Bezpečnost | Hacking | Únik dat

Už to opravdu není legrace. Obřímu řetězci hotelů Marriott někdo vykradl databáze

  • Před pár dny to byla Quora a teď Marriott
  • Obřímu řetězci hotelů někdo vykradl databáze
  • Je to velké, až 500 milionů klientských dat včetně bankovních karet

Je to jen pár dnů, co jsem si postěžoval na neschopnost velkých internetových služeb definitivně zatočit s obrovskými úniky uživatelských dat z jejich databází. Tehdy to od technologických webů schytala Quora, která se přiznala ke ztrátě neuvěřitelných 100 milionů záznamů o registrovaných návštěvnících.

Už jsme si zvykli, že o podobné události napíšeme párkrát do roka, realita je však mnohem horší a docela názorně ji ilustruje třeba interaktivní infografika World‘s Biggest Data Breaches & Hacks, která na vertikální časové ose a ve formě bublin zobrazuje ty největší úniky dat za posledních 14 let.

02ff6273-8468-4ba5-9404-455e75687729
Známé úniky dat v letech 2006-2008
76397474-72d6-4af3-94c3-adf0cb542ef8
A jen letos...

Zatímco v letech 2004-2007 se jednalo jen o pár případů ročně, dnes je situace do jisté míry katastrofální. Ostatně při vykreslování infografiky se lehce zapotí i současný laptop s Core i5, takže dejte prohlížeči chvíli čas.

Stručně řečeno, posledních několik let dramaticky stoupá počet podobných útoků, a vzhledem k tomu, že se společně s internetem nafukují i jednotlivé webové služby, nejedná se už o krádeže databází se stovkami tisíc záznamů, ale se stovkami milionů!

Šifrovaná čísla platebních karet až 500 milionů turistů zvesela poletují internetem

Zatímco jsem psal zprávičku o Quoře, jeden z největších světových hotelových řetězců – Marriott – oznámil, že si neznámí útočníci zvesela četli databáze jednoho z jeho rezervačních systémů rovnou dlouhé čtyři roky.

Výsledek? Největší krádež uživatelských informací od Yahoo v roce 2014. A co je horší, tentokrát nejde jen o obvyklé údaje jméno, příjmení, e-mail a zahashované heslo, ale také o další citlivé informace, fyzické adresy a nakonec i (sice zakódovaná) čísla a údaje o platnosti platebních karet těch, kteří si před 10. zářím letošního roku rezervovali ubytování v některém z hotelů dceřiného řetězce Marriottu – Starwood Hotels and Resorts Worldwide.

Případ na blogu Naked Security rozebrali bezpečnostní experti ze společnosti Sophos

Pod jeho křídla patří třeba známé hotely Sheraton, W Hotels, Westin… A hromada dalších značek pro obchodní cestující i turisty. Někde tam poletuje i několik mých vlastních rezervací, neboť v podobných hotelech jsou často ubytovaní třeba návštěvníci nejrůznějších konferencí.

Okradli mě o data?

Ukradené databáze už roky monitoruje Troy Hunt a na webu Have I been pwned nabízí vyhledávač, ve kterém si můžete zkontrolovat, zdali nefigurujete v některém z nich. Dnes služba eviduje 5,6 miliard ukradených účtů z 333 webů. Aktuálně přibyl třeba i slovenský Bombuj.eu.

00c5521e-afce-4246-a569-cd10283d4ac2
Vyhledávač úniků zkontroluje, jestli v některém z nich nefiguruje i váš e-mail

Web nabízí také funkci Notify me. Po vyplnění e-mailu vám automat zašle zprávu, pokud se vaše adresa vyskytne v některém z čerstvých úniků.

Sečteno a podtrženo, záškodníci se dostali k balíku dat až o 500 milionech klientů některého z těchto hotelů v letech 2014-2018. A i když se mateřský Marriott brání, že zdaleka nejcitlivější čísla platebních karet byla chráněná 128bitovou šifrou AES, nic to nemění na tom, že tato relativně tichá aféra, o které se na rozdíl od Facebooku příliš nepsalo, patří zdaleka k těm nejzávažnějším v poslední dekádě.

Ruku na srdce, zde si útočníci mohli přijít k opravdu zajímavějším datům než dříve.

Opět děravý Facebook

Bohužel, aféra Marriottu, kterou mimochodem firma tutlala už od září, nebyla jediná. Teprve před pár dny vyšel najevo další možný únik dat ze skomírající sítě Google Plus, který potvrdil, že Google opravdu udělá nejlépe, když ji definitivně uzavře (a kvůli tomuto útoku dokonce dříve, než bylo původně v plánu).

A konečně minulý pátek se ozval také Facebook, který 14. prosince na svém blogu pro vývojáře publikoval článek se zdánlivě neškodným nadpisem Notifying our Developer Ecosystem about a Photo API Bug.

Oč se jednalo? Během letošního září mohly záškodnické aplikace kvůli zmíněné chybě dva týdny stahovat fotografie necelých 7 milionů nešťastníků. A to nejen snímky publikované na Facebooku veřejně, ale i ty soukromé a dokonce nepublikované (ale nahrané na největší sociální síť dneška).

MyHeritage, British Airways, Reddit a další

Kdo to ještě letos pořádně schytal? Na jaře to byla genealogická služba MyHeritage (92 milionů uniklých účtů) a zkraje září aerolinky British Airways (380 tisíc účtů). S bezpečnostními problémy se potýkal také Reddit, Wordpress, který si ani letos nevěděl rady s pluginy plnými mallwaru, no a pak tu byla celá řada dalších a už méně známých hráčů z USA a dalších končin.

Nejsem na Pastebinu?

Dalším způsobem, jak zkontrolovat, jestli váš e-mail nebo i jméno nefiguruje v některé z ukradených (a poté zveřejněných) databází, je Pastebin. Jedná se o primitivní úložiště pro data v prostém textu, které se těší velké oblibě právě při zveřejňování ukradených databází v SQL (v prostém textu).

b32df0e7-8f46-4bee-8793-78669161723f
Pastebin, vstupní bod do světa sociálního hackingu a sbírání e-mailových adres pro spamboty. Těch českých tam jsou v různých kopiích miliony.

Pastebin má fulltextový vyhledávač, takže když do něj zadáte třeba @seznam.cz, zobrazí se vám všechny textové soubory, které nejspíše obsahují e-maily z největší české poštovní služby.

Na internetu se dnes podle některých statistik pohybují více než čtyři miliardy duší, které zabíjejí čas na bezmála dvou miliardách webů (stránek s vlastní doménou). Z tohoto úhlu pohledu se zvyšující se počet úniků dat nemusí jevit tak hrozivě, nicméně alarmující je především to, že data stále unikají i těm největším hráčům, kteří by měli mít k dispozici také nejlepší know-how a finanční zdroje k tomu, aby případné útočníky dokázali technologicky předstihnout.

Za těch posledních 10-15 let se totiž vedle zvyšujícího se počtu podobných útoků změnila ještě jedna věc. Krádež elektronické identity dnes může leckoho bolet mnohem více, než třeba ztracený doklad. Ten nahlášením rychle zablokujete a necháte si vystavit nový. Avšak průnik do jednoho z velkých systémů (Facebook, Apple, Google, Microsoft) by mohl být při jejich velikosti už opravdu devastující.

Diskuze (48) Další článek: Pininfarina Battista: elektrického „trhače asfaltu“ požene vpřed 1900 koní

Témata článku: , , , , , , , , , , , , , , , , , , , , , , , , ,