Bezpečnost | Hacking | Únik dat

Už to opravdu není legrace. Obřímu řetězci hotelů Marriott někdo vykradl databáze

  • Před pár dny to byla Quora a teď Marriott
  • Obřímu řetězci hotelů někdo vykradl databáze
  • Je to velké, až 500 milionů klientských dat včetně bankovních karet

Je to jen pár dnů, co jsem si postěžoval na neschopnost velkých internetových služeb definitivně zatočit s obrovskými úniky uživatelských dat z jejich databází. Tehdy to od technologických webů schytala Quora, která se přiznala ke ztrátě neuvěřitelných 100 milionů záznamů o registrovaných návštěvnících.

Už jsme si zvykli, že o podobné události napíšeme párkrát do roka, realita je však mnohem horší a docela názorně ji ilustruje třeba interaktivní infografika World‘s Biggest Data Breaches & Hacks, která na vertikální časové ose a ve formě bublin zobrazuje ty největší úniky dat za posledních 14 let.

Klepněte pro větší obrázek
Známé úniky dat v letech 2006-2008
Klepněte pro větší obrázek
A jen letos...

Zatímco v letech 2004-2007 se jednalo jen o pár případů ročně, dnes je situace do jisté míry katastrofální. Ostatně při vykreslování infografiky se lehce zapotí i současný laptop s Core i5, takže dejte prohlížeči chvíli čas.

Stručně řečeno, posledních několik let dramaticky stoupá počet podobných útoků, a vzhledem k tomu, že se společně s internetem nafukují i jednotlivé webové služby, nejedná se už o krádeže databází se stovkami tisíc záznamů, ale se stovkami milionů!

Šifrovaná čísla platebních karet až 500 milionů turistů zvesela poletují internetem

Zatímco jsem psal zprávičku o Quoře, jeden z největších světových hotelových řetězců – Marriott – oznámil, že si neznámí útočníci zvesela četli databáze jednoho z jeho rezervačních systémů rovnou dlouhé čtyři roky.

Výsledek? Největší krádež uživatelských informací od Yahoo v roce 2014. A co je horší, tentokrát nejde jen o obvyklé údaje jméno, příjmení, e-mail a zahashované heslo, ale také o další citlivé informace, fyzické adresy a nakonec i (sice zakódovaná) čísla a údaje o platnosti platebních karet těch, kteří si před 10. zářím letošního roku rezervovali ubytování v některém z hotelů dceřiného řetězce Marriottu – Starwood Hotels and Resorts Worldwide.

Případ na blogu Naked Security rozebrali bezpečnostní experti ze společnosti Sophos

Pod jeho křídla patří třeba známé hotely Sheraton, W Hotels, Westin… A hromada dalších značek pro obchodní cestující i turisty. Někde tam poletuje i několik mých vlastních rezervací, neboť v podobných hotelech jsou často ubytovaní třeba návštěvníci nejrůznějších konferencí.

Okradli mě o data?

Ukradené databáze už roky monitoruje Troy Hunt a na webu Have I been pwned nabízí vyhledávač, ve kterém si můžete zkontrolovat, zdali nefigurujete v některém z nich. Dnes služba eviduje 5,6 miliard ukradených účtů z 333 webů. Aktuálně přibyl třeba i slovenský Bombuj.eu.

Klepněte pro větší obrázek
Vyhledávač úniků zkontroluje, jestli v některém z nich nefiguruje i váš e-mail

Web nabízí také funkci Notify me. Po vyplnění e-mailu vám automat zašle zprávu, pokud se vaše adresa vyskytne v některém z čerstvých úniků.

Sečteno a podtrženo, záškodníci se dostali k balíku dat až o 500 milionech klientů některého z těchto hotelů v letech 2014-2018. A i když se mateřský Marriott brání, že zdaleka nejcitlivější čísla platebních karet byla chráněná 128bitovou šifrou AES, nic to nemění na tom, že tato relativně tichá aféra, o které se na rozdíl od Facebooku příliš nepsalo, patří zdaleka k těm nejzávažnějším v poslední dekádě.

Ruku na srdce, zde si útočníci mohli přijít k opravdu zajímavějším datům než dříve.

Opět děravý Facebook

Bohužel, aféra Marriottu, kterou mimochodem firma tutlala už od září, nebyla jediná. Teprve před pár dny vyšel najevo další možný únik dat ze skomírající sítě Google Plus, který potvrdil, že Google opravdu udělá nejlépe, když ji definitivně uzavře (a kvůli tomuto útoku dokonce dříve, než bylo původně v plánu).

A konečně minulý pátek se ozval také Facebook, který 14. prosince na svém blogu pro vývojáře publikoval článek se zdánlivě neškodným nadpisem Notifying our Developer Ecosystem about a Photo API Bug.

Oč se jednalo? Během letošního září mohly záškodnické aplikace kvůli zmíněné chybě dva týdny stahovat fotografie necelých 7 milionů nešťastníků. A to nejen snímky publikované na Facebooku veřejně, ale i ty soukromé a dokonce nepublikované (ale nahrané na největší sociální síť dneška).

MyHeritage, British Airways, Reddit a další

Kdo to ještě letos pořádně schytal? Na jaře to byla genealogická služba MyHeritage (92 milionů uniklých účtů) a zkraje září aerolinky British Airways (380 tisíc účtů). S bezpečnostními problémy se potýkal také Reddit, Wordpress, který si ani letos nevěděl rady s pluginy plnými mallwaru, no a pak tu byla celá řada dalších a už méně známých hráčů z USA a dalších končin.

Nejsem na Pastebinu?

Dalším způsobem, jak zkontrolovat, jestli váš e-mail nebo i jméno nefiguruje v některé z ukradených (a poté zveřejněných) databází, je Pastebin. Jedná se o primitivní úložiště pro data v prostém textu, které se těší velké oblibě právě při zveřejňování ukradených databází v SQL (v prostém textu).

Klepněte pro větší obrázek
Pastebin, vstupní bod do světa sociálního hackingu a sbírání e-mailových adres pro spamboty. Těch českých tam jsou v různých kopiích miliony.

Pastebin má fulltextový vyhledávač, takže když do něj zadáte třeba @seznam.cz, zobrazí se vám všechny textové soubory, které nejspíše obsahují e-maily z největší české poštovní služby.

Na internetu se dnes podle některých statistik pohybují více než čtyři miliardy duší, které zabíjejí čas na bezmála dvou miliardách webů (stránek s vlastní doménou). Z tohoto úhlu pohledu se zvyšující se počet úniků dat nemusí jevit tak hrozivě, nicméně alarmující je především to, že data stále unikají i těm největším hráčům, kteří by měli mít k dispozici také nejlepší know-how a finanční zdroje k tomu, aby případné útočníky dokázali technologicky předstihnout.

Za těch posledních 10-15 let se totiž vedle zvyšujícího se počtu podobných útoků změnila ještě jedna věc. Krádež elektronické identity dnes může leckoho bolet mnohem více, než třeba ztracený doklad. Ten nahlášením rychle zablokujete a necháte si vystavit nový. Avšak průnik do jednoho z velkých systémů (Facebook, Apple, Google, Microsoft) by mohl být při jejich velikosti už opravdu devastující.

Diskuze (48) Další článek: Pininfarina Battista: elektrického „trhače asfaltu“ požene vpřed 1900 koní

Témata článku: Google, Microsoft, Apple, Web, Facebook, Internet, Bezpečnost, Hacking, USA, Malware, Yahoo, Heslo, Únik dat, Banka, Reddit, E-mail, WordPress, Známý únik, Quorum, Jistá míra, Letošní září, Rezervační systém, Quora, Událost, Neznámý útočník


Určitě si přečtěte

Pojďme programovat elektroniku: Vyzkoušíme IR, ovládneme světýlko přes Bluetooth a vyšleme zprávu na sto metrů

Pojďme programovat elektroniku: Vyzkoušíme IR, ovládneme světýlko přes Bluetooth a vyšleme zprávu na sto metrů

** Budeme odposlouchávat IR ovladač klimatizace ** Vyrobíme laciný rádiový vysílač ** Vyzkoušíme komunikaci pomocí Bluetooth a v pásmu 433 MHz

Jakub Čížek | 20

Vybrali jsme 16 programovatelných hraček a stavebnic pro děti. A vlastně i pro vás

Vybrali jsme 16 programovatelných hraček a stavebnic pro děti. A vlastně i pro vás

** Získejte děti pro matematiku a základy techniky ** Kupte jim hračku nebo stavebnici, které vdechnou vlastní život ** Vybrali jsme 16 stavebnic pro nejmenší caparty i vás samotné

Jakub Čížek | 16

Moral machine: Už víme, zdali je lepší zabít psy, sebe nebo matky na přechodu

Moral machine: Už víme, zdali je lepší zabít psy, sebe nebo matky na přechodu

** Jak byste se sami vypořádali s tramavajovým dilematem? ** Vědci před lety spustili globální dotazník ** Nyní se pochlubili s výsledky

Jakub Čížek | 153

Photolemur 3: Prostě do něj přetáhnete fotky a začne se dít magie. Tedy údajně...

Photolemur 3: Prostě do něj přetáhnete fotky a začne se dít magie. Tedy údajně...

** Je lepší nabušený Photoshop, nebo program s jedním tlačítkem? ** Photolemur si myslí to druhé ** Tento fotoeditor neumí skoro nic, a přitom (skoro) všechno

Jakub Čížek | 21

Porno insider: Jak virtuální realita vstupuje do filmů pro dospělé

Porno insider: Jak virtuální realita vstupuje do filmů pro dospělé

** Pornografie údajně představuje třetinu internetové obsahu a je technologický tahounem ** Do erotického obsahu postupně zasahuje i virtuální realita ** Kromě vizuálního vjemu se pracuje také na virtuálním uspokojení toho hmatového

Jan Dudek | 32