Ze serveru Vareni.cz unikla uživatelská data. Podle bezpečnostního experta Michala Špačka, který na incident upozornil, ale začal server rozesílat notifikační emaily o úniku dat až 7 dní po incidentu a bezděky v nich navíc přiznal zásadní pochybení ve způsobu uložení dat.
„Vareni.cz rozesílá e-maily o úniku dat. Píše se v nich, že v pondělí 3. 6. 2019 odhalili neautorizovaný přístup do databáze, která obsahovala uživatelská data včetně hesel. V e-mailech dále stojí, že tato hesla nebyla uložena v čitelné podobě, ale kryptograficky chráněna pomocí hashovací funkce SHA1 a že technický tým intenzivně pokračuje v důkladné analýze vzniklé situace, protože bezpečnost uživatelských dat je pro server na prvním místě. Dobrá práce Vareni.cz, napsat, že jste hesla ukládali zcela špatně a nebezpečně (a nazvat to navíc ‚kryptograficky chráněna‘) a přidat, že bezpečnost dat uživatelů je u vás na prvním místě, svědčí o čemkoli jiném, než o snaze data ochránit. Sorry jako. Vždy, když má někdo potřebu vám tvrdit, že bezpečnost dat mají na prvním místě a opak je pravdou, jsem fakt naštvanej,“ říká Špaček na Facebooku k obsahu e-mailu.
Kromě pozdního informování uživatelů podle něj spočívá problém především ve způsobu zabezpečení hesel formou zahashování pomocí hashovací funkce SHA-1. Ta patří mezi takzvaně rychlé hashe a je pro hashování hesel naprosto nevhodná. Pokud se totiž útočník již jednou dostane k databázi zahashovaných hesel (a kopii Salt), stačí mu spustit útok hrubou silou a díky schopnosti generovat miliardy hashí za vteřinu je jen otázkou času, kdy na hesla přijde.
SHA-1 také už poměrně dlouho není považována za bezpečnou z důvodu existence tzv. kolizní funkce. Tato slabina SHA-1 byla poprvé teoreticky představena před téměř 13 lety a v roce 2017 Google úspěšně demonstroval první reálný útok.
Economia, pod kterou portál patří, se nařčení z pochybení z jejich strany brání: „Veškeré kroky směrem k uživatelům jsme provedli okamžitě, hned, jakmile to bylo možné. K resetu hesel došlo ve středu 5. června. Informace o incidentu jsme umístili na viditelné místo, a to vedle přihlašovacího boxu, tak aby byly pro uživatele nepřehlédnutelné. Zároveň jsme únik dat nahlásili na Úřad pro ochranu osobních údajů. Další komunikace proběhla 10. a 11. června, kde jsme zasílali uživatelům mail s potřebnými informacemi a instrukcemi. Pro tento účel máme také zřízenou mailovou adresu: dotazy@vareni.cz, kde uživatelům poskytujeme podporu.Vedle toho náš vývojářský tým pracuje na vylepšení ochrany uživatelských dat,“ řekl dodatečně k incidentu pro Lupu Jakub Kašpar ředitel komunikace a marketingu vydavatelství Economia.
Celý e-mail v původním znění přikládáme níže:
„Dobrý den,
bezpečnost Vašich dat je pro nás velmi důležitá, proto bychom Vás rádi informovali o vzniklé situaci, která se bohužel týká i Vašeho uživatelského účtu na Vaření.cz.
V pondělí 3. 6. 2019 jsme odhalili neautorizovaný přístup do naší databáze, která obsahovala uživatelská data včetně hesel. Tato hesla nebyla uložena v čitelné podobě, ale kryptograficky chráněna pomocí hashovací funkce SHA1.
Přesto jsme z preventivních důvodů přistoupili k uzamknutí Vašeho účtu. Žádáme Vás proto o vytvoření nového hesla. Stačí se přihlásit k Vašemu účtu na Vaření.cz a systém Vás následně vyzve k jeho obnově.
Přihlásit se můžete pomocí následujícího odkazu níže.
Pokud jste stejné heslo jako na Vaření.cz používali také v dalších službách, doporučujeme jej preventivně změnit i tam.
Chtěli bychom Vás ujistit, že náš technický tým velmi intenzivně pokračuje v důkladné analýze vzniklé situace. Cílem je detailně porozumět veškerým aspektům incidentu, abychom do budoucna podobným situacím zamezili, protože bezpečnost Vašich dat je pro nás na prvním místě.
Za vzniklé komplikace se omlouváme.
Pokud máte jakékoliv dotazy, neváhejte kontaktovat náš support team na e-mailové adrese dotazy@vareni.cz.
Za tým Vaření.cz
Lucie Balážová“
Dále čtěte: Centrum.cz při migraci dat smazalo části uživatelů starší e-maily
