Parceiro de Lets Bonus foi Hackeado

LivingSocial, site de compras coletivas parceiro de Lets Bonus, comunicou a seus milhares de consumidores que durante o final de semana hackers invadiram o sistema da empresa, descobrindo nomes, endereços

LivingSocial, site de compras coletivas parceiro de Lets Bonus, comunicou a seus milhares de consumidores que durante o final de semana hackers invadiram o sistema da empresa, descobrindo nomes, endereços de email, datas de nascimento e senhas de um número incalculável de membros.

 lsocial_title

A boa notícia é que, segundo LivingSocial, as senhas estavam hasheadas e salteadas.  passwords Armazenadas em um formato de código que torna muito difícil, ainda que não impossível, que os hackers as decodifiquem. A companhia alega ainda que os agressores não puderam atingir a base de dados onde estão armazenadas as informações de pagamento e cartão de crédito de seus clientes.

Uma vez mais, senhas hasheadas* são mais difíceis, mas não impossíveis de ser descobertas. Se você tem uma conta de LivingSocial, deveria clicar imediatamente neste link e trocá-la. Mais importante, se você usou a mesma senha em outros sites, precisa modificá-las.

Mais um pouco e os agressores terão que utilizar informação de pagamento, encontrar texto e senhas claras (decodificados) ou algo ainda mais humilhante para que alguém se importe. Clientes, as organizações deveriam cuidar melhor da informação de seus consumidores e até mesmo de sua segurança institucional, mas estão cada vez menos interessadas nestes ataques. No começo ninguém falava de violação de informação, com o tempo ficou mais difícil varrer estes ataques para debaixo do tapete, e as companhias tiveram que começar a falar a respeito. Agora nos damos conta de que os bancos de informação enfrentam ataques quase diários.

Se você tem uma conta em LivingSocial, mude imediatamente sua senha. Se usa a mesma senha em outros sites, deve modificá-la neles também.

A verdade é que lemos a respeito de spear pishing, water-holing e outros sistemas de ataques a redes sociais tanto quanto lemos a respeito de roubo de informação. Geralmente em ataques sociais o agressor visa conseguir algo a respeito do comportamente de seus alvos. Onde você acha que as engenharias sociais encontram os endereços de email para ataques de pishing? Como identificam os interesses de suas vítimas para lançar ataques watering-hole bem suscedidos? Estes agressores são tão bons em adivinhar senhas e respostas para reseteá-las?

Grande parte desta informação é obtida durante violação, roubo de dados. Para ser honestos, parte dela é obtida dos usuários que publicam informação pessoal abertamente nas redes sociais, mas isso é assunto para outro dia. As pessoas frequentemente entregam seus emails corporativos a vários serviços online, quando as bases de dado destes sistemas são comprometidas, os agressores obtém os endereços de email que usarão para ataques de pish a organizações importantes. Datas de aniversário também são valiosas, a maioria dos usuários faz uso das mesmas para resetear senhas.

Se estiver interessado, e provavelmente esteja já que acompanha um blog a respeito de segurnaça, LivingSocial surpreendeu com uma explicação excelente sobre o que é comumente chamado de “senhas hasheadas e salteadas” no FAQ da notificação de violação de informação:

*” As senhas em LivingSocial foram hasheadas com SHA1 usando um salt de 40 byte aleatório. O que significa que nosso sistema tomou as senhas criadas pelos consumidores e usou um algorítimo para transformá-las em uma única data string (cirando essencialmente um fingerprint de informação único) isto é ‘hash.’ Para adicionar outra camada de proteção, o ‘salt’ alonga a senha e agrega complexidade. Mudamos o algorítimo de hashing de  SHA1 para bcrypt.”

Dicas