
Obchod Mall.cz od včerejšího rána zasílá klientům varovný e-mail, aby si změnili heslo. „Nedávno jsme zaznamenali pokus o narušení bezpečnosti, který se dotkl starší databáze uživatelských účtů, jež neměly dostatečně silné heslo. Na nic jsme nečekali a rozhodli jsme se plošně resetovat část hesel do zákaznických účtů, abychom zabránili jejich možnému zneužití,“ upřesňuje obchod na svém blogu.
Uživatelé, kterým Mall resetoval heslo, si musí nové vytvořit přes formulář pro obnovení přihlašovacích údejů. Dle vyjádření e-shopu by měly být v ohrožení hlavně účty založené do roku 2014.

Útočníci získali databázi e-mailů a zahashovaných hesel. Hesla v čitelné podobě tedy nemají, ale v závislosti na stáří účtů se k části z nich mohou dostat zpětně. Mall na blogu potvrdil, že hesla do roku 2012 hashoval pomocí jednoduché funkce MD5, od listopadu 2012 nasadil silnější SHA-1 s unikátní solí a od října 2016 používá nejúčinnější bcrypt.
Nejvíce ohrožené jsou tak především účty založené do října 2012 včetně. Provozovatelé s nasazováním novějších metod neprováděli rehashování a pravděpodobně i staré účty s později ručně změněnými hesly byly opět hashovány jen pomocí MD5.
Z Mallu uniklo přes 750 tisíc účtů a data byla ke stažení na Ulož.to. Tahle stránka na Pastebinu to naznačuje: https://t.co/ctuvN1wweY pic.twitter.com/2yHr7g122x
— Michal Špaček (@spazef0rze) August 27, 2017
Mall neprozradil, kolika uživatelů se hack dotkl. Bezpečnostní expert Michal Špaček ale tvrdí, že by to mohlo být až 750 000. Po určitou dobu byla tato data dostupná na Ulož.to.
Mohla být data zneužita? Mall jasně uvádí, že v účtech neukládá žádné údaje o platebních kartách. Unikly jen e-maily a hashe hesel. Pokud se útočníkům podařilo hesla dešifrovat a ještě před resetem ze strany Mallu je využít k přihlášení, mohli si v nastavení účtu zjistit i jména, adresy a telefon uživatelů. Skutečný problém by nastal tehdy, pokud uživatelé stejné přihlašovací údaje používají ve více službách.
Heslo jsem si nezmenil pres vyzvu mallu. Je mi to jednu, temer tam nenakupuju, jen vyjimecne, ucet tam mam jiste od 2012 ne-li driv. Stejne heslo pouzivam i v jinych eshopech. Klidne at si na me nekdo neco objedna, idealne s platbou predem a s dodanim na mou adresu. 🙂
Naštěstí se to dotklo jen mého účtu se starým, nepoužívaným mailem, ani jsem nevěděl, že jej tam mám. Zrušil jsem ho.