Hlavní navigace

Ze serveru Vareni.cz unikla uživatelská data, server 7 dní mlčel

Sdílet

Karel Wolf 11. 6. 2019

Ze serveru Vareni.cz unikla uživatelská data. Podle bezpečnostního experta Michala Špačka, který na incident upozornil, ‏ale začal server rozesílat notifikační emaily o úniku dat až 7 dní po incidentu a bezděky v nich navíc přiznal zásadní pochybení ve způsobu uložení dat.

„Vareni.cz rozesílá e-maily o úniku dat. Píše se v nich, že v pondělí 3. 6. 2019 odhalili neautorizovaný přístup do databáze, která obsahovala uživatelská data včetně hesel. V e-mailech dále stojí, že tato hesla nebyla uložena v čitelné podobě, ale kryptograficky chráněna pomocí hashovací funkce SHA1 a že technický tým intenzivně pokračuje v důkladné analýze vzniklé situace, protože bezpečnost uživatelských dat je pro server na prvním místě. Dobrá práce Vareni.cz, napsat, že jste hesla ukládali zcela špatně a nebezpečně (a nazvat to navíc ‚kryptograficky chráněna‘) a přidat, že bezpečnost dat uživatelů je u vás na prvním místě, svědčí o čemkoli jiném, než o snaze data ochránit. Sorry jako. Vždy, když má někdo potřebu vám tvrdit, že bezpečnost dat mají na prvním místě a opak je pravdou, jsem fakt naštvanej,“ říká Špaček na Facebooku k obsahu e-mailu.

Kromě pozdního informování uživatelů podle něj spočívá problém především ve způsobu zabezpečení hesel formou zahashování pomocí hashovací funkce SHA-1. Ta patří mezi takzvaně rychlé hashe a je pro hashování hesel naprosto nevhodná. Pokud se totiž útočník již jednou dostane k databázi zahashovaných hesel (a kopii Salt), stačí mu spustit útok hrubou silou a díky schopnosti generovat miliardy hashí za vteřinu je jen otázkou času, kdy na hesla přijde.

SHA-1 také už poměrně dlouho není považována za bezpečnou z důvodu existence tzv. kolizní funkce. Tato slabina SHA-1 byla poprvé teoreticky představena před téměř 13 lety a v roce 2017 Google úspěšně demonstroval první reálný útok.

Economia, pod kterou portál patří, se nařčení z pochybení z jejich strany brání: „Veškeré kroky směrem k uživatelům jsme provedli okamžitě, hned, jakmile to bylo možné. K resetu hesel došlo ve středu 5. června. Informace o incidentu jsme umístili na viditelné místo, a to vedle přihlašovacího boxu, tak aby byly pro uživatele nepřehlédnutelné. Zároveň jsme únik dat nahlásili na Úřad pro ochranu osobních údajů. Další komunikace proběhla 10. a 11. června, kde jsme zasílali uživatelům mail s potřebnými informacemi a instrukcemi. Pro tento účel máme také zřízenou mailovou adresu: dotazy@vareni.cz, kde uživatelům poskytujeme podporu.Vedle toho náš vývojářský tým pracuje na vylepšení ochrany uživatelských dat,“ řekl dodatečně k incidentu pro Lupu Jakub Kašpar ředitel komunikace a marketingu vydavatelství Economia. 

Celý e-mail v původním znění přikládáme níže:

Dobrý den,

bezpečnost Vašich dat je pro nás velmi důležitá, proto bychom Vás rádi informovali o vzniklé situaci, která se bohužel týká i Vašeho uživatelského účtu na Vaření.cz.

V pondělí 3. 6. 2019 jsme odhalili neautorizovaný přístup do naší databáze, která obsahovala uživatelská data včetně hesel. Tato hesla nebyla uložena v čitelné podobě, ale kryptograficky chráněna pomocí hashovací funkce SHA1.

Přesto jsme z preventivních důvodů přistoupili k uzamknutí Vašeho účtu. Žádáme Vás proto o vytvoření nového hesla. Stačí se přihlásit k Vašemu účtu na Vaření.cz a systém Vás následně vyzve k jeho obnově. 

Přihlásit se můžete pomocí následujícího odkazu níže.
 
Pokud jste stejné heslo jako na Vaření.cz používali také v dalších službách, doporučujeme jej preventivně změnit i tam.

Chtěli bychom Vás ujistit, že náš technický tým velmi intenzivně pokračuje v důkladné analýze vzniklé situace. Cílem je detailně porozumět veškerým aspektům incidentu, abychom do budoucna podobným situacím zamezili, protože bezpečnost Vašich dat je pro nás na prvním místě.
 
Za vzniklé komplikace se omlouváme.

Pokud máte jakékoliv dotazy, neváhejte kontaktovat náš support team na e-mailové adrese dotazy@vareni.cz.

Za tým Vaření.cz

Lucie Balážová“

Dále čtěte: Centrum.cz při migraci dat smazalo části uživatelů starší e-maily

Našli jste v článku chybu?
  • Aktualita je stará, nové názory již nelze přidávat.
  • 11. 6. 2019 13:16

    Bleble

    Vyjádření "bezpečnostního experta" Michala Špačka je méně profesionální, než vystupování zastoupení Vareni.cz a postupování jejich týmu po zjištění problému...

  • 11. 6. 2019 14:54

    bez přezdívky

    To je vám taková zapeklitá otázka. Vezměme si tenhle jeho příspěvek:

    1. Má pravdu, že SHA-1 není na hesla moc dobrá. Bez soli je to prakticky plaintext, se solí to sice ještě obstojí, ale bylo by dobré to změnit. HW stále nestačí na to, aby někdo vylouskal v dohledné době desítky tisíc uniklých hashů, ale na pár hesel by už stačit mohl.
    2. Odkazované informace o kolizích jsou také pravdivé. Zveřejněné a popsané skutečnými odborníky.

    Potud dobré. Jediné, co trochu znalého člověka zarazí je to, proč uvádí tyhle dvě věci? Ony spolu totiž nesouvisí. Bod 1 je o tom, jak snadné je podle hashe a soli uhodnout heslo. Bod 2 je o tom, jak snadné je vytvořit dva bloky dat, které budou mít různý obsah, ale hash bude stejný. Kolizní funkce vám s bodem 1 nepomohou, jejich (ne)existence na bod 1 nemá vliv.

    Nechci generalizovat, protože jinou práci pana Špačka moc neznám. Jen si chci postesknout, že podobných článků a zpráv je v posledních letech stále více - sice dobře ozdrojovaných, ale nesouvisejícími věcmi. Skoro mám až pocit, že už ty texty generuje nějaká AI která bez pochopení obsahu jen remixuje potvrzené informace podle klíčových slov. "SHA-1 near hledat" jako "SHA-1 near hledat", nebo ne?

  • 20. 6. 2019 13:05

    Pivotal (neregistrovaný) ---.130.broadband2.iol.cz

    Akorát nějak se z celé aféry vypařilo, jak data byly vyčteny a co přečetl, řekl bych že u podobných úniků si dotyčný vyčte co všechno půjde, takže co třeba i další údaje k daným účtům...

    Zajímalo by mě to, jak je to s tou děravostí SHA1, když je použitá sůl. Jestli to není jen přehánění. Technicky data byla uložená s hashem a solí, ale otážka je nakolik to SHA1 táhne ke dnu.

    Mimochodem neexistuje ještě nějaký další trik nebo koncept, který by podobné úniky učil nepoužitelnými (neodhadnutelné heslo, více kryptografických funkcí, pravidelné přehashování)? Například nějak drobnost v reprezentaci dat...

  • 13. 6. 2019 8:08

    lzap

    Vice lidi tady zminuje sul. Bohuzel pridanim soli do procesu se vubec nic neresi, pouze se znemozni primemu rozlousknuti z rainbow tables. Stale je to ta sama hardwarove akcelerovana funkce kterou si muzete za par korun spustit na farme stroju v cloudu a vylouskat z toho milion hesel za noc.

    Spravne reseni je pouze jedno. Pouzit hashovaci funkci primo urcenou k ukladani hesel. Jedna takova nejpouzivanejsi se jmenuje bcrypt.

    Ocenuji praci Michala i pres ty ustepacne poznamky lidi co jsou bud nekompetentni, nebo vareni.cz fans. Je potreba o tom mluvit a tim ze se to dostane do medii si o tom precte treba nejaky jiny programator nebo programatorka a nasadi bcrypt.

    13. 6. 2019, 08:12 editováno autorem komentáře