Bezpečnost | Hacking | Únik dat

Už to opravdu není legrace. Obřímu řetězci hotelů Marriott někdo vykradl databáze

  • Před pár dny to byla Quora a teď Marriott
  • Obřímu řetězci hotelů někdo vykradl databáze
  • Je to velké, až 500 milionů klientských dat včetně bankovních karet

Je to jen pár dnů, co jsem si postěžoval na neschopnost velkých internetových služeb definitivně zatočit s obrovskými úniky uživatelských dat z jejich databází. Tehdy to od technologických webů schytala Quora, která se přiznala ke ztrátě neuvěřitelných 100 milionů záznamů o registrovaných návštěvnících.

Už jsme si zvykli, že o podobné události napíšeme párkrát do roka, realita je však mnohem horší a docela názorně ji ilustruje třeba interaktivní infografika World‘s Biggest Data Breaches & Hacks, která na vertikální časové ose a ve formě bublin zobrazuje ty největší úniky dat za posledních 14 let.

Klepněte pro větší obrázek
Známé úniky dat v letech 2006-2008
Klepněte pro větší obrázek
A jen letos...

Zatímco v letech 2004-2007 se jednalo jen o pár případů ročně, dnes je situace do jisté míry katastrofální. Ostatně při vykreslování infografiky se lehce zapotí i současný laptop s Core i5, takže dejte prohlížeči chvíli čas.

Stručně řečeno, posledních několik let dramaticky stoupá počet podobných útoků, a vzhledem k tomu, že se společně s internetem nafukují i jednotlivé webové služby, nejedná se už o krádeže databází se stovkami tisíc záznamů, ale se stovkami milionů!

Šifrovaná čísla platebních karet až 500 milionů turistů zvesela poletují internetem

Zatímco jsem psal zprávičku o Quoře, jeden z největších světových hotelových řetězců – Marriott – oznámil, že si neznámí útočníci zvesela četli databáze jednoho z jeho rezervačních systémů rovnou dlouhé čtyři roky.

Výsledek? Největší krádež uživatelských informací od Yahoo v roce 2014. A co je horší, tentokrát nejde jen o obvyklé údaje jméno, příjmení, e-mail a zahashované heslo, ale také o další citlivé informace, fyzické adresy a nakonec i (sice zakódovaná) čísla a údaje o platnosti platebních karet těch, kteří si před 10. zářím letošního roku rezervovali ubytování v některém z hotelů dceřiného řetězce Marriottu – Starwood Hotels and Resorts Worldwide.

Případ na blogu Naked Security rozebrali bezpečnostní experti ze společnosti Sophos

Pod jeho křídla patří třeba známé hotely Sheraton, W Hotels, Westin… A hromada dalších značek pro obchodní cestující i turisty. Někde tam poletuje i několik mých vlastních rezervací, neboť v podobných hotelech jsou často ubytovaní třeba návštěvníci nejrůznějších konferencí.

Okradli mě o data?

Ukradené databáze už roky monitoruje Troy Hunt a na webu Have I been pwned nabízí vyhledávač, ve kterém si můžete zkontrolovat, zdali nefigurujete v některém z nich. Dnes služba eviduje 5,6 miliard ukradených účtů z 333 webů. Aktuálně přibyl třeba i slovenský Bombuj.eu.

Klepněte pro větší obrázek
Vyhledávač úniků zkontroluje, jestli v některém z nich nefiguruje i váš e-mail

Web nabízí také funkci Notify me. Po vyplnění e-mailu vám automat zašle zprávu, pokud se vaše adresa vyskytne v některém z čerstvých úniků.

Sečteno a podtrženo, záškodníci se dostali k balíku dat až o 500 milionech klientů některého z těchto hotelů v letech 2014-2018. A i když se mateřský Marriott brání, že zdaleka nejcitlivější čísla platebních karet byla chráněná 128bitovou šifrou AES, nic to nemění na tom, že tato relativně tichá aféra, o které se na rozdíl od Facebooku příliš nepsalo, patří zdaleka k těm nejzávažnějším v poslední dekádě.

Ruku na srdce, zde si útočníci mohli přijít k opravdu zajímavějším datům než dříve.

Opět děravý Facebook

Bohužel, aféra Marriottu, kterou mimochodem firma tutlala už od září, nebyla jediná. Teprve před pár dny vyšel najevo další možný únik dat ze skomírající sítě Google Plus, který potvrdil, že Google opravdu udělá nejlépe, když ji definitivně uzavře (a kvůli tomuto útoku dokonce dříve, než bylo původně v plánu).

A konečně minulý pátek se ozval také Facebook, který 14. prosince na svém blogu pro vývojáře publikoval článek se zdánlivě neškodným nadpisem Notifying our Developer Ecosystem about a Photo API Bug.

Oč se jednalo? Během letošního září mohly záškodnické aplikace kvůli zmíněné chybě dva týdny stahovat fotografie necelých 7 milionů nešťastníků. A to nejen snímky publikované na Facebooku veřejně, ale i ty soukromé a dokonce nepublikované (ale nahrané na největší sociální síť dneška).

MyHeritage, British Airways, Reddit a další

Kdo to ještě letos pořádně schytal? Na jaře to byla genealogická služba MyHeritage (92 milionů uniklých účtů) a zkraje září aerolinky British Airways (380 tisíc účtů). S bezpečnostními problémy se potýkal také Reddit, Wordpress, který si ani letos nevěděl rady s pluginy plnými mallwaru, no a pak tu byla celá řada dalších a už méně známých hráčů z USA a dalších končin.

Nejsem na Pastebinu?

Dalším způsobem, jak zkontrolovat, jestli váš e-mail nebo i jméno nefiguruje v některé z ukradených (a poté zveřejněných) databází, je Pastebin. Jedná se o primitivní úložiště pro data v prostém textu, které se těší velké oblibě právě při zveřejňování ukradených databází v SQL (v prostém textu).

Klepněte pro větší obrázek
Pastebin, vstupní bod do světa sociálního hackingu a sbírání e-mailových adres pro spamboty. Těch českých tam jsou v různých kopiích miliony.

Pastebin má fulltextový vyhledávač, takže když do něj zadáte třeba @seznam.cz, zobrazí se vám všechny textové soubory, které nejspíše obsahují e-maily z největší české poštovní služby.

Na internetu se dnes podle některých statistik pohybují více než čtyři miliardy duší, které zabíjejí čas na bezmála dvou miliardách webů (stránek s vlastní doménou). Z tohoto úhlu pohledu se zvyšující se počet úniků dat nemusí jevit tak hrozivě, nicméně alarmující je především to, že data stále unikají i těm největším hráčům, kteří by měli mít k dispozici také nejlepší know-how a finanční zdroje k tomu, aby případné útočníky dokázali technologicky předstihnout.

Za těch posledních 10-15 let se totiž vedle zvyšujícího se počtu podobných útoků změnila ještě jedna věc. Krádež elektronické identity dnes může leckoho bolet mnohem více, než třeba ztracený doklad. Ten nahlášením rychle zablokujete a necháte si vystavit nový. Avšak průnik do jednoho z velkých systémů (Facebook, Apple, Google, Microsoft) by mohl být při jejich velikosti už opravdu devastující.

Diskuze (48) Další článek: Pininfarina Battista: elektrického „trhače asfaltu“ požene vpřed 1900 koní

Témata článku: Microsoft, Google, Apple, Web, Internet, Bezpečnost, Facebook, USA, Hacking, Malware, Yahoo, Heslo, Únik dat, Reddit, E-mail, Banka, WordPress, Quora, Registrovaný návštěvník, Zvyšující počet, Únik, Ukradený účet, Westin, Databáze, Platební karta


Určitě si přečtěte

Dubnové aktualizace Windows se nepovedly. Způsobují zamrzání systému

Dubnové aktualizace Windows se nepovedly. Způsobují zamrzání systému

** V úterý začal Microsoft uvolňovat dubnové kumulativní aktualizace ** Netrvalo dlouho a uživatelé začali hlásit první potíže ** Nejčastěji jde o zpomalení a zamrzání systému

Karel Kilián | 130

Ve Windows se občas něco rozbije, načež vyskočí deprimující chybový dialog

Ve Windows se občas něco rozbije, načež vyskočí deprimující chybový dialog

** Jistě je zná každý z vás: chybové hlášky Windows ** Informují o chybě, ale často vlastně vůbec nic neřeknou ** Po 30 letech si toho v Redmondu konečně všimli

Jakub Čížek | 124

Byli tam! Důkazy o přistání na Měsíci, Lunochody i čínská sonda jsou vidět z vesmíru

Byli tam! Důkazy o přistání na Měsíci, Lunochody i čínská sonda jsou vidět z vesmíru

** Sonda LRO pořídila z oběžné dráhy Měsíce zajímavé snímky ** Jsou na nich vidět artefakty všech misí programu Apolla, které přistály na povrchu Měsíce ** Jde například o části lunárních modulů, rovery a dokonce i vlajky

Petr Kubala | 79

Photolemur 3: Prostě do něj přetáhnete fotky a začne se dít magie. Tedy údajně...

Photolemur 3: Prostě do něj přetáhnete fotky a začne se dít magie. Tedy údajně...

** Je lepší nabušený Photoshop, nebo program s jedním tlačítkem? ** Photolemur si myslí to druhé ** Tento fotoeditor neumí skoro nic, a přitom (skoro) všechno

Jakub Čížek | 22

Populární Speedtest.net neřekne o skutečné rychlosti internetu téměř nic

Populární Speedtest.net neřekne o skutečné rychlosti internetu téměř nic

** Speedtest stále častěji měří jen rychlost na poslední míli ** Ta však ale neodpovídá reálnému surfování ** Jak se tedy pokusit změřit tu skutečnou?

Jakub Čížek | 80



Aktuální číslo časopisu Computer

Velký test androidů do 6 500 Kč

Tipy na starší foťáky za super cenu

Důkladný test sportovních kamer

Dárek pro každého: první vydání Computeru