Bezpečnost | Hacking | Únik dat

Už to opravdu není legrace. Obřímu řetězci hotelů Marriott někdo vykradl databáze

  • Před pár dny to byla Quora a teď Marriott
  • Obřímu řetězci hotelů někdo vykradl databáze
  • Je to velké, až 500 milionů klientských dat včetně bankovních karet

Je to jen pár dnů, co jsem si postěžoval na neschopnost velkých internetových služeb definitivně zatočit s obrovskými úniky uživatelských dat z jejich databází. Tehdy to od technologických webů schytala Quora, která se přiznala ke ztrátě neuvěřitelných 100 milionů záznamů o registrovaných návštěvnících.

Už jsme si zvykli, že o podobné události napíšeme párkrát do roka, realita je však mnohem horší a docela názorně ji ilustruje třeba interaktivní infografika World‘s Biggest Data Breaches & Hacks, která na vertikální časové ose a ve formě bublin zobrazuje ty největší úniky dat za posledních 14 let.

Klepněte pro větší obrázek
Známé úniky dat v letech 2006-2008
Klepněte pro větší obrázek
A jen letos...

Zatímco v letech 2004-2007 se jednalo jen o pár případů ročně, dnes je situace do jisté míry katastrofální. Ostatně při vykreslování infografiky se lehce zapotí i současný laptop s Core i5, takže dejte prohlížeči chvíli čas.

Stručně řečeno, posledních několik let dramaticky stoupá počet podobných útoků, a vzhledem k tomu, že se společně s internetem nafukují i jednotlivé webové služby, nejedná se už o krádeže databází se stovkami tisíc záznamů, ale se stovkami milionů!

Šifrovaná čísla platebních karet až 500 milionů turistů zvesela poletují internetem

Zatímco jsem psal zprávičku o Quoře, jeden z největších světových hotelových řetězců – Marriott – oznámil, že si neznámí útočníci zvesela četli databáze jednoho z jeho rezervačních systémů rovnou dlouhé čtyři roky.

Výsledek? Největší krádež uživatelských informací od Yahoo v roce 2014. A co je horší, tentokrát nejde jen o obvyklé údaje jméno, příjmení, e-mail a zahashované heslo, ale také o další citlivé informace, fyzické adresy a nakonec i (sice zakódovaná) čísla a údaje o platnosti platebních karet těch, kteří si před 10. zářím letošního roku rezervovali ubytování v některém z hotelů dceřiného řetězce Marriottu – Starwood Hotels and Resorts Worldwide.

Případ na blogu Naked Security rozebrali bezpečnostní experti ze společnosti Sophos

Pod jeho křídla patří třeba známé hotely Sheraton, W Hotels, Westin… A hromada dalších značek pro obchodní cestující i turisty. Někde tam poletuje i několik mých vlastních rezervací, neboť v podobných hotelech jsou často ubytovaní třeba návštěvníci nejrůznějších konferencí.

Okradli mě o data?

Ukradené databáze už roky monitoruje Troy Hunt a na webu Have I been pwned nabízí vyhledávač, ve kterém si můžete zkontrolovat, zdali nefigurujete v některém z nich. Dnes služba eviduje 5,6 miliard ukradených účtů z 333 webů. Aktuálně přibyl třeba i slovenský Bombuj.eu.

Klepněte pro větší obrázek
Vyhledávač úniků zkontroluje, jestli v některém z nich nefiguruje i váš e-mail

Web nabízí také funkci Notify me. Po vyplnění e-mailu vám automat zašle zprávu, pokud se vaše adresa vyskytne v některém z čerstvých úniků.

Sečteno a podtrženo, záškodníci se dostali k balíku dat až o 500 milionech klientů některého z těchto hotelů v letech 2014-2018. A i když se mateřský Marriott brání, že zdaleka nejcitlivější čísla platebních karet byla chráněná 128bitovou šifrou AES, nic to nemění na tom, že tato relativně tichá aféra, o které se na rozdíl od Facebooku příliš nepsalo, patří zdaleka k těm nejzávažnějším v poslední dekádě.

Ruku na srdce, zde si útočníci mohli přijít k opravdu zajímavějším datům než dříve.

Opět děravý Facebook

Bohužel, aféra Marriottu, kterou mimochodem firma tutlala už od září, nebyla jediná. Teprve před pár dny vyšel najevo další možný únik dat ze skomírající sítě Google Plus, který potvrdil, že Google opravdu udělá nejlépe, když ji definitivně uzavře (a kvůli tomuto útoku dokonce dříve, než bylo původně v plánu).

A konečně minulý pátek se ozval také Facebook, který 14. prosince na svém blogu pro vývojáře publikoval článek se zdánlivě neškodným nadpisem Notifying our Developer Ecosystem about a Photo API Bug.

Oč se jednalo? Během letošního září mohly záškodnické aplikace kvůli zmíněné chybě dva týdny stahovat fotografie necelých 7 milionů nešťastníků. A to nejen snímky publikované na Facebooku veřejně, ale i ty soukromé a dokonce nepublikované (ale nahrané na největší sociální síť dneška).

MyHeritage, British Airways, Reddit a další

Kdo to ještě letos pořádně schytal? Na jaře to byla genealogická služba MyHeritage (92 milionů uniklých účtů) a zkraje září aerolinky British Airways (380 tisíc účtů). S bezpečnostními problémy se potýkal také Reddit, Wordpress, který si ani letos nevěděl rady s pluginy plnými mallwaru, no a pak tu byla celá řada dalších a už méně známých hráčů z USA a dalších končin.

Nejsem na Pastebinu?

Dalším způsobem, jak zkontrolovat, jestli váš e-mail nebo i jméno nefiguruje v některé z ukradených (a poté zveřejněných) databází, je Pastebin. Jedná se o primitivní úložiště pro data v prostém textu, které se těší velké oblibě právě při zveřejňování ukradených databází v SQL (v prostém textu).

Klepněte pro větší obrázek
Pastebin, vstupní bod do světa sociálního hackingu a sbírání e-mailových adres pro spamboty. Těch českých tam jsou v různých kopiích miliony.

Pastebin má fulltextový vyhledávač, takže když do něj zadáte třeba @seznam.cz, zobrazí se vám všechny textové soubory, které nejspíše obsahují e-maily z největší české poštovní služby.

Na internetu se dnes podle některých statistik pohybují více než čtyři miliardy duší, které zabíjejí čas na bezmála dvou miliardách webů (stránek s vlastní doménou). Z tohoto úhlu pohledu se zvyšující se počet úniků dat nemusí jevit tak hrozivě, nicméně alarmující je především to, že data stále unikají i těm největším hráčům, kteří by měli mít k dispozici také nejlepší know-how a finanční zdroje k tomu, aby případné útočníky dokázali technologicky předstihnout.

Za těch posledních 10-15 let se totiž vedle zvyšujícího se počtu podobných útoků změnila ještě jedna věc. Krádež elektronické identity dnes může leckoho bolet mnohem více, než třeba ztracený doklad. Ten nahlášením rychle zablokujete a necháte si vystavit nový. Avšak průnik do jednoho z velkých systémů (Facebook, Apple, Google, Microsoft) by mohl být při jejich velikosti už opravdu devastující.

Diskuze (48) Další článek: Pininfarina Battista: elektrického „trhače asfaltu“ požene vpřed 1900 koní

Témata článku: Microsoft, Google, Apple, Facebook, Yahoo, Internet, Bezpečnost, Web, USA, MyHeritage, Hacking, Malware, Banka, Heslo, Reddit, Únik dat, E-mail, WordPress, Ubytování, Marriott, Finanční zdroj, Únik, Quorum, Celá řada, Obvyklý údaj, Produkty Apple na jednom místě - Heureka.cz



Sex manželských párů? Jen výjimečně. Ložnice ovládnou roboti s umělou inteligencí

Sex manželských párů? Jen výjimečně. Ložnice ovládnou roboti s umělou inteligencí

** Sex manželských párů jen při zvláštních příležitostech. ** Ložnice ovládnou sexuální roboti s umělou inteligencí. ** I to je jeden ze závěrů Mezinárodní robotické konference.

Filip KůželJiří Liebreich
RobotiSexUmělá inteligence
Recenze Apple Mac Studia. Ohromný výkon, který vůbec neuslyšíte

Recenze Apple Mac Studia. Ohromný výkon, který vůbec neuslyšíte

** Čip Apple M1 Max potěší hlavně profiíky přes video ** Mac Studio přitom zůstává velmi tichý a s nízkou spotřebou ** Vytknout lze jen málo, například pouze HDMI 2.0

Karel Javůrek
Mac StudioTestyApple
Jak poznat, že máte možná hacknutý telefon? Toto je devět symptomů, které můžete pozorovat

Jak poznat, že máte možná hacknutý telefon? Toto je devět symptomů, které můžete pozorovat

** Jak poznat, že je váš smartphone hacknutý? ** Hledejte známky po nestandardním chování telefonu ** Stačí když telefon vydrží méně nebo topí i v klidovém režimu...

Martin Chroust
Jak...Malware
Sociální síť BeReal jde proti proudu. Žádné filtry a přetvařování, tohle má být čistá realita

Sociální síť BeReal jde proti proudu. Žádné filtry a přetvařování, tohle má být čistá realita

** BeReal je novou hvězdou mezi sociálními sítěmi ** Ukazuje pouze všední realitu běžných dní ** Aplikace vám jednou denně dá dvě minuty na poslání vlastní fotky

Martin Chroust
BeRealMobilní aplikaceSociální sítě
Facebook vás tajně neodposlouchává. Má mnohem lepší způsoby, než vás sledovat přes mikrofon

Facebook vás tajně neodposlouchává. Má mnohem lepší způsoby, než vás sledovat přes mikrofon

** Vidíte reklamy na věci, o kterých jste mluvili, ale nevyhledávali je? ** Často takto podezřele přesně servíruje inzerci Facebook ** Existují věrohodné důkazy, že mikrofon opravdu nevyužívá

Petr Urban
SoukromíFacebookSociální sítě
Méně známé funkce Total Commanderu: Užitečné tipy na vestavěné funkce i doplňky

Méně známé funkce Total Commanderu: Užitečné tipy na vestavěné funkce i doplňky

Total Commander je jedním z nejúspěšnějších správců souborů se dvěma panely vedle sebe. Vyhovuje především uživatelům zvyklým na tento typ souborových manažerů už z dob MS DOSu. Vybrali jsme funkce, které možná neznají ani dlouholetí uživatelé.

Karel Kilián
Total CommanderTipySoftware
Kurvítka v základní výbavě, výrobci mají umělé zastarávání v malíku. Začalo to bateriemi, pokračuje softwarem

Kurvítka v základní výbavě, výrobci mají umělé zastarávání v malíku. Začalo to bateriemi, pokračuje softwarem

** Nejen mobilní výrobci jsou naučeni rok od roku prodávat stále více telefonů ** Tento trend se však zákonitě musí někdy zastavit ** Jenže, co naplat, když jsou starší zařízení „uměle“ nepoužitelná?

Martin Chroust
Prasklý displejBaterieAktualizace softwaru