29 марта пользователи приложения MyFitnessPal, предназначенного для учёта калорий и изменения веса, получили письмо о взломе аккаунтов. Хакерам удалось получить имена пользователей, адреса и хэши паролей. Получение данных о пользователях в количестве большем, чем население Японии и России, делает этот взлом один из крупнейших за всю историю по этому показателю.
Акции Under Armour Inc, владеющей приложением MyFitnessPal, упали на 4,6%.
25 марта 2018 года команде MyFitnessPal стало известно о неавторизованном получении третьими лицами данных аккаунтов пользователей. Информация включала логины, адреса, хеши паролей (приложение использует bcrypt). К счастью, не были скомпрометированы данные карт социального страхования (это касается граждан США) и данные платёжных карт. Компания заявила, что сейчас проводит расследование совместно с «лидирующими организациями в области информационной безопасности».
Пользователям дали несколько рекомендаций:
- Сменить пароли во всех аккаунтах, в которых они используют похожую или ту же информацию, что для MyFitnessPal
- Проверить все свои аккаунты на подозрительную активность
- Быть осторожнее с письмами и сообщениями, которые запрашивают личные данные или перенаправляют на страницы с такими запросами
- Избегать подозрительных ссылок в почте
То есть вести себя так, как это в принципе нужно делать всегда с точки зрения безопасности аккаунтов. И лучше не использовать одинаковые пароли для двух и более приложений. Хакеры могут организовать рассылку писем по полученным электронным адресам, чтобы выявить активных пользователей — продажа их данных будет более выгодна.
Это самый крупный взлом за 2018 год и один из 5 крупнейших за историю по данным SecurityScorecard. Среди более массовых взломов — 3 миллиарда скомпрометированных аккаунтов Yahoo в 2013 году. В 2016 году компания говорила о похищении данных 500 миллионов логинов, паролей и дат рождения, а в 2017 призналась в том, что хакеры получили данные всех аккаунтов. После массовой атаки на Yahoo пользователи сервиса подали в суд более 40 исков по данным на октябрь 2017 года, в том числе с формулировками вроде «персональная информация теперь находится в руках преступников или же врагов США».
В ноябре 2017 года на слушаниях в сенате США бывший руководитель Yahoo Марисса Майер извинилась перед пользователями за взлом и обвинила в похищении данных «российских агентов»: «К несчастью, несмотря на все предпринимаемые методы защиты позволяли Yahoo успешно отражать как атаки от частных лиц, так и спонсируемые государствами хакерские атаки, российские агенты проникли в наши системы и украли данные пользователей».
Другим заметным взломом стало получение 412 миллионов аккаунтов пользователей сайтов «взрослых» знакомств в FriendFinder Networks Inc в 2016 году. Из-за недостаточной предусмотрительности организации около 99% данных было расшифровано. Более того, в случае с FriendFinder Networks Inc под удар попали даже удалённые пользователи: более 15 миллионов аккаунтов остались в базе в виде email@address.com@deleted1.com. Из 412 миллионов аккаунтов около 900 тысяч были защищены сложным для подбора паролем «123456», на втором месте — его упрощённая версия «12345». Особенно сильно заботящиеся о безопасности своих аккаунтов пользователи выбирали «123456789», «12345678» и «1234567890», а настоящие гуру — «password» и «qwerty».
Немного не догнали взломщиков MyFitnessPal по количеству украденных аккаунтов хакеры, получившие 145 миллионов аккаунтов аукциона eBay. В руки злоумышленников попали имена, адреса электронной почты, хеши паролей, домашние адреса, телефоны и даты рождения пользователей.
Автор: Иван Сычев