Один из крупнейших взломов в истории: хакеры получили данные 150 миллионов пользователей MyFitnessPal

    29 марта пользователи приложения MyFitnessPal, предназначенного для учёта калорий и изменения веса, получили письмо о взломе аккаунтов. Хакерам удалось получить имена пользователей, адреса и хэши паролей. Получение данных о пользователях в количестве большем, чем население Японии и России, делает этот взлом один из крупнейших за всю историю по этому показателю.

    Акции Under Armour Inc, владеющей приложением MyFitnessPal, упали на 4,6%.



    25 марта 2018 года команде MyFitnessPal стало известно о неавторизованном получении третьими лицами данных аккаунтов пользователей. Информация включала логины, адреса, хеши паролей (приложение использует bcrypt). К счастью, не были скомпрометированы данные карт социального страхования (это касается граждан США) и данные платёжных карт. Компания заявила, что сейчас проводит расследование совместно с «лидирующими организациями в области информационной безопасности».

    Пользователям дали несколько рекомендаций:

    • Сменить пароли во всех аккаунтах, в которых они используют похожую или ту же информацию, что для MyFitnessPal
    • Проверить все свои аккаунты на подозрительную активность
    • Быть осторожнее с письмами и сообщениями, которые запрашивают личные данные или перенаправляют на страницы с такими запросами
    • Избегать подозрительных ссылок в почте

    То есть вести себя так, как это в принципе нужно делать всегда с точки зрения безопасности аккаунтов. И лучше не использовать одинаковые пароли для двух и более приложений. Хакеры могут организовать рассылку писем по полученным электронным адресам, чтобы выявить активных пользователей — продажа их данных будет более выгодна.

    Это самый крупный взлом за 2018 год и один из 5 крупнейших за историю по данным SecurityScorecard. Среди более массовых взломов — 3 миллиарда скомпрометированных аккаунтов Yahoo в 2013 году. В 2016 году компания говорила о похищении данных 500 миллионов логинов, паролей и дат рождения, а в 2017 призналась в том, что хакеры получили данные всех аккаунтов. После массовой атаки на Yahoo пользователи сервиса подали в суд более 40 исков по данным на октябрь 2017 года, в том числе с формулировками вроде «персональная информация теперь находится в руках преступников или же врагов США».

    В ноябре 2017 года на слушаниях в сенате США бывший руководитель Yahoo Марисса Майер извинилась перед пользователями за взлом и обвинила в похищении данных «российских агентов»: «К несчастью, несмотря на все предпринимаемые методы защиты, которые позволяли Yahoo успешно отражать как атаки от частных лиц, так и спонсируемые государствами хакерские атаки, российские агенты проникли в наши системы и украли данные пользователей».

    Другим заметным взломом стало получение 412 миллионов аккаунтов пользователей сайтов «взрослых» знакомств в FriendFinder Networks Inc в 2016 году. Из-за недостаточной предусмотрительности организации около 99% данных было расшифровано. Более того, в случае с FriendFinder Networks Inc под удар попали даже удалённые пользователи: более 15 миллионов аккаунтов остались в базе в виде email@address.com@deleted1.com. Из 412 миллионов аккаунтов около 900 тысяч были защищены сложным для подбора паролем «123456», на втором месте — его упрощённая версия «12345». Особенно сильно заботящиеся о безопасности своих аккаунтов пользователи выбирали «123456789», «12345678» и «1234567890», а настоящие гуру — «password» и «qwerty».

    Немного не догнали взломщиков MyFitnessPal по количеству украденных аккаунтов хакеры, получившие 145 миллионов аккаунтов аукциона eBay. В руки злоумышленников попали имена, адреса электронной почты, хеши паролей, домашние адреса, телефоны и даты рождения пользователей.
    Поделиться публикацией
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 17

    • НЛО прилетело и опубликовало эту надпись здесь
        0
        А что там с видимостью?
        • НЛО прилетело и опубликовало эту надпись здесь
        +2
        Вот делаешь сайтик для фирмочки на полтора пользователя и заморачиваешься на безопасности как параноик. Люди обслуживают миллионы пользователей, а на разработку, видимо, школьников нанимают.
          0
          так везде всё одинаково. у нас пилят бюджеты «как будто это в последний раз», а «там» — с чувством, с толком, с расстановкой. и на работу принимаются родственники — везде, а не только у нас.
          одно радует — без работы точно не останемся =)
            0
            только вот сайтик для фирмочки на полтора пользователя и проще по устройству, и, по факту, тот самый «неуловимый Джо»
              0
              Как фрилансер множество раз сталкивался со следующей схемой. Компания ищет подрядчика, который сделает ей какой-то сервис. Находит фирму «Рога и копыта». Те говорят, что у них огромный опыт, куча опытных разработчиков, у которых, десятилетия опыта разработки именно тех вещей, которые нужны заказчику. После подписания контракта «Рога и копыта» создают на досках объявлений для фрилансеров объявления типа: «Awesome job opportunity! You need to develop a new Dropbox. We pay a lot of money — after 1 year of hard work you'll get $5/hour rate».

              В этой схеме может быть от 1 до 3-5 посредников, а на самом верху может быть какой угодно заказчик, вплоть до правительственного (конкретно я дважды за свою практику фриланса сталкивался с таким).

              Поэтому качество может быть очень разным. Все зависит от опыта и жадности посредников. Иногда они ничего не понимают в том, что требуется заказчику, и набирают первых попавшихся людей, 90% выручки от контракта берут себе, на зарплату исполнителям оставляют жалкие крохи. Иногда бывают адекватные разбирающиеся люди, которые могут и набрать хороших исполнителей, и хорошо платить, и грамотно управлять проектом.
                0

                Здесь применяется рациональный подсчет. Если бы разработчики сделали бронебойный сервис, то потратили бы немало денег на создание. А значит, возможно, даже не запустились бы, так как не хватило бы средств.


                Однако создатели поступили очень логично и рационально: сделали быстрое решение, которое позволило зарабатывать деньги.


                По сути это эволюционный подход:


                • Компании, которые делают надежные сервисы, не выдерживают конкурентной борьбы (их товар стоит дороже
                • Компании, которые делают тяп-ляп и умело завуалировали всё — побеждают по себестоимости (а иногда и по удобству)
                  0
                  Добавлю важное свойство — после того, как код написан, большинство менеджеров ни в жизнь не уговорить его переписать или улучшить. Это просто за пределами бизнес-целесообразности. Даже если проект уже успешен и тихо стрижёт бабки. Оно же уже написано, оно уже есть.

                  Суммируя эти три пункта, получаем — успешные проекты зачастую написаны в стиле «тяп-ляп». Они остаются такими длительное время, т.к. нет явной необходимости их улучшать. Если это не титаны уровня Dropbox или Facebook, конечно.
                –1
                Неуловимый Джо наконец пойман. Украдены убогие данные убогого приложения. Вот так Трагедия…
                  +1
                  150 лямов пользователей. Может софтина и убогая но это явно не «Неуловимый джо»
                    0
                    Длина моего шага 0.78 м.

                    Ну вот, вы знаете обо мне все самое главное — делайте с этим все, что хотите, я ваш! И 150 миллионов тоже.
                      0
                      Геолокация как минимум в комплекте, а это очень дорогая инфа, пусть и немного проблемно сопоставить её будет с человеком, если применялось обезличивание
                        0
                        Длина моего шага 0.78 м.


                        Недорого поможем увеличить длину вашего шага до 0,84 м.! Вы же этого хотели добиться?
                          0
                          А еще там кто что предпочитает есть, что с чем покупает, как часто, чем занимается. И многое другое.
                            0
                            Еще мы знаем где вы живете, где работаете и часто бываете. И адреса всех ваших знакомых и когда вы с ними были у них дома.
                              0
                              Хех, я там зареган и на разу даже не пользовался приложением, недавно пришло письмо от них на почту, я не удосужился даже прочитать, а оно вот оказывается что.

                        Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                        Самое читаемое