29, апрель 2013  — 

Комментарий ведущего вирусного аналитика ESET Артема Баранова по поводу инцидента с масштабным взломом сервиса коллективных покупок LivingSocial:

«Взлом столь крупного сервиса, каким является LivingSocial, причиняет ущерб не только данным пользователей, но и наносит колоссальный урон репутации компании-разработчика. Ведь, как правило, хищение информации в таких объемах становится возможным из-за недоработки в системе безопасности сервиса.

Очевидно, что главной целью киберпреступников была база номеров кредитных карт или иных платежных средств, а также данные учетных записей пользователей. По известной на текущий момент информации, киберпреступникам удалось похитить адреса электронной почты и пароли около 50 млн аккаунтов LivingSocial.

Необходимо отметить, что LivingSocial, как и многие другие интернет-сервисы, не хранит пароли пользователей и другую критичную информацию в открытом виде, а подвергает ее хэшированию – в случае LivingSocial, по криптографическому алгоритму SHA 1, рекомендованному, в частности, для госучреждений в США. Т. е. расшифровать эти данные является весьма трудоемкой и продолжительной задачей.

Практически во всех случаях кибератак на популярные сервисы ( T witter, Facebook, Linkedin и др.), злоумышленникам удалось получить только зашифрованные данные или хэши паролей, требующие время на расшифровку – тем большее, чем более криптостойким был изначальный хэш-алгоритм.

Поэтому можно сказать, что подобные атаки рассчитаны на пользователей, которые не успеют сменить пароль и, таким образом, поставят себя под удар. Особую опасность данный инцидент представляет для пользователей, применяющих один пароль для разных сервисов – например, и для LivingSocial, и для доступа к почтовому ящику. Если они не успеют оперативно сменить пароли, то рискуют понести серьезный ущерб, в т.ч. и финансовый.

Вряд ли мы в ближайшее время узнаем точную цифру пользователей, к аккаунтам и почте которых злоумышленники действительно смогут получить доступ. Можно лишь сказать, что 50 млн похищенных аккаунтов подразумевает огромное количество потенциальных жертв, многие из которых, к сожалению, станут реальными.

Чтобы обезопасить собственные данные от взлома, необходимо раз в месяц в профилактических целях менять пароли от всех ключевых сервисов (в первую очередь от почты, социальных сетей и банковских аккаунтов), при этом не используя один и тот же пароль».