Сеть нахождения соглашения LivingSocial изменяет пароли своих 70 миллионов подписчиков предусмотрительно после утечки данных.Нарушение, которое потенциально пропустило имена пользователя и пароли больше чем 70 миллионов пользователей LivingSocial, могло серьезно повлиять на подписчиков, если бы они снова использовали свои пароли на других сайтах, сказали специалисты по безопасности на этой неделе.
27 апреля находящее соглашение обслуживание предупредило своих пользователей, что преступники нарушили безопасность компании и взяли имена пользователя и пароли некоторых клиентов, а также имена, адреса электронной почты и даты рождения для некоторых пользователей. Пароли были сохранены как хешированные ценности, несмотря на то, что с помощью SHA 1, более слабого алгоритма хеширования. Это указывает на возможность, что могли быть дешифрованы некоторые пароли.LivingSocial вынудила каждого пользователя изменить их пароль, но предыдущие утечки данных показали что большинство людей пароли повторного использования через сайты, угрожая их учетным записям на других веб-сервисах и даже сети их работодателя.
«Для предприятий важно рассмотреть возможность, что некоторые Ваши сотрудники, возможно, использовали тот же пароль на LivingSocial, которую они используют для доступа к их электронной почте работы и учетным записям VPN», Том Кросс, директор по исследованию безопасности в провайдере сетевой защиты Лэнкоуп заявил отправленный в eWEEK.«Команды безопасности IT-систем должны заранее искать для слабых паролей в их сетях, и они должны оценить возможности, которые они имеют для идентификации поставивших под угрозу учетных записей», говорилось в заявлении Креста.Слабые пароли и повторное использование удостоверений пользователя через сайты были идентифицированы как самые серьезные проблемы для клиентов после нарушений. В июне 2012 LinkedIn сайта социальной сети уведомил своих пользователей, что онлайновые воры украли больше чем 6 миллионов паролей, указав на возможность, что дешифрованные пароли могли использоваться против корпоративных систем.
В июле анализ файла паролей, содержащего приблизительно 500 000 Речевых учетных записей Yahoo, нашел, что 59 процентов подписчиков, у которых были учетные записи на другой поставившей под угрозу службе, снова использовали их пароли.Во многих случаях сила паролей становится не важной, потому что некоторым фирмам не удалось зашифровать их файл паролей, оплошность безопасности, которая позволяет атакующим иметь свободный доступ ко всей базе данных пароля.«При использовании LivingSocial, критически важно, что Вы сразу изменяете свой пароль», Росс Барретт, старший менеджер разработки безопасности для фирмы управления уязвимостью Rapid7, заявил отправленный в eWEEK. «И если Вы, как много людей, используете тот же пароль для других онлайновых учетных записей, действительно измените тех как можно скорее. Как только пароли раскрыты, хакеры повернутся к популярным сайтам как Facebook, LinkedIn, Gmail и т.д.».
Затраты нарушений могут быстро вырасти, не только для компаний, но и для клиентов. В анализе нарушения Министерства здравоохранения Юты 2012 года Стратегия Копья аналитической фирмы и Исследование нашли, что потеря 780 000 пользовательских включений записей приблизительно 280 000 номеров социального страхования – вероятно, составит в целом больше чем $400 миллионов в мошенничестве и еще $100 миллионов в затратах. Государственное агентство, однако, вероятно оплатит меньше чем $10 миллионов, если дополнительные штрафы не будут наложены.
В нарушении LivingSocial онлайновые воры очевидно не получили доступ к числам или операциям кредитной карты пользователей, заявила компания. «Мы работаем с внутренними и внешними судебными службами безопасности, чтобы исследовать природу инцидента и далее улучшить наши системы безопасности, и мы работаем с проведением законов в жизнь для исследования этого инцидента», сообщила компания в онлайновом заявлении.