Производитель спортивной одежды и аксессуаров Under Armour заявил об утечке данных 150 миллионов пользователей ее приложения MyFitnessPal: злоумышленники заполучили их логины, адреса электронной почты и хэши паролей. Представители компании заверили, что личные данные, такие как номера банковских карт и номера социального страхования, не пострадали.

В пятницу Under Armour обратилась к своим клиентам с заявлением, согласно которому 25 марта 2018 года им стало известно, что в феврале «постороннее лицо заполучило данные, связанные с учетными записями MyFitnessPal».

Через четыре дня после обнаружения проблемы компания начала рассылать уведомления сообществу MyFitnessPal через электронную почту и свое приложение. Как говорится в заявлении Under Armour, сообщение содержит рекомендованные действия для пользователей программы по повышению безопасности и защите личной информации.

«В отличие от других компаний, Under Armour почти сразу раскрыла факт утечки, за что получила солидный плюс в свою карму, — считает Джордж Аветисов (George Avetisov), генеральный директор ИБ-компании HYPR. — Это подтверждает, что даже без юридического принуждения предприниматели имеют обязательства перед своими клиентами и несут фидуциарную ответственность, требующую как можно скорее раскрывать сведения об утечках».

Для сравнения, у LinkedIn ушло четыре года на то, чтобы обнаружить и уведомить общественность о краже адресов электронной почты и паролей 117 млн пользователей. Столько же тянул сервис Dropbox с раскрытием подробностей утечки учетных данных более чем 68 млн аккаунтов, произошедшей в 2012 году. У компании Yahoo расследование и обнародование масштабной кражи сведений об учетных записях 3 млрд клиентов растянулось на три года.

«Пострадала такая информация, как имена пользователей, адреса электронной почты и хэши паролей; большинство из них были защищены криптографической функцией bcrypt», — сказано в электронном письме Пола Фиппса (Paul Fipps), директора по цифровым технологиям компании Under Armour, которое он адресовал своим клиентам.

Bcrypt представляет собой алгоритм формирования хэшей паролей 19-летней давности, основанный на симметричном блочном шифре Blowfish. Он считается безопасным и полагается на метод растяжения ключа (Key Stretching), усложняющий атаку перебором.

Но как утверждает известный эксперт Трой Хант (Troy Hunt), управляющий репозиторием по утечкам данных HaveIBeenPwned.com, часть сведений об учетных записях MyFitnessPal была защищена более старой и слабой функцией хэширования SHA-1.

«Ситуация повторяет случай с Dropbox. Половина хэшей у них создавалась при помощи SHA-1, половина — при помощи Bcrypt, — сообщил Хант в своем еженедельном видеоблоге. — Многие компании со временем приходят к тому, что SHA-1 уже не безопасна и нужно переходить на Bcrypt, но первый алгоритм продолжают использовать в целях совместимости».

Эксперт полагает, что портирование миллионов учетных записей с защитой SHA-1 на Bcrypt отнимает слишком много времени, поскольку происходит только при входе пользователя в систему, из-за чего многие аккаунты остаются уязвимыми.

Компания Under Armour отказалась уточнить, какой процент данных они шифровали при помощи SHA-1, отметив лишь, что меньшую часть.

По словам Пола Фиппса, в ближайшие дни пользователей попросят сменить свои пароли.

«Как только нам стало известно об утечке, мы быстро определили масштаб и характер атаки. Расследовать инцидент нам помогают ведущие ИБ-компании. Также мы уведомили об этом случае правоохранительные органы и сотрудничаем с ними по всем вопросам», — написал Фиппс в обращении к пользователям MyFitnessPal.

На данный момент утечка MyFitnessPal — самая крупная в 2018 году.

«История повторяется и подтверждает, что мы до сих пор ничему не научились на прошлом опыте. Компании продолжают хранить в одной корзине все данные, будь то пароли или медицинские сведения. Запустив в нее руки, хакер получает все», — считает Аветисов.

Категории: Главное, Кибероборона