Популярный в США и Канаде сервис коллективных покупок LivingSocial в субботу рано утром сообщил о том, что он стал жертвой хакерского нападения, в результате которого скомпрометированными оказались свыше 50 млн пользовательских учетных записей. Согласно экстренному заявлению, распространенному компанией, неизвестная группа злоумышленников выкрала из базы данных сервиса имена пользователей, их адреса электронной почты, даты рождения и зашифрованные пароли от ученых записей. С учетом доступных данных о количестве пользователей LivingSocial, в руках злоумышленников оказалась большая часть клиентских данных LivingSocial. Согласно последним доступным данным LivingSocial, сейчас сервисом пользуются порядка 70 млн человек. LivingSocial частично принадлежит Amazon, на сегодня у компании есть филиалы в Южной Корее, Филиппинах, Индонезии и Таиланде. Пользователи за пределами США не стали добычей хакеров, так как данные о них хранятся на отдельных серверах, доступа к которым во время операции не было. По словам технического специалиста White Hat Security Роберта Хансена, сейчас для LivingSocial очень важно определить масштаб и примерную географию реальной утечки данных. "Если мы исходим из того, что интернетом сейчас пользуются около 1 млрд человек, то 50 млн человек - это примерно 0,5% от общей базы пользователей. С учетом того, что большинство пользователей, несмотря на предупреждения специалистов, продолжают использовать одни и те же пароли и логины для десятков сервисов, то взлом может иметь катастрофические последствия, даже если хакеры и не получили прямого доступа к банковским счетам и картам пользователей. Всем, кто оказался затронут взломом, необходимо как можно скорее сменить все пароли", - говорит Хансен. Сама компания уже разослала пользователям предупреждения о необходимости смены паролей. Тим О'Шонесси, генеральный директор LivingSocial, говорит, что компания уже "активно работает" с правоохранительными органами относительно последнего инцидента. Также в письме пользователям глава компании рекомендует "немедленно" заменить все пароли как от системы пользовательского интерфейса в LivingSocial, так и для всех других интерфейсов, работающих от той же связки логин/пароль. Кроме того, О'Шонесси заверил, что хакеры не могли получить прямого доступа к платежным реквизитам пользователей, так как эти данные хранились отдельно от основного массива клиентской информации. В то же время, независимые эксперты по безопасности критикуют LivingSocial за недостаточно полное раскрытие информации. Так, в сообщении популярного сервиса ничего не говорится о том, как долго продолжалась атака, когда хакеры впервые получили доступ к закрытым данным, наконец, какая именно техника привела к успешному открытию базы данных. "Если бы мы знали эти данные, то нам было бы проще помочь остальным ИТ-компаниям, а возможно и самой LivingSocial", - говорит Хансен. Впрочем, в LivingSocial говорят, что не планируют разглашать технические подробности о типе атаки и ее продолжительности. Напомним, что за последние несколько месяцев жертвами хакеров стали такие интернет-компании, как LinkedIn, Evernote, Zappos и другие. Все они "поделились" с хакерами данными своих пользователей.
Источник