Wyciek danych użytkowników popularnej aplikacji MyFitnessPal

Zdrowe odżywianie, choć bardzo dobre dla zdrowia, może okazać się nie tak dobre dla bezpieczeństwa Waszych haseł. Z tego powodu warto także zadbać o zdrowe nawyki w obszarze bezpieczeństwa i prywatności.

Jedną z podstaw zdrowego trybu życia jest utrzymywanie odpowiedniego bilansu przyswajanych kalorii. Zdecydowanie nie jest to proste – wymaga zarówno dużej dyscypliny jak i wiedzy, ile kalorii mogą dostarczać poszczególne produkty. W obu kwestiach pomocą służby chyba najpopularniejsza w tej dziedzinie aplikacja MyFitnessPal, której twórcy właśnie informują użytkowników o wycieku danych.

Wyciekło niedużo, ale skutki mogą być poważne
Firma informuje, zarówno na swojej stronie WWW jak i w emailach do klientów, że 5 dni temu dowiedziała się o wycieku danych, do którego doszło w lutym tego roku. Niestety nie wiemy na razie nic o sposobie, w jaki doszło do incydentu – w ogłoszeniu zawarto jedynie informację, że nieautoryzowana strona trzecia uzyskała dostęp do danych. Zakres tych danych wskazuje jednak, że mogło być to działanie włamywacza, którego celem była kradzież danych użytkowników. Wiemy też, że wykradziono dane 150 milionów uzytkowników.

Według komunikatu firmy wykradziono takie dane jak nazwę użytkownika, adres email oraz hasze haseł. Co trochę pocieszające, firma wskazuje, że „większość haseł” zahaszowana była w miarę bezpiecznym algorytmem bcrypt (choć nie podaje np. parametru bezpieczeństwa algorytmu, czyli liczby rund obliczeń niezbędnych do wykonania by próbować odgadnąć zahaszowane hasło). O ile bcrypt faktycznie będzie istotnie utrudniał przestępcom odgadywanie haseł, to nie jest to niemożliwe – szczególnie w przypadku haseł o niewielkiej długości lub niskim stopniu skomplikowania. Co więcej, firma wskazuje, że jedynie „większość haseł” korzystała z bcrypta, nie wspominając, z czego korzystała reszta haseł. Można domniemywać, że algorytm haszowania został w pewnym momencie zmieniony, a użytkownicy, którzy od dawna nie zmieniali hasła, mogą mieć w bazie hasze haseł dużo łatwiejsze do złamania przez przestępców.

Główny problem – to samo hasło
Jak pewnie się domyślacie, hasło do konta MyFitnessPal nie jest potrzebne przestępcom by śledzić diety stosowane przez użytkowników lub wrzucać im wirtualny bekon do lekkiego serka na śniadanie. Głównym celem przestępców jest uzyskanie dostępu do skrzynek pocztowych ofiar lub do ich innych kont w innych serwisach. Jeśli zatem hasła używanego w MyFitnessPal używaliście gdziekolwiek indziej, to czas je we wszystkich tych miejscach zmienić. Przestępcy korzystają z bardzo wydajnych skryptów (tzw. checkerów) do weryfikacji par email/login + hasło w wielu popularnych serwisach i jeśli Wasze hasło pasuje, to wkrótce mogą próbować przejąć Wasze konto Twittera, Dropboksa, Steama i wiele, wiele innych. Tu przydaje się używanie unikatowych haseł – choć trudne w praktyce, to na szczęście dzięki menedżerom haseł możliwe do wdrożenia.

PS Ciekawe ile ofiar wycieku z polskiej firmy dietetycznej Fit and Eat znajduje się w bazie MyFitnessPal. Pechowy sektor.

PS2 Dziękujemy wszystkim Czytelnikom, którzy podesłali informację.

źródło: zaufanatrzeciastrona.pl

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *