

L38a63d31a 56N47o38v84a69k 4422713557

to je zlomí.....;-D

+1/0
28.8.2017 15:21
Foto

K66a40r51e74l 20P81l75a92c30h17ý 6206946964699

Urcite... :-)

0/0
28.8.2017 16:31

M68a28r44e62k 82J65a92n90e55č75k97a 1317496433171

Mě spíše zaráží lidi, co nakupují na Mall.cz. Cenově dle srovnávačů nijak zajímavý eshop, ale za to je to ještě vydatnější spamer než Alza.

0/0
28.8.2017 14:35

J20a15n 37N49á74d71v82o40r90n77í71k 7243648205897

Tak cena asi není vše, ne?

+2/0
28.8.2017 14:53

P28e67t33r 85N77i20v49n17i58c15k61ý 3752844745767

Není, jako bonus získáš dobrá pocit z toho, že tvé údaje se pak válí na internetu. A to se vyplatí. ;-D

0/0
28.8.2017 16:29

L41a84d19i11s81l54a32v 97L84a87k53e83r 2203509385806

Ta zpráva je nějaká podivná. Tragické by přece bylo už to, že mall.cz ukládal na svých serverech ta hesla! To se přece nedělá. Použije se hash funkce a server pouze porovnává zákazníkem zadané heslo s uloženým "otiskem".

0/0
28.8.2017 14:10
Foto

P64a56v39e96l 62K64a96s69í97k77, 43T22e94c97h64n23e88t40.82c78z

Původní zpráva byla z ČTK, hned, jak jsem se k tomu dostal a ověřil u Mall.cz podrobnosti, zprávu jsem rozšířil a doplnil. Odpověď na vaši otázku: zdá se, že jim unikly staré hashe (MD5) a hackeři z nich dešifrovali původní hesla. Kdesi se pak Mall.cz dostal k databázi těchto již dešifrovaných (prolomených) hesel: „Zajistili jsme databázi, ve které již byla útočníkem prolomena hesla. Na základě analýzy těchto dat jsme usoudili, že se jedná o databázi z roku 2014,“ uvedl mluvčí Mall.cz Jan Řezáč.

Zdroj: http://technet.idnes.cz/mall-heslo-hacker-0eb-/sw_internet.aspx?c=A170828_104617_ekonomika_bur

0/0
28.8.2017 14:19

L10u87d46ě22k 10R87á92j32e95c32k48ý 7638337940294

IMO jen zkratka, Mall žádná hesla neukládal. Ukládal hashe, ale jak je ukázáno v článku - některé hashe (třeba MD5) jsou dneska už překonané.

0/0
28.8.2017 14:19

E90v77a 75D86r48o13z13d20o20v12á 7859327395945

Nakupování na Mall je v posledních letech katastrofa. A to měli našlápnuto velmi dobře.

Tohle je jen jeden z desítek problémů, které mají.

+2/−2
28.8.2017 13:48

P78a67v58e79l 75Š20e26s95t74á71k 3749730748

a proto jsem rad ze jsem tam mel jen to nejmene bezpecne heslo ktere existuje, :) vsak registrace je tam jen k tomu aby clovek nemusel porad dokola vyplnovat kontaktni udaje

0/0
28.8.2017 13:48

M78a88r10t78i46n 76H96o61l16a91ň 9619841421

Jen doufám že se poučí zákazníci a nebudou tam nakupovat. Jednou mi stačilo a nikdy víc.:-/

+2/−3
28.8.2017 13:05

P12e89t85r 16M98i66c37h68a95l73č25á52k 2177290941132

Tento obchod pro mne již rok neexistuje po špatných zkušenostech.

+5/−3
28.8.2017 12:29

P14e22t74r 37K73o41l30á12ř 2178857624961

Ten článek nedává smysl ... Co se tedy vlastně stalo? Ukradli hesla nebo se nabourávali do účtů? Pokud ukradli hesla, tak je to obrovská ostuda ...

+4/−2
28.8.2017 12:11

M27i61l66o28š 89B77é24m 6164879652753

Ukradli minimálně kombinaci přihlašovacího jména a hashe hesla, z kterého lze v jistých případech získat heslo samotné.

0/0
28.8.2017 12:21

Najdete na iDNES.cz