29 марта пользователи приложения MyFitnessPal, предназначенного для учёта калорий и изменения веса, получили письмо о взломе аккаунтов. Хакерам удалось получить имена пользователей, адреса и хэши паролей. Получение данных о пользователях в количестве большем, чем население Японии и России, делает этот взлом один из крупнейших за всю историю по этому показателю.

Акции Under Armour Inc, владеющей приложением MyFitnessPal, упали на 4,6%.



25 марта 2018 года команде MyFitnessPal стало известно о неавторизованном получении третьими лицами данных аккаунтов пользователей. Информация включала логины, адреса, хеши паролей (приложение использует bcrypt). К счастью, не были скомпрометированы данные карт социального страхования (это касается граждан США) и данные платёжных карт. Компания заявила, что сейчас проводит расследование совместно с «лидирующими организациями в области информационной безопасности».

Пользователям дали несколько рекомендаций:

  • Сменить пароли во всех аккаунтах, в которых они используют похожую или ту же информацию, что для MyFitnessPal
  • Проверить все свои аккаунты на подозрительную активность
  • Быть осторожнее с письмами и сообщениями, которые запрашивают личные данные или перенаправляют на страницы с такими запросами
  • Избегать подозрительных ссылок в почте

То есть вести себя так, как это в принципе нужно делать всегда с точки зрения безопасности аккаунтов. И лучше не использовать одинаковые пароли для двух и более приложений. Хакеры могут организовать рассылку писем по полученным электронным адресам, чтобы выявить активных пользователей — продажа их данных будет более выгодна.

Это самый крупный взлом за 2018 год и один из 5 крупнейших за историю по данным SecurityScorecard. Среди более массовых взломов — 3 миллиарда скомпрометированных аккаунтов Yahoo в 2013 году. В 2016 году компания говорила о похищении данных 500 миллионов логинов, паролей и дат рождения, а в 2017 призналась в том, что хакеры получили данные всех аккаунтов. После массовой атаки на Yahoo пользователи сервиса подали в суд более 40 исков по данным на октябрь 2017 года, в том числе с формулировками вроде «персональная информация теперь находится в руках преступников или же врагов США».

В ноябре 2017 года на слушаниях в сенате США бывший руководитель Yahoo Марисса Майер извинилась перед пользователями за взлом и обвинила в похищении данных «российских агентов»: «К несчастью, несмотря на все предпринимаемые методы защиты, которые позволяли Yahoo успешно отражать как атаки от частных лиц, так и спонсируемые государствами хакерские атаки, российские агенты проникли в наши системы и украли данные пользователей».

Другим заметным взломом стало получение 412 миллионов аккаунтов пользователей сайтов «взрослых» знакомств в FriendFinder Networks Inc в 2016 году. Из-за недостаточной предусмотрительности организации около 99% данных было расшифровано. Более того, в случае с FriendFinder Networks Inc под удар попали даже удалённые пользователи: более 15 миллионов аккаунтов остались в базе в виде email@address.com@deleted1.com. Из 412 миллионов аккаунтов около 900 тысяч были защищены сложным для подбора паролем «123456», на втором месте — его упрощённая версия «12345». Особенно сильно заботящиеся о безопасности своих аккаунтов пользователи выбирали «123456789», «12345678» и «1234567890», а настоящие гуру — «password» и «qwerty».

Немного не догнали взломщиков MyFitnessPal по количеству украденных аккаунтов хакеры, получившие 145 миллионов аккаунтов аукциона eBay. В руки злоумышленников попали имена, адреса электронной почты, хеши паролей, домашние адреса, телефоны и даты рождения пользователей.

Комментарии (17)


  1. scifinder
    02.04.2018 10:12

    Опять забыли про видимость bucket на AWS?


    1. chumric
      02.04.2018 13:43

      А что там с видимостью?


      1. scifinder
        03.04.2018 11:37
        +1

        Ну, вёдра на AWS должны иметь уникальное имя, и к ним идёт обращение по адресу имя.s3.amazonaws.com, соответственно, зная, как компания назвала bucket, можно открыть его через API (если админ не закрыл к нему доступ, что требует дополнительных телодвижений). Можно почитать здесь и здесь.


  1. cicatrix
    02.04.2018 10:33
    +1

    Вот делаешь сайтик для фирмочки на полтора пользователя и заморачиваешься на безопасности как параноик. Люди обслуживают миллионы пользователей, а на разработку, видимо, школьников нанимают.


    1. foxin
      02.04.2018 11:12

      так везде всё одинаково. у нас пилят бюджеты «как будто это в последний раз», а «там» — с чувством, с толком, с расстановкой. и на работу принимаются родственники — везде, а не только у нас.
      одно радует — без работы точно не останемся =)


    1. shumsky93
      02.04.2018 12:26

      только вот сайтик для фирмочки на полтора пользователя и проще по устройству, и, по факту, тот самый «неуловимый Джо»


    1. immaculate
      02.04.2018 12:49

      Как фрилансер множество раз сталкивался со следующей схемой. Компания ищет подрядчика, который сделает ей какой-то сервис. Находит фирму «Рога и копыта». Те говорят, что у них огромный опыт, куча опытных разработчиков, у которых, десятилетия опыта разработки именно тех вещей, которые нужны заказчику. После подписания контракта «Рога и копыта» создают на досках объявлений для фрилансеров объявления типа: «Awesome job opportunity! You need to develop a new Dropbox. We pay a lot of money — after 1 year of hard work you'll get $5/hour rate».

      В этой схеме может быть от 1 до 3-5 посредников, а на самом верху может быть какой угодно заказчик, вплоть до правительственного (конкретно я дважды за свою практику фриланса сталкивался с таким).

      Поэтому качество может быть очень разным. Все зависит от опыта и жадности посредников. Иногда они ничего не понимают в том, что требуется заказчику, и набирают первых попавшихся людей, 90% выручки от контракта берут себе, на зарплату исполнителям оставляют жалкие крохи. Иногда бывают адекватные разбирающиеся люди, которые могут и набрать хороших исполнителей, и хорошо платить, и грамотно управлять проектом.


    1. imanushin
      02.04.2018 13:03

      Здесь применяется рациональный подсчет. Если бы разработчики сделали бронебойный сервис, то потратили бы немало денег на создание. А значит, возможно, даже не запустились бы, так как не хватило бы средств.


      Однако создатели поступили очень логично и рационально: сделали быстрое решение, которое позволило зарабатывать деньги.


      По сути это эволюционный подход:


      • Компании, которые делают надежные сервисы, не выдерживают конкурентной борьбы (их товар стоит дороже
      • Компании, которые делают тяп-ляп и умело завуалировали всё — побеждают по себестоимости (а иногда и по удобству)


      1. littorio
        03.04.2018 09:40

        Добавлю важное свойство — после того, как код написан, большинство менеджеров ни в жизнь не уговорить его переписать или улучшить. Это просто за пределами бизнес-целесообразности. Даже если проект уже успешен и тихо стрижёт бабки. Оно же уже написано, оно уже есть.

        Суммируя эти три пункта, получаем — успешные проекты зачастую написаны в стиле «тяп-ляп». Они остаются такими длительное время, т.к. нет явной необходимости их улучшать. Если это не титаны уровня Dropbox или Facebook, конечно.


  1. yurisv3
    02.04.2018 12:15

    Неуловимый Джо наконец пойман. Украдены убогие данные убогого приложения. Вот так Трагедия…


    1. trogg
      02.04.2018 14:25
      +1

      150 лямов пользователей. Может софтина и убогая но это явно не «Неуловимый джо»


      1. yurisv3
        02.04.2018 14:30

        Длина моего шага 0.78 м.

        Ну вот, вы знаете обо мне все самое главное — делайте с этим все, что хотите, я ваш! И 150 миллионов тоже.


        1. DracoL1ch
          02.04.2018 14:34

          Геолокация как минимум в комплекте, а это очень дорогая инфа, пусть и немного проблемно сопоставить её будет с человеком, если применялось обезличивание


        1. tvr
          02.04.2018 14:36

          Длина моего шага 0.78 м.


          Недорого поможем увеличить длину вашего шага до 0,84 м.! Вы же этого хотели добиться?


        1. zartarn
          02.04.2018 15:48

          А еще там кто что предпочитает есть, что с чем покупает, как часто, чем занимается. И многое другое.


        1. BalinTomsk
          02.04.2018 19:30

          Еще мы знаем где вы живете, где работаете и часто бываете. И адреса всех ваших знакомых и когда вы с ними были у них дома.


        1. Shadow_Man
          02.04.2018 19:46

          Хех, я там зареган и на разу даже не пользовался приложением, недавно пришло письмо от них на почту, я не удосужился даже прочитать, а оно вот оказывается что.