МОСКВА, 29 апр - РИА Новости. От хищения персональных данных из базы американского сервиса коллективных скидок LivingSocial пострадают те пользователи, которые промедлят со сменой своих логинов и паролей, полагают эксперты, опрошенные изданием Digit.ru.
В пятницу сервис LivingSocial сообщил о том, что его сайт подвергся атаке злоумышленников. В результате взлома неизвестной группой злоумышленников были украдены из базы данных сервиса имена пользователей, их адреса электронной почты, даты рождения и зашифрованные пароли от ученых записей. Данные о кредитных картах пользователей украдены не были. Как сообщается, из 70 миллионов клиентов сервиса из базы украдены данные 50 миллионов пользователей.
По словам аналитика антивирусной компании Eset Артема Баранова, LivingSocial, как и многие другие интернет-сервисы, не хранит пароли пользователей и другую критичную информацию в открытом виде, а подвергает ее шифровке, в случае LivingSocial - по криптографическому алгоритму SHA1, рекомендованному, в частности, для госучреждений в США. Следовательно, расшифровка этих данных является трудоемкой задачей, требующей длительного времени.
В связи с этим аналитик отмечает, что подобные атаки рассчитаны на пользователей, которые не успеют быстро сменить пароль после обнаружения взлома и, таким образом, поставят себя под удар. Особую опасность данный инцидент представляет для пользователей, применяющих один пароль для разных сервисов – например, и для LivingSocial, и для доступа к почтовому ящику. Если они не успеют оперативно сменить пароли, то рискуют понести серьезный ущерб, в том числе финансовый.
"Взлом столь крупного сервиса, каким является LivingSocial, причиняет ущерб не только данным пользователей, но и наносит колоссальный урон репутации компании-разработчика. Ведь, как правило, хищение информации в таких объемах становится возможным из-за недоработки в системе безопасности сервиса", - считает Баранов.
Очевидно, что главной целью киберпреступников была база номеров кредитных карт или иных платежных средств, а также данные учетных записей пользователей. По словам Сергея Голованова, антивирусного эксперта "Лаборатории Касперского", при атаке с использованием инсайдера из числа сотрудников пострадавшей компании злоумышленникам удалось бы проникнуть намного глубже в системы сервиса и похитить данные о расчетных картах клиентов. Однако в данном инциденте злоумышленники, скорее всего, использовали чисто технические меры получения несанкционированного доступа к базе данных.
Эксперт отмечает, что достаточно было единожды получить несанкционированный доступ к базе данных LivingSocial, содержащей информацию о клиентах сервиса, и злоумышленники смогли свободно сгружать неограниченное количество данных, поэтому в данном конкретном случае был зафиксирован такой большой объем украденных данных.