Акции Under Armour Inc, владеющей приложением MyFitnessPal, упали на 4,6%.
25 марта 2018 года команде MyFitnessPal стало известно о неавторизованном получении третьими лицами данных аккаунтов пользователей. Информация включала логины, адреса, хеши паролей (приложение использует bcrypt). К счастью, не были скомпрометированы данные карт социального страхования (это касается граждан США) и данные платёжных карт. Компания заявила, что сейчас проводит расследование совместно с «лидирующими организациями в области информационной безопасности».
Пользователям дали несколько рекомендаций:
- Сменить пароли во всех аккаунтах, в которых они используют похожую или ту же информацию, что для MyFitnessPal
- Проверить все свои аккаунты на подозрительную активность
- Быть осторожнее с письмами и сообщениями, которые запрашивают личные данные или перенаправляют на страницы с такими запросами
- Избегать подозрительных ссылок в почте
То есть вести себя так, как это в принципе нужно делать всегда с точки зрения безопасности аккаунтов. И лучше не использовать одинаковые пароли для двух и более приложений. Хакеры могут организовать рассылку писем по полученным электронным адресам, чтобы выявить активных пользователей — продажа их данных будет более выгодна.
Это самый крупный взлом за 2018 год и один из 5 крупнейших за историю по данным SecurityScorecard. Среди более массовых взломов — 3 миллиарда скомпрометированных аккаунтов Yahoo в 2013 году. В 2016 году компания говорила о похищении данных 500 миллионов логинов, паролей и дат рождения, а в 2017 призналась в том, что хакеры получили данные всех аккаунтов. После массовой атаки на Yahoo пользователи сервиса подали в суд более 40 исков по данным на октябрь 2017 года, в том числе с формулировками вроде «персональная информация теперь находится в руках преступников или же врагов США».
В ноябре 2017 года на слушаниях в сенате США бывший руководитель Yahoo Марисса Майер извинилась перед пользователями за взлом и обвинила в похищении данных «российских агентов»: «К несчастью, несмотря на все предпринимаемые методы защиты, которые позволяли Yahoo успешно отражать как атаки от частных лиц, так и спонсируемые государствами хакерские атаки, российские агенты проникли в наши системы и украли данные пользователей».
Другим заметным взломом стало получение 412 миллионов аккаунтов пользователей сайтов «взрослых» знакомств в FriendFinder Networks Inc в 2016 году. Из-за недостаточной предусмотрительности организации около 99% данных было расшифровано. Более того, в случае с FriendFinder Networks Inc под удар попали даже удалённые пользователи: более 15 миллионов аккаунтов остались в базе в виде email@address.com@deleted1.com. Из 412 миллионов аккаунтов около 900 тысяч были защищены сложным для подбора паролем «123456», на втором месте — его упрощённая версия «12345». Особенно сильно заботящиеся о безопасности своих аккаунтов пользователи выбирали «123456789», «12345678» и «1234567890», а настоящие гуру — «password» и «qwerty».
Немного не догнали взломщиков MyFitnessPal по количеству украденных аккаунтов хакеры, получившие 145 миллионов аккаунтов аукциона eBay. В руки злоумышленников попали имена, адреса электронной почты, хеши паролей, домашние адреса, телефоны и даты рождения пользователей.
Комментарии (17)
cicatrix
02.04.2018 10:33+1Вот делаешь сайтик для фирмочки на полтора пользователя и заморачиваешься на безопасности как параноик. Люди обслуживают миллионы пользователей, а на разработку, видимо, школьников нанимают.
foxin
02.04.2018 11:12так везде всё одинаково. у нас пилят бюджеты «как будто это в последний раз», а «там» — с чувством, с толком, с расстановкой. и на работу принимаются родственники — везде, а не только у нас.
одно радует — без работы точно не останемся =)
shumsky93
02.04.2018 12:26только вот сайтик для фирмочки на полтора пользователя и проще по устройству, и, по факту, тот самый «неуловимый Джо»
immaculate
02.04.2018 12:49Как фрилансер множество раз сталкивался со следующей схемой. Компания ищет подрядчика, который сделает ей какой-то сервис. Находит фирму «Рога и копыта». Те говорят, что у них огромный опыт, куча опытных разработчиков, у которых, десятилетия опыта разработки именно тех вещей, которые нужны заказчику. После подписания контракта «Рога и копыта» создают на досках объявлений для фрилансеров объявления типа: «Awesome job opportunity! You need to develop a new Dropbox. We pay a lot of money — after 1 year of hard work you'll get $5/hour rate».
В этой схеме может быть от 1 до 3-5 посредников, а на самом верху может быть какой угодно заказчик, вплоть до правительственного (конкретно я дважды за свою практику фриланса сталкивался с таким).
Поэтому качество может быть очень разным. Все зависит от опыта и жадности посредников. Иногда они ничего не понимают в том, что требуется заказчику, и набирают первых попавшихся людей, 90% выручки от контракта берут себе, на зарплату исполнителям оставляют жалкие крохи. Иногда бывают адекватные разбирающиеся люди, которые могут и набрать хороших исполнителей, и хорошо платить, и грамотно управлять проектом.
imanushin
02.04.2018 13:03Здесь применяется рациональный подсчет. Если бы разработчики сделали бронебойный сервис, то потратили бы немало денег на создание. А значит, возможно, даже не запустились бы, так как не хватило бы средств.
Однако создатели поступили очень логично и рационально: сделали быстрое решение, которое позволило зарабатывать деньги.
По сути это эволюционный подход:
- Компании, которые делают надежные сервисы, не выдерживают конкурентной борьбы (их товар стоит дороже
- Компании, которые делают тяп-ляп и умело завуалировали всё — побеждают по себестоимости (а иногда и по удобству)
littorio
03.04.2018 09:40Добавлю важное свойство — после того, как код написан, большинство менеджеров ни в жизнь не уговорить его переписать или улучшить. Это просто за пределами бизнес-целесообразности. Даже если проект уже успешен и тихо стрижёт бабки. Оно же уже написано, оно уже есть.
Суммируя эти три пункта, получаем — успешные проекты зачастую написаны в стиле «тяп-ляп». Они остаются такими длительное время, т.к. нет явной необходимости их улучшать. Если это не титаны уровня Dropbox или Facebook, конечно.
yurisv3
02.04.2018 12:15Неуловимый Джо наконец пойман. Украдены убогие данные убогого приложения. Вот так Трагедия…
trogg
02.04.2018 14:25+1150 лямов пользователей. Может софтина и убогая но это явно не «Неуловимый джо»
yurisv3
02.04.2018 14:30Длина моего шага 0.78 м.
Ну вот, вы знаете обо мне все самое главное — делайте с этим все, что хотите, я ваш! И 150 миллионов тоже.DracoL1ch
02.04.2018 14:34Геолокация как минимум в комплекте, а это очень дорогая инфа, пусть и немного проблемно сопоставить её будет с человеком, если применялось обезличивание
tvr
02.04.2018 14:36Длина моего шага 0.78 м.
Недорого поможем увеличить длину вашего шага до 0,84 м.! Вы же этого хотели добиться?
zartarn
02.04.2018 15:48А еще там кто что предпочитает есть, что с чем покупает, как часто, чем занимается. И многое другое.
BalinTomsk
02.04.2018 19:30Еще мы знаем где вы живете, где работаете и часто бываете. И адреса всех ваших знакомых и когда вы с ними были у них дома.
Shadow_Man
02.04.2018 19:46Хех, я там зареган и на разу даже не пользовался приложением, недавно пришло письмо от них на почту, я не удосужился даже прочитать, а оно вот оказывается что.
scifinder
Опять забыли про видимость bucket на AWS?
chumric
А что там с видимостью?
scifinder
Ну, вёдра на AWS должны иметь уникальное имя, и к ним идёт обращение по адресу имя.s3.amazonaws.com, соответственно, зная, как компания назвала bucket, можно открыть его через API (если админ не закрыл к нему доступ, что требует дополнительных телодвижений). Можно почитать здесь и здесь.