Hlavní navigace

Mall.cz resetuje hesla, k části databáze se mohli dostat hackeři [AKTUALIZOVÁNO]

David Slížek

„Dobrý den, píšeme Vám, protože Vaše původní heslo k MALL.cz už nefunguje.“ Internetový obchod Mall.cz části uživatelů rozesílá e-mail, ve kterém je informuje o resetu hesla. Důvodem je hackerský útok a to, že Mall neměl část hesel dostatečně zabezpečenou.

„Mall.cz zaznamenal pokus o narušení bezpečnosti, který se dotkl starší databáze uživatelských účtů, jež neměly dostatečné silné heslo. Bezpečnostní tým se proto rozhodnul plošně resetovat část hesel k zákaznickým účtům, aby zabránil jejich možnému zneužití,“ informoval mluvčí internetové nákupní galerie Jan Řezáč.

Aktualizace 23:15 – Podle informací, které se před měsícem objevily na Pastebinu, Mallu zřejmě unikly údaje o více než 750 tisících účtech, informoval na Twitteru bezpečnostní expert Michal Špaček:

Data měla být k dispozici ke stažení na serveru Uloz.to. V tuto chvíli už ale zveřejněná adresa vrací jen odpověď „soubor byl smazán“. Pravdivost zprávy se tak nedá ověřit. 

Aktualizace 28. 8. 10:00 – Mluvčí Mallu Lupě potvrdil, že se úniku skutečně týká přibližně 750 tisíc e-mailových adres. Komentovat archiv zveřejněný na Uloz.to ale s odkazem na vyšetřování odmítl.

E-shop podle něj chystá pro uživatele možnost, jak si budou moci ověřit, zda se útok týká konkrétně jejich účtu. „Aktuálně pro naše zákazníky připravujeme aplikaci, která bude k dispozici na našich stránkách, na které si budou moci ověřit, zda se problém týká právě jejich účtu. Spuštěna bude nejpozději v průběhu zítřka,“ slibuje Jan Řezáč.

Jak resetovat heslo

V praxi resetování vypadá tak, že se uživatel po zadání svých přihlašovacích údajů prostě nemůže ke svému účtu přihlásit a musí prostřednictvím odkazu Zapomněl(a) jsem heslo požádat o zaslání odkazu pro vygenerování nového hesla. Mall také postiženým uživatelům rozesílá e-maily, ve kterých je na problém upozorňuje (pokud jste jej zatím nedostali, může teprve přijít, firma je rozesílá postupně).

„Pokud jste svůj účet zakládali v roce 2015 a později, tato situace se vás s největší pravděpodobností netýká, narušení bezpečnosti se vztahuje na starší databázi zákaznických účtů,“ doplňuje firma také na stránce s otázkami a odpověďmi, kterou pro uživatele zřídila. Klíčovým údajem tedy zřejmě je datum založení účtu, a ne datum, kdy si uživatel naposledy heslo změnil. Podle našich zkušeností totiž Mall hesla resetuje i uživatelům, kteří si poměrně nedávno heslo změnili na nové.

Pokud na Mallu platíte prostřednictvím platební karty, nemusíte se bát, že by unikly i její údaje, ubezpečuje firma. „V klientském centru MALL.cz ani nikde jinde nejsou ukládány údaje, přes které je možné provést platbu.“ K údajům, které mohly uniknout, patří podle Mallu jméno, příjmení, e-mail, heslo a u části uživatelů i telefonní čísla.

Pokud ale používáte stejné heslo jako na Mall.cz i na jiných službách (což byste dělat neměli), měli byste si jej pro jistotu změnit i na nich.

Bezpečně až od roku 2016

Firma zatím zjišťuje, jak vážný útok byl a zda došlo i ke skutečné kompromitaci některých účtů. Podrobné informace ale v současnosti nechce zveřejňovat s odkazem na to, že vše vyšetřuje a bude podávat trestní oznámení. Mall také podle mluvčího kontaktoval Úřad na ochranu osobních údajů.

Podle oficiálního vysvětlení Mallu byla nejspíš ohrožena starší databáze z roku 2014. „Část z ní obsahovala jednoduchá hesla, která neodpovídají bezpečnostním zásadám. V systému dochází k tzv. ‚hashování hesel‘, kdy jsou hesla uložena v zakódované podobě. Dotčená databáze byla zakódována starším a již nepoužívaným způsobem, který útočníkovi umožnil jednodušší hesla rozkódovat,“ doplňuje mluvčí. 

Z vyjádření tak vyplývá, že Mall.cz začal hesla lépe zabezpečovat až od loňského podzimu. „Od roku 2016 Mall.cz pro ukládání a šifrování zákaznických dat využívá jiný, bezpečnější způsob, který splňuje moderní bezpečnostní standardy a prolomení by u něj nemělo hrozit,“ říká mluvčí.

Podrobnosti firma uvádí na blogu. Mall nejdřív používal k šifrování hesel algoritmus MD5, od listopadu 2012 přešel na SHA1 + unikátní sůl. Až v říjnu 2016 nasadil bcrypt. „Do roku 2012 byly údaje hashovány metodou MD5, která dnes již není považována za bezpečnou. Většina prolomených hesel pochází právě z doby, kdy byla používána tato metoda. U starších účtů jsme proto změnili heslo a automaticky je převedli na zmiňovanou nejnovější šifrovací hashovací metodu bcrypt, kterou aktuálně chráníme přístupové údaje všech účtů.“

Našli jste v článku chybu?