Bezpečnost | Hacking | Únik dat

Už to opravdu není legrace. Obřímu řetězci hotelů Marriott někdo vykradl databáze

  • Před pár dny to byla Quora a teď Marriott
  • Obřímu řetězci hotelů někdo vykradl databáze
  • Je to velké, až 500 milionů klientských dat včetně bankovních karet

Je to jen pár dnů, co jsem si postěžoval na neschopnost velkých internetových služeb definitivně zatočit s obrovskými úniky uživatelských dat z jejich databází. Tehdy to od technologických webů schytala Quora, která se přiznala ke ztrátě neuvěřitelných 100 milionů záznamů o registrovaných návštěvnících.

Už jsme si zvykli, že o podobné události napíšeme párkrát do roka, realita je však mnohem horší a docela názorně ji ilustruje třeba interaktivní infografika World‘s Biggest Data Breaches & Hacks, která na vertikální časové ose a ve formě bublin zobrazuje ty největší úniky dat za posledních 14 let.

Klepněte pro větší obrázek
Známé úniky dat v letech 2006-2008
Klepněte pro větší obrázek
A jen letos...

Zatímco v letech 2004-2007 se jednalo jen o pár případů ročně, dnes je situace do jisté míry katastrofální. Ostatně při vykreslování infografiky se lehce zapotí i současný laptop s Core i5, takže dejte prohlížeči chvíli čas.

Stručně řečeno, posledních několik let dramaticky stoupá počet podobných útoků, a vzhledem k tomu, že se společně s internetem nafukují i jednotlivé webové služby, nejedná se už o krádeže databází se stovkami tisíc záznamů, ale se stovkami milionů!

Šifrovaná čísla platebních karet až 500 milionů turistů zvesela poletují internetem

Zatímco jsem psal zprávičku o Quoře, jeden z největších světových hotelových řetězců – Marriott – oznámil, že si neznámí útočníci zvesela četli databáze jednoho z jeho rezervačních systémů rovnou dlouhé čtyři roky.

Výsledek? Největší krádež uživatelských informací od Yahoo v roce 2014. A co je horší, tentokrát nejde jen o obvyklé údaje jméno, příjmení, e-mail a zahashované heslo, ale také o další citlivé informace, fyzické adresy a nakonec i (sice zakódovaná) čísla a údaje o platnosti platebních karet těch, kteří si před 10. zářím letošního roku rezervovali ubytování v některém z hotelů dceřiného řetězce Marriottu – Starwood Hotels and Resorts Worldwide.

Případ na blogu Naked Security rozebrali bezpečnostní experti ze společnosti Sophos

Pod jeho křídla patří třeba známé hotely Sheraton, W Hotels, Westin… A hromada dalších značek pro obchodní cestující i turisty. Někde tam poletuje i několik mých vlastních rezervací, neboť v podobných hotelech jsou často ubytovaní třeba návštěvníci nejrůznějších konferencí.

Okradli mě o data?

Ukradené databáze už roky monitoruje Troy Hunt a na webu Have I been pwned nabízí vyhledávač, ve kterém si můžete zkontrolovat, zdali nefigurujete v některém z nich. Dnes služba eviduje 5,6 miliard ukradených účtů z 333 webů. Aktuálně přibyl třeba i slovenský Bombuj.eu.

Klepněte pro větší obrázek
Vyhledávač úniků zkontroluje, jestli v některém z nich nefiguruje i váš e-mail

Web nabízí také funkci Notify me. Po vyplnění e-mailu vám automat zašle zprávu, pokud se vaše adresa vyskytne v některém z čerstvých úniků.

Sečteno a podtrženo, záškodníci se dostali k balíku dat až o 500 milionech klientů některého z těchto hotelů v letech 2014-2018. A i když se mateřský Marriott brání, že zdaleka nejcitlivější čísla platebních karet byla chráněná 128bitovou šifrou AES, nic to nemění na tom, že tato relativně tichá aféra, o které se na rozdíl od Facebooku příliš nepsalo, patří zdaleka k těm nejzávažnějším v poslední dekádě.

Ruku na srdce, zde si útočníci mohli přijít k opravdu zajímavějším datům než dříve.

Opět děravý Facebook

Bohužel, aféra Marriottu, kterou mimochodem firma tutlala už od září, nebyla jediná. Teprve před pár dny vyšel najevo další možný únik dat ze skomírající sítě Google Plus, který potvrdil, že Google opravdu udělá nejlépe, když ji definitivně uzavře (a kvůli tomuto útoku dokonce dříve, než bylo původně v plánu).

A konečně minulý pátek se ozval také Facebook, který 14. prosince na svém blogu pro vývojáře publikoval článek se zdánlivě neškodným nadpisem Notifying our Developer Ecosystem about a Photo API Bug.

Oč se jednalo? Během letošního září mohly záškodnické aplikace kvůli zmíněné chybě dva týdny stahovat fotografie necelých 7 milionů nešťastníků. A to nejen snímky publikované na Facebooku veřejně, ale i ty soukromé a dokonce nepublikované (ale nahrané na největší sociální síť dneška).

MyHeritage, British Airways, Reddit a další

Kdo to ještě letos pořádně schytal? Na jaře to byla genealogická služba MyHeritage (92 milionů uniklých účtů) a zkraje září aerolinky British Airways (380 tisíc účtů). S bezpečnostními problémy se potýkal také Reddit, Wordpress, který si ani letos nevěděl rady s pluginy plnými mallwaru, no a pak tu byla celá řada dalších a už méně známých hráčů z USA a dalších končin.

Nejsem na Pastebinu?

Dalším způsobem, jak zkontrolovat, jestli váš e-mail nebo i jméno nefiguruje v některé z ukradených (a poté zveřejněných) databází, je Pastebin. Jedná se o primitivní úložiště pro data v prostém textu, které se těší velké oblibě právě při zveřejňování ukradených databází v SQL (v prostém textu).

Klepněte pro větší obrázek
Pastebin, vstupní bod do světa sociálního hackingu a sbírání e-mailových adres pro spamboty. Těch českých tam jsou v různých kopiích miliony.

Pastebin má fulltextový vyhledávač, takže když do něj zadáte třeba @seznam.cz, zobrazí se vám všechny textové soubory, které nejspíše obsahují e-maily z největší české poštovní služby.

Na internetu se dnes podle některých statistik pohybují více než čtyři miliardy duší, které zabíjejí čas na bezmála dvou miliardách webů (stránek s vlastní doménou). Z tohoto úhlu pohledu se zvyšující se počet úniků dat nemusí jevit tak hrozivě, nicméně alarmující je především to, že data stále unikají i těm největším hráčům, kteří by měli mít k dispozici také nejlepší know-how a finanční zdroje k tomu, aby případné útočníky dokázali technologicky předstihnout.

Za těch posledních 10-15 let se totiž vedle zvyšujícího se počtu podobných útoků změnila ještě jedna věc. Krádež elektronické identity dnes může leckoho bolet mnohem více, než třeba ztracený doklad. Ten nahlášením rychle zablokujete a necháte si vystavit nový. Avšak průnik do jednoho z velkých systémů (Facebook, Apple, Google, Microsoft) by mohl být při jejich velikosti už opravdu devastující.

Diskuze (48) Další článek: Pininfarina Battista: elektrického „trhače asfaltu“ požene vpřed 1900 koní

Témata článku: Google, Microsoft, Internet, Apple, Web, USA, Bezpečnost, Facebook, Hacking, Malware, Únik dat, Yahoo, MyHeritage, E-mail, Heslo, Reddit, WordPress, Banka, Ubytování, Čerstvý únik, Quora, Zvyšující počet, Finanční zdroj, Zajímavé data, Prostý text


Určitě si přečtěte

Vyzkoušeli jsme TP-Link Deco P9: zajistí doma Wi-Fi díky drátům ve zdi

Vyzkoušeli jsme TP-Link Deco P9: zajistí doma Wi-Fi díky drátům ve zdi

** Nová generace Mesh Wi-Fi s propojením přes elektrické rozvody ** Lepší parametry a nižší cena než u předchůdce ** Aplikace zatím podporuje jen základní nastavení bez rozšířených funkcí

Tomáš Holčík | 25

Koupili jsme nejlevnější dron s kamerou. Stál nás 300 Kč a má rozměry kreditky

Koupili jsme nejlevnější dron s kamerou. Stál nás 300 Kč a má rozměry kreditky

** Kvalitní drony začínají na 10 000 Kč ** Šli jsme na to jinak a koupili ten nejlevnější s kamerou ** I když je to čínský šmejd, je s ním zábava

Jakub Čížek | 34

Nový Edge je opravdu Chrome! Prohnali jsme prohlížeče benchmarky i vlastním unikátním testem

Nový Edge je opravdu Chrome! Prohnali jsme prohlížeče benchmarky i vlastním unikátním testem

** Nový Edge je postavený na Chromiu ** Prohnali jsme ho benchmarky a srovnali s ostatními ** Potvrdily nám, že je prakticky stejný jako Chrome a Opera

Jakub Čížek | 65

Dnes nastal konec Windows 7. Ale nepropadejte panice, počítač vám nastartuje i zítra

Dnes nastal konec Windows 7. Ale nepropadejte panice, počítač vám nastartuje i zítra

** Dnes končí podpora Windows 7 a systém formálně umírá ** Co to ale znamená v praxi a bude mi PC fungovat i zítra? ** A mohu i v lednu 2020 zdarma přejít na Windows 10?

Jakub Čížek | 121

Šmírování kamerami Googlu: Koukněte, co šíleného se objevilo na Street View

Šmírování kamerami Googlu: Koukněte, co šíleného se objevilo na Street View

Google stále fotí celý svět do své služby Street View. A novodobou zábavou je hledat v mapách Googlu vtipné záběry. Podívejte se na výběr nejlepších!

redakce | 7



Aktuální číslo časopisu Computer

Megatest 12 bezdrátových sluchátek

Vyplatí se Apple z bazaru?

Test batohů pro notebooky

Vybíráme nejlepší sportovní hodinky