Přihlásit se

Mall.cz čelil hackerskému útoku. Resetuje hesla

Můj názor | zobrazit i odpovědi (trvale) | řadit od nejstarších Komentáře nyní řadíme od nejnovějších.
Tímto odkazem můžete řazení změnit. | nových názorů: 32

Názory k článku

krtek4

28. 08. 2017 16:40

Podle me se k tomu postavili dobře. Říká se, že se to týká staré databáze ještě z doby, kdy to vlastnil Fryc a spol (ti na to minimálně rok pred prodejem provozně uplně kašlali...).
Navíc je aktivní krok podle mě možná nepopulární, ale rozhodně lepší než to co nedávno v podobné situaci předvedl třeba T-mobile, kterej to asi tyden tajil, pak chvíli mlžil a pak to teprve přiznal.

Souhlasím | Nesouhlasím | Odpovědi (1)

MOJE JMÉNO

28. 08. 2017 14:48

Žasnu nad celou diskusí odborníků, ve které padají slova, která jsem nikdá neslyšel . Nějak se ale zapomíná na to, že doba je prostě taková a krádež osobních údajů bude čím dál běžnější, ale zároveň i mnohem sofistikovanější. Nějak ale pořád nemohu pochopit tu hysterii kolem takové blbosti u běžného eshopu. Všechny údaje, které jsou na tomto webu mnou uvedeny, jsou v podstatě dohledatelné i ve veřejných zdrojích, takže je mi celkem jedno, že tam "přišli" nějací hekřáci. Je to eshop, není to má banka. Takže přeju méně paranoi a vášní a více klidu

Souhlasím | Nesouhlasím | Odpovědět

regine

28. 08. 2017 11:51

Ten den jsem se nemohl přihlásit (po asi 2 měsících, tedy živý účet). Nikde žádné upozornění, zaslání mailu. Tak jsem nejjednodšuji zažádal o obnovu hesla. Došlo do schránky asi po 4 hodinách. Obnoveno.
ALE PROČ se neobtěžují zobrazit, že jsou nedostupní! Kdysi pře desítkou let to bývalo běžné.
http://www.bdnsw.gov.bn/PublishingImages/page-und...

Souhlasím | Nesouhlasím | Odpovědět

Anonymizovaný | 28. 08. 2017 08:51

Naštěstí mám pro každou službu unikátní e-mail i heslo Ale jako zabezpečení mají hodně chabé. Nechápu, proč třeba EU nenařídí aby na všech webech, kde se zadávají osobní údaje, byla informace o tom, jakým způsobem jsou skladována. Největší sranda je, když se pak člověk někde zaregistruje a oni mu ještě pošlou kopii hesla do e-mailu "pro jistotu" Z prohlížeče by cokoliv, co je v nemělo odcházet z uživatelova PC v plaintextu, to by zase mohli zařídit tvůrci prohlížečů a udělat kolem takových nebezpečných formulářů, nějaké pěkné Las Vegas efekty...

Souhlasím | Nesouhlasím | Odpovědi (9)

Anonymizovaný | 28. 08. 2017 08:53

*CENZURA: Z prohlížeče by cokoliv, co je v input type = password nemělo

Souhlasím | Nesouhlasím | Odpovědět

Vindis

28. 08. 2017 09:36

"odcházet z uživatelova PC v plaintextu". A jak server pak ověří identitu?
Teoreticky by to šlo takto, prohlížeč heslo zahashuje a pošle serveru. Server pak pracuje jen s hashem, který pro něj bude vlastně "heslo" a to si také zahashuje. Tedy takový dvojitý hash. Jenže je v tom háček. Útočníkovi by stačil jen ten hash, co posílá prohlížeč. Nepozná sice původní heslo, ale s tím hashem by se tak jako tak dostal k datům. Tím bychom si moc nepomohli. Zvláště pak, když se zjistí, že použitý hashovací algoritmus prohlížeče bude kompromitován (jako u MD5, SHA1). Stačil by změnit algoritmus, ale to znamená jiný hash, jiné "heslo".
V principu cokoli se pošle z prohlížeče na server se dá zneužit, takže je tak nějak zbytečné se pokoušet o vylepšení formuláře.
Na tohle aktuálně stačí jediné - šifrovaný přenos HTTPS, kdy obsah formuláře zná jen prohlížeč a server.

Souhlasím | Nesouhlasím | Odpovědět

Anonymizovaný | 28. 08. 2017 09:58

No to sice ano, ale takovy hash nikdo nebude pridavat do slovnikovych utoku ;)

Souhlasím | Nesouhlasím | Odpovědět

Vindis

28. 08. 2017 10:18

Myslíš? :) Jakmile zjistí hashovací algoritmus, tak jednoduše rozšíří slovník o zahashované hesla z již existujícího slovníku. Beztak uživatelé budou stále volit jednoduchá hesla. Tak není problém vedle "12345" přidat i odpovídající hash třeba "8cb2237d0679ca88db6464eac60da96345513964".

Souhlasím | Nesouhlasím | Odpovědět

Anonymizovaný | 28. 08. 2017 10:13

Navic staci vygenerovat na strane serveru par znaku pri generovani prihlasovaciho formulare a tyto pak zamichat do onoho hashe a na strane serveru overit jejich pritomnost. pak bude vzdy pro stejne heslo unikatni hash. Co se HTTPS týče, samozřejmě je to nejlepší řešení, ale mnoho lidí odradí to, že jim cena hostingu jednonásobně vzroste.

Souhlasím | Nesouhlasím | Odpovědět

Jirka Vejražka

28. 08. 2017 10:27

Muzes to prosim popsat detailneji? Nejak nejsem schopen pochopit, jak to myslis. A dost by mne to zajimalo. Idealne s nejakym prikladem. Diky!

Souhlasím | Nesouhlasím | Odpovědět

Vindis

28. 08. 2017 10:47

Jak jsem pochopil, tak jde o princip solování.
Server náhodně vygeneruje znaky (salt, token) a ten pošle spolu s formulářem. V současné době na tom funguje CSRF. Před odesláním formuláře se heslo zahashuje. Jelikož formulář obsahuje salt, tak hash ještě osolí. Na serveru se pak vytáhne hash z DB, osolí dočasně uloženým saltem a porovná. Onen salt existuje pouze v daném požadavku, takže hash hesla z prohlížeče je pokaždé jiný.
To by šlo, ale stále je tu problém s tím dalším. Nelze předpokládat, že hashovací algoritmus prohlížeče bude existovat věčně. Jakmile se změní, změní se i hash a celý je to pak bude k ničemu, protože server nebude vědět, že se použil jiný algoritmus.

Souhlasím | Nesouhlasím | Odpovědět

Jirka Vejražka

28. 08. 2017 13:21

Nejak mi porad unika, jak se tim komplikuje zivot utocnikovi, ktery vidi tu plaintext komunikaci. A ktery tim padem vidi i ten jednorazovy "token".

Souhlasím | Nesouhlasím | Odpovědět

Vindis

28. 08. 2017 13:33

Takhle nijak :) Komplikace je pouze v tom, že musí luštit o trošku déle. Navíc ten hash nemůže použít vícekrát. Tak si musí dát práci získáním toho "tokenu".

Souhlasím | Nesouhlasím | Odpovědět

duhovnik

28. 08. 2017 08:39

píšeme Vám, protože Vaše původní heslo k Mall.cz už nefunguje. Pro jistotu jsme se rozhodli ho z bezpečnostních důvodů zrušit, stali jsme se totiž obětí neoprávněného přístupu neznámého útočníka k některým zákaznickým údajům. Aby Váš účet nikdo nezneužil, neváhali jsme a neprodleně jej zablokovali.

Souhlasím | Nesouhlasím | Odpovědět

fatman

28. 08. 2017 07:20

Já tam nakoupil před lety asi dvakrát. Takže když přišel mail, resetoval jsem heslo a následně účet zrušil.

Souhlasím | Nesouhlasím | Odpovědi (1)

Radek Holeček

28. 08. 2017 06:30

To je zase vyčítání, že někdo udělal něco blbě.
V první řadě je třeba pochválit, že se k tomu postavili čelem a přiznali to. Určitě je mraky e-shopů a jiných webů, které taky někdo napadl a zákazníkům se to neobtěžovali sdělit.

Souhlasím | Nesouhlasím | Odpovědět

Jan Smetana

27. 08. 2017 22:11

https://twitter.com/spazef0rze/status/9017937...
"Mall.cz někdo hacknul. Napsali hezké upozornění a vyresetovali hesla. Jen škoda, že nezabezpečili i stará hesla "

Souhlasím | Nesouhlasím | Odpovědět

N8GD

27. 08. 2017 22:05

Proč mi to přišlo, když mám heslo z roku 2014?

Souhlasím | Nesouhlasím | Odpovědět

Karel Veselý

27. 08. 2017 21:10

Jo, už mi od nich přišel mail, nejdřiv jsem myslel že je to ňákej podvod, tak jsem šel na jejich stránky a neklikal jsem na odkaz v mailu. Nakupoval jsem tam naposled asi před 3 rokama.

Souhlasím | Nesouhlasím | Odpovědi (1)

David Lanc (dragokazov07)

27. 08. 2017 20:21

Pokud je to pravda, tak doufám, že ÚOOÚ jejich dobrou práci po zásluze odmění.

Souhlasím | Nesouhlasím | Odpovědi (1)

Milan Král (Krakatoa)

27. 08. 2017 20:19

Tak jedna věc je to, že se jim tam někdo naboural, to dělají něco špatně, když se jim tam někdo naboural, ne? A to jim pak může čmajznout data, ke kterým se nabouře. Třeba hashe hesel jsou už jen takový bonus.
Druhá věc je jak ukládají hashe hesla a na ní nechápu dvě věci, proč to asi "normálně" ukládají až od loňska, netuším na čem jim to jede, ale třeba php má už to "normální" ukládání ve verzi 5.5.0, která tu byla v roce 2013, tedy před 4 lety... A jednak nechápu, proč to nemění za letu, tedy pokud změní hashovací proces tak proč při novém přihlášení uživatele s kontrolou oproti starému hashi ten hash nesmažou a nevytvoří jej v novém algoritmu.

Názor byl 1× upraven, naposled 27. 08. 2017 20:22

Souhlasím | Nesouhlasím | Odpovědi (2)

Pavel Smolík

27. 08. 2017 20:19

V této diskuzi jsem ráno měl u tohoto komentáře negativně vyznívající text ("měli to při přihlášení přehashovat") a hodnocení tohoto komentáře mělo poměr hlasů cca 24:1, najednou se zcela obrátil. Když si pročtu další komentáře, jsem si téměř stoprocentně jist, že hodnocení bylo uměle manipulováno a nejspíš zde zafungovali nějací mallboti: tedy že tu někdo z Mallu proklikal hodnocení tak, aby vycházeli pro ně příznivěji.Samozřejmě nějaké plus nebo minus není důležité, ale zatímco nabourat mohou každého, chyba s nepřehashováním se stane, tohle je už ubohost.

Názor byl 2× upraven, naposled 28. 08. 2017 18:00

Souhlasím | Nesouhlasím | Odpovědi (4)

Milan Král (Krakatoa)

27. 08. 2017 20:21

Přesně to samé jsem teď napsal pod tebou, taky nechápu proč to nepřehashovali, taky mě ta informace hned bouchla do hlavy

Souhlasím | Nesouhlasím | Odpovědět

Mi.Chal

27. 08. 2017 20:45

Co když se někdo roky nepřihlásil?

Souhlasím | Nesouhlasím | Odpovědět

Milan Král (Krakatoa)

27. 08. 2017 20:51

Tak by tam měl furt ten starý hash. A problém by se tedy týkal třeba těch, co se nepřihlásili od roku 2012 a tedy nejspíš naprosto zanedbatelná část uživatelů.
Každopádně problém hashování hesla je až druhotný problém, ten hlavní je, jak to že se jim tam někdo vůbec naboural.

Souhlasím | Nesouhlasím | Odpovědět

Pavel Smolík

28. 08. 2017 06:36

Já tam nakupuji minimálně jednou ročně, takže mě by se to netýkalo a dnes týká. Konkrétně v mém případě tedy selhali a tou nedbalostí mé heslo uniklo.Tragédie to není, ale zamrzí. Asi by mělo být normou, že u každého vyplňovaného hesla bude informace, jak s ním kdo naloží. Pořád ještě ho občas někdo ukládá jako plain...

Souhlasím | Nesouhlasím | Odpovědět

Zasílat názory e-mailem: Zasílat názory Můj názor