Koncem srpna 2017 začal jeden z největších eshopů Mall v Česku rozesílat svým zákazníkům email s oznámením, že jejich heslo bylo resetováno. Došlo prý k hackereskému útoku a část hesel unikla. Jak se později ukázalo jednalo se nejen o hesla, ale i jméno, příjmení, email a telefonní čísla. Tyto informace byly pak zveřejněny ke stažení na serveru ulož.to, kde si je mohlo kdokoliv stáhnout zhruba měsíc.
Podle Mall došlo k odcizení jen části hesel a to těch, které byly jednosměrně zašifrované přes MD5. Toto šifrování používal Mall do roku 2012, poté přešel na SHA-1 + Salt (přidaný unikátní řetězec, který značně stíží či znemožní crackunutí hesla hrubou silou). Teprve v roce 2016 přešli na v dnešní době bezpečný bcrypt. Můžeme tedy spekulovat že útočník mohl získat data a hesla všech zákazníků, jen je prostě nedokázal cracknout. Vyšetřování totiž neodhalilo jak k úniku vlastně došlo. Ve zveřejněném souboru bylo 735.956 unikátních emailových adres a 766.421 hesel.
Úřad pro ochranu osobních údajů provedl kontrolu a udělil společnosti Mall pokutu 1,5M CZK na základě porušení zákona 101/2000 Sb. (§ 13 odst. 1) – povinnost přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení, či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů.
Zároveň UOOU ve zveřejněné zprávě důrazně upozorňuje, že od 25. května 2018 platí GDPR a každý správce osobních údajů musí v podobných případech do 72 hodin upozornit všechny dotčené osoby a UOOU. Jen dodám, že správcem osobních údajů je jakýkoliv provozovatel webových stránek, kde se nějaká takováto data nachází. Je jedno jestli tedy máte eshop, který vás živí anebo jen diskuzní fórum jako hobby. V obou případech jste správcem osobních údajů.
Plain text anebo MD5?
Samozřejmě okamžitě se rozjela diskuze zdali náhodou Mall neměl ta hesla prostě uložená v plain textu (čitelné formě). MD5 je sice zastaralý, ale přeci jen uhádnout 766.421 hesel by přece trvalo hodně dlouho. Tak jsem k tomu přistupoval i já. Tedy dokud jsem si nepřečetl článek Crackování hesel z úniku Mall.cz, kde Michal Špaček provedl velmi zajímavý experiment a do detailů jej popsal. Prostě to vzal obráceně a šlo to rychle :) Rozhodně doporučuji přečíst.
Závěr
Tento případ je ukázkou že na bezpečnosti byste neměli šetřit a nebýt leniví. Mall mohl v roce 2012 všem zákazníkům s MD5 vygenerovat nová hesla a ta uložit v SHA-1. V roce 2016 pak přejít u všech na bcrypt. Při úniku dat by pak útočník měl jen nepoužitelné hashe hesel. Možná by mu ani nestálo za to se s tím chlubit a dát je veřejně na ulož.to. O úniku by se tak nikdo nedozvěděl a nebyla by ani pokuta.
Zároveň to také ukazuje na stále trvající hrozbu používání stejných hesel na různých webech. Jakmile to někde budou mít v “čitelné” podobě tak prostě máte problém.
No a pak je tu GDPR. Pokud by se incident stal po 25. květnu 2018, tak už hrozila pokuta 20M EUR anebo 4 % z celoročního obratu společnosti (Mall měl 7,2G, takže 288M CZK). No z těch částek až běhá člověku mráz po zádech.
- https://www.uoou.cz/urad-udelil-spolecnosti-internet-mall-a-s-pokutu-1-5-milionu-korun/d-31959
- https://www.michalspacek.cz/crackovani-hesel-z-uniku-mall.cz
- Mall.cz akce a kupóny - slevy a akce pro pohodlný online nákup
- Mall.cz akce a kupóny - slevy a akce pro pohodlný online nákup
Riadne drsne vysoká pokuta. Je mi mall trochu ľúto.