Názory k článku
Mall.cz musí odškodnit uživatele za únik hesla, rozhodl soud

Celkem rad bych vedel jak se prislo na tu skodu 10tisic Kc. Mnohem dulezitejsi je, ze tohle rozhodnuti je vlastne navod jak zlikvidovat firmu. Kdyby jen pulka tech poskozenejch chtela 10 tacu jako odskodneni. pak to Mall.cz muze rovnou zabalit, protoze jiste nemaji poruce zbytecne ~3 miliardy Kc...

V rozsudku se píše, že chtěl původně 115k, ale soudy se shodly na 10k. Úplně zdůvodněné to tam není, nebo to v tom nevidím.
Ale hned mě napadlo; třeba jsem měl to štěstí, že Mallu unikl i můj účet? Narozdíl od žalujícího mám hesla různá, ale to soud konstatoval, je jeho problém, nebylo to věcí odškodnění. Náklady na vedení řízení vede Mall, takže teď hádám stačí přijít k nim na recepci, sdělit jim svojí emailovou adresu, odkliknout nějaký potvrzovací email, a desítka bude doma...
Je to trochu moc. Vzhledem k tomu, že k žádnému reálnému poškození nedošlo, jen si tři čtvrtě milionu lidí muselo změnit hesla (nebo tam třeba už nenakupovat), a je to věc, se kterou je nutné na Internetu počítat, je to odškodné fakt hodně, a pokud se ten zbytek lidí dohodne (to nebude pro nějakého advokáta problém, jejich emailové adresy má...), Mall to položí.

> V rozsudku se píše, že chtěl původně 115k

FYI tohle je anchoring.

Jak víš, že k reálnému poškození nedošlo, co je a co není reálné poškození?

Se spamem jsem měl dlouho klid. V podstatě 8 let mi chodilo úplně zanedbatelné množství, které procházelo z nějakých dříve založených freemailů přeposílaných na hlavní email na vlastní doméhně. Cca před dvěma lety mi začalo najednou chodit množství spamu i na dříve čistý hlavní email.

Nejzajímavější byly spamy, kde mi někdo vyhrožoval, že mě natočil, jak si u počítače honím péro a pokud nezaplatím, tak to zveřejní. Pro větší autentičnost v těchto vyděračských mailech nechybí heslo které jsem použil pouze jednou při registraci do jednoho konkrétního eshopu. Tím že si ten eshop nedokázal zabezpečit databází, tak mi škodu způsobil, protože teď musím řešit antispam.

Ono to jednou přijít muselo, ale kdyby to byl nějaký příjemce se zavirovaným počítačem, tak by mě to štvalo miň, než tenhle laxní přístup eshopu k uchovávaným datům.

Já dávám všude unikátní adresu (jenda.<náhodné znaky>@...). Nedoporučuji používat standardní +, protože o tom spammeři vědí. Když pak přijde spam (stejně jako u tebe to zatím vždy byly spamy „natočil jsem vás masturbovat“), vím, odkud adresa unikla. Zatím to bylo z bike-eshop.cz, plantvillage.psu­.edu a wifileaks.cz. Všem třem jsem to ohlásil, zareagoval pouze ten poslední.

Taky zacinam pouzivat unikatni adresy + unikatni hesla pro registraci - unik jsem zaznamenal od SOS electronic, prislo heslo ze spamu v plantextu! Jsem jim to nahlasil a nic.. proste se neobtezovali dat vedet uzivatelum at si hesla zmeni.. nechapu proc zatloukaji, si mysli ze se na to neprijde casem?

Neexistuje nějaká databáze serverů, odkud hesla unikla? Že by to mohl člověk použít při rozhodování, kde třeba nakoupí?

"Vzhledem k tomu, že k žádnému reálnému poškození nedošlo, jen si tři čtvrtě milionu lidí muselo změnit hesla"

To pro některé nemusí být úplně pravda... Ten únik byl rozpoznán až v době, kdy někdo na Uložto nahrál celou databázi a není (nebylo) myslím nikde uvedeno, kdy k tomu úniku původně došlo.

Tedy hesla mohla být uniklá i delší dobu, a až v době, kdy někoho napadlo to nahrát na Uložto, se na to přišlo. Tzn. ta hesla mohl útočník jednotlivým uživatelům zneužívat i delší dobu a Mall kvůli špatné úrovni bezpečnosti na to víceméně nepřišel.

Tak mohla být újma pro některé uživatele výrazně vyšší a část odpovědnosti na tom nese právě Mall, nicméně ano část odpovědnosti na tom nese sám uživatel, pokud využívá stejné heslo do více služeb (což je ale poměrně časté).

24. 10. 2019, 09:00 editováno autorem komentáře

Co by bolo predsa uplne v poriadku ked napriek roznym smerniciam a nariadeniam riesiacim zvysenie urovne zabezpecenia os. udajov vedome nechavali v svojom systeme takuto zranitelnost. Ked nemali volu zaplatit / pouzit tych par hodin programatora na prerabku autorizacneho mechanizmu, nech teraz zoznu burku ktoru zasiali.

A ako metodu mozno pouzili bulharsku konstantu ktoru pouzivaju aj nahravacie spolocnosti v sudnych sporoch na kalkulaciu vzniknutych skod ilegalnym stiahnutim skladby ;-)

23. 10. 2019, 11:59 editováno autorem komentáře

Většině lidí to za soud stát nebude.

Každopádně Mall platí za to, že se vykašlali na úplné základy.

No nevím jaké základy. Že může jeden admin dumpnout databázi a nejspíš se na to nepřijde je podle mě realita v naprosté většině malých a středních firem. Tím získá maily, telefony a fyzické adresy (což mi teda osobně přijde zajímavější než hash hesla). A MD5 nebyl v roce 2009 nebo ze kdy je ten dump ještě tak ostrakizovaný algoritmus na hashování hesel (a jinak rozsudek jsem nečetl, ale nepřijde mi, že by se točili kolem MD5, a tedy kdyby použili něco lepšího a heslo někdo cracknul stejně (vzhledem k tomu, že sám žalující přiznává, že ho používal na více místech, je to klidně možné), tak by to dopadlo stejně)

> Když uchovávám jakákoliv data, musím si je zabezpečit.

OK, jenom fakt nevím, jestli tenhle jeden náhodný případ způsobí, že všechny ostatní eshopy překopou způsob jakým data uchovávají, protože to vyžaduje docela se nad tím zamyslet a některá data vůbec neuchovávat, což zase může snížit použitelnost (a možnosti marketingu). (samozřejmě u hesel je to jednoduché, ale na maily, telefony, fyzické adresy, historii objednávek… žádný jednoduchý hotfix typu „použijte hashovací funkci XYZ“ neexistuje) Ostatně ty jsi někdy viděl nějaký eshop nebo podobnou službu této nebo menší velikosti, kde admin nemohl dumpnout databázi a dát ji ven?

Většině lidí to za soud stát nebude.

Ale může se toho chytnout nějaká právní kancelář a připravit hromadnou žalobu. Lidi se jen jednoduše k žalobě připojí, kancelář si půlku odškodného nechá a půlku lidem vyplatí.

> Součástí byla i hesla, která byla sice zahašovaná, ale velmi slabými funkcemi MD5 či SHA-1. Michal Špaček tehdy dokázal, že se jich dá polovina prolomit přibližně za hodinu a za 12 hodin pak lze hrubou silou získat téměř všechna.

Já měl za to, že:
1) unikly hashe
2) někdo je vycrackoval
3) někdo dal ty co se mu podařilo vycrackovat na internet
4) Michal Špaček toto stáhl, znovu zahashoval a zkusil znovu cracknout
5) Nepřekvapivě se mu podařila cracknout téměř všechna (byla to ta již jednou cracknutá, tedy nejspíš slabá)

O tom, kolik hesel zůstalo v bodě 2 necracknutých, nikdo neví. Samozřejmě pokud tedy pan Špaček nemá ještě nějaký jiný zdroj o kterém se neví.

A jinak opět by mi přišlo k smíchu, kdyby to nebyla realita, že někdo 40 let po vynálezu asymetrické kryptografie řeší nějaké úniky hesel.

Soubor, který jsem kdysi z uložta stáhl já (než ho smazali) bylo CSV ve formátu: Email, Heslo, Jméno, Příjmení, Telefonní číslo. Soubor má 776423 řádek.

Rozhodně mi přijde divné, jak se pořád mluví jen o úniku hesel, když unikly i další osobní údaje, podle kterých jde krásně párovat emaily k telefonům a jménům, což je samo o sobě na pěst a mall by si zasloužil žalobu za tohle zvlášť. Samozřejmě nehledě na to, co uniklo dál, co v tom souboru nebylo. Osobně bych čekal, že si hacker stáhl prostě celou databázi, kde toho nejspíš bylo podstatně víc (například adresy, objednávky, čísla účtů a tak dál), ale to je z mé strany spekulace.

"někdo 40 let po vynálezu asymetrické kryptografie řeší nějaké úniky hesel"
Přihlašování do e-shopu certifikátem? Takhle se nepřhlašuji ani do banky. Snad už jen KB má tuhle podivnost.

Ne, KB ji s velkou slávou zrušila.

Ano, třeba. Samozřejmě ne tak příšerně jak je to dneska implementované v prohlížečích. Já nevidím důvod proč se musí posílat heslo formulářem a ne podepsaná challenge (pokud jó nechceš mít klíč někde fyzicky, tak může být odvozený on-demand z master hesla osoleného doménou té stránky aby byl pokaždé jiný).

Tohle nás mimochodem učili na informačních technologiích už někdy v roce 2009. Myslím že dokonce byl součástí domácí úkol, kde to všichni měli implementovat.

Tak oni nezískali nutně hesla uživatelů, ale jen řetězce, které mají shodný hash, tzn. na jiné stránce, kde by ho chtěli použít, už fungovat nemusí, protože je použito jiné hashování.

To je _velmi_ nepravděpodobné.

Je teda fakt, že je pravděpodobnější, že měl uživatel heslo 123456 než d56gfd56ds54!­6f298ds5sd5dsfdsf5656132­1, ale je třeba to podotknout :D
A jen heslo asi taky neuniklo.

Na použité hašovací funkci dalšího webu nezáleží. Pokud se mi podaří zjistit hrubou silou původní heslo, prostě ho při přihlašování na jiném webu zadám do přihlašovacího formuláře. Je mi jedno, co s ním pak další web udělá a jak ho bude před porovnáním hašovat. Pokud uživatel použil stejné heslo na obou webech, jsem za něj na tom druhém přihlášený.

Predpokladam, ze narazel na moznost kolizi? Jinak by to nedavalo vubec smysl.

> Tak oni nezískali nutně hesla uživatelů, ale jen řetězce, které mají shodný hash, tzn. na jiné stránce, kde by ho chtěli použít, už fungovat nemusí, protože je použito jiné hashování.

Řetězců, které mají schodný hash a zároveň jsou kratší než třeba 50 znaků bude s použitím rozumného výpočetního výkonu relativně málo, nehledě na to že se většinou používají rainbow tables. Většina z toho co tam jde vidět jsou navíc očividně přímo hesla uživatelů. Hesla jako storm77, eliska123, kiki18, mi*sa, 123martinek, qwer789 a tak dál.

Nemám pochopení pro programátory, kteří si ze seznamu dostupných šifer vyberou něco jako md5, když mohou zvolit něco jako bcrypt. Volba šifry je záležitostí jednoho řádku kódu (plus případně ještě uvedení šifrovací knihovny v konfiguraci buildu), neboť programátor samotnou šifru neprogramuje, ale jen použije existující.
Takže od Mallu to byl sice diletantismus, který se mu ale vyplatí, neboť zaplatit zkušenějšího programátora s knowhow vybrání pokročilejší šifry by ho vyšlo dráž.

Nejsou to šifry, ale hašovací algoritmy. Zbytek je ale rozhodně pravda. Algoritmus bcrypt je starý dvacet let. Na druhou stranu třeba Linux ho dodnes v shadow nepodporuje, na rozdíl třeba od BSD.

1) Uniklá data byla dost stará a před ~10 lety se to tolik neřešilo.

2) Prolítl jsem si rozsudek a nenabyl jsem dojmu, že by se něco změnilo, kdyby to bylo hashováno něčím pomalejším.

priamo zo vstupu do db
jasne
a ja ze preco musel Randall nakreslit Exploits of a Mom https://xkcd.com/327/

Mě třeba osobně vadí, že se musím někde při nákupu registrovat. Chci si koupit věc a pravděpodobně už nikdy víc daný obchod navštívím, ale stejně to po mě chce milion osobních údajů a pak z toho akorát chodí spam (který mnohdy ani nejde odhlásit nebo chodí i sms a nesmysly do schránky - ano i tací jsou a zrovna třeba ten mall posílal spamsms) a eventuálně to někdo hackne a ještě utečou tyhle údaje někam pryč..