Z databáze hotelů Marriott bylo ukradeno obrovské množství dat!

0
(0)

Obsah

Dariusz Matuszyński
Dariusz Matuszyński
Jsem zakladatelem portálu Kryptomagazin.cz, o kryptoměnách na české scéně nebylo prakticky nic, a tak jsem se rozhodl to napravit. Mám rád myšlenku decentralizace, trochu toho cypherpunku a kryptoanarchie. Krypto odvětví je můj svět, kde se denně pohybuji a pracuji, nemohu to tedy již nazvat koníčkem nebo zálibou. Rád vás na vašem kryptomagazínu vždy uvítám :)

Hackerům se povedlo získat obrovské množství dat z databáze hotelů Marriott, pokud jste jej navštívili, buďte ostražití. David Emm, bezpečnostní odborník ze společnosti Kaspersky Lab:

„Jedná se o jeden z největších úniků dat, který jsme doposud viděli. Zatím můžeme stále pouze odhadovat reálný dopad tohoto hackerského útoku, je ale zcela zřejmé, že bezpečnostní řešení používané sítí Marriott Hotel nebylo natolik účinné, aby zabránilo vniknutí třetí strany do hotelových systémů. I když uložená data byla v databázi zašifrována, je velmi pravděpodobné, že hackeři ukradli i klíče k jejich odemčení.

Tento únik dat se zapíše do historie nejen množstvím ukradených dat, ale i jejich citlivostí. V hotelové databázi byly totiž uloženy citlivé osobní údaje milionů hostů a v mnoha případech i údaje o jejich platebních či kreditních kartách. Díky tomu kyberzločinci získali spoustu materiálů pro své cílené phishingové útoky nebo kybernetickou špionáž.

Hotelová síť bude všechny dotčené zákazníky o tomto problému informovat. Chtěli bychom na tomto místě upozornit všechny uživatele, a především klienty hotelu, aby zůstali ostražití. Kyberzločinci využijí nastalou situaci a budou se je snažit oslovit jménem hotelů Marriott. Proto je nutné se ujistit, například skrz oficiální stránky hotelu, že daná e-mailová adresa odpovídá uvedeným kontaktům.“

Závěr

Co je na situaci nejhorší? Že se jí prakticky nelze vyhnout, hotely vás bez citlivých dat ani neubytují. V dnešním světě platí pravidlo, čím méně dat kdekoliv poskytenete, tím lépe pro vás.

Klikni na hvězdičky pro hodnocení!

Průměrné hodnocení 0 / 5. Počet hlasujících 0

Buď první kdo článek ohodnotí

Přihlásit k odběru
Upozornit na
guest
1 Komentář
nejstarší
Nejnovější S nejvíce hlasy
Zpětná vazba na text v článku
Zobrazit všechny komentáře
Rob

Že byla ta data šifrovaná, může být také velké štěstí. Je totiž určitá pravděpodobnost, že systém pracuje s privátními klíči uživatelů a administrátorů, které jsou uloženy v šifrované podobě pod jejich hesly. Aby uživatel nebo admin rozklíčoval a mohl vidět data aplikace, je k tomu zapotřebí vždy jeho heslo. V podstatě to probíhá tak, že nově registrující se uživatel si vytvoří pár klíčů, které aplikace uloží na serveru u jeho účtu. Vznikne uživatelův veřejný klíč a privátní klíč, který je však encryptován jeho heslem. Pak se přihlásí administrátor a pomocí veřejného klíče uživatele zašifruje šifrovací klíč aplikace a uloží jej v této podobě k záznamu uživatele v databázi, což se dá stihnout v momentě ověření emailu, ale je nutná přítomnost administrátora. Šifrovací klíč aplikace vznikne při prvním spouštění aplikace způsobem elektronického podpisu, což je jednorázová akce. Aby mohl admin učinit výše zmíněné a přidělit uživateli přístup do aplikace (což z pohledu uživatele maskuje ověřením emailové adresy), musí mít k dispozici své heslo. Pomocí svého (vlastním heslem rozšifrovaného) privátního klíče smí získat a v ten moment předat jemu přidělený šifrovací klíč do aplikace. Adminem přidělený záznam s šifrovacím klíčem smí na úrovni serveru rozšifrovat pouze sám uživatel, který jej získal od administrátora, neboť získání šifrovacího klíče vyžaduje k svému rozšifrování uživatelův privátní klíč a tedy také jeho heslo. Ani administrátor, který jej vytvořil, takto uložený klíč v cizím záznamu nemůže rozšifrovat. Poenta je v tom, že životní prostor takto vytvořené aplikace žádný šifrovací klíč k aplikaci nebo volně dostupné privátní klíče uživatelů prostě fyzicky neobsahuje. Takže je i pravděpodobné, že z těch dat nikdy nikdo nic nedostane. Pokud dojde k úniku hesla uživatele nebo administrátora, je třeba zohlednit přítomnost saltu ve zdrojových kódech aplikace, který když se do procesu decryptování správně nepřidá, nelze žádná data získat. Dobře díru to samozřejmě má. Problém nastává v momentě, kdy se sejdou tyto tři okolnosti:

1.) Dojde k odcizení dat aplikace
2.) Dojde k odcizení zdrojových kódů aplikace
3.) Dojde k odcizení hesla kteréhokoliv uživatele nebo administrátora aplikace

Pokud se tyto věci sejdou dohromady v jeden moment, bude útočník schopen vědomost ukradeného hesla uživatele (patrně díky nějakému svému malware programu) zkombinovat s vědomostí, jakým způsobem a jaký salt se přidává k šifrování, kterou získal ve zdrojových kódech aplikace. Tímto způsobem rozšifruje privátní klíč uživatele, u kterého došlo k úniku hesla. Pomocí rozšifrovaného privátního klíče uživatele pak dokáže získat elektronický podpis aplikace z jemu přiděleného šifrovacího klíče. Jak aplikovat elektronický podpis na získání dat, se hacker dočte v ukradených zdrojových kódech. Poté opravdu získá přístup ke všem datům. Bohužel zdrojové kódy se kradou dost špatně. Rozhodně hůře, než hesla uživatelů nebo data. Klíčové kódy bývají z venku (mimo server) zcela neviditelné, což je běžná praxe a nutnost každého bezpečnějšího systému. Většinou se o zdrojové kódy nepřichází a když, tak se všechno okamžitě zastaví a dochází k opravě. Žijeme však v nebezpečné době digitálních technologií. Bránit se dá. Věřím, že útočníci tentokrát žádná data nezískají.

spot_img