Один из крупнейших взломов в истории: хакеры получили данные 150 миллионов пользователей MyFitnessPal

29 марта пользователи приложения MyFitnessPal, предназначенного для учёта калорий и изменения веса, получили письмо о взломе аккаунтов ^[1]. Хакерам удалось получить имена пользователей, адреса и хэши паролей. Получение данных о пользователях в количестве большем, чем население Японии и России, делает этот взлом один из крупнейших за всю историю по этому показателю.

Акции Under Armour Inc, владеющей приложением MyFitnessPal, упали на 4,6% ^[2].

25 марта 2018 года команде MyFitnessPal стало известно о неавторизованном получении третьими лицами данных аккаунтов пользователей. Информация включала логины, адреса, хеши паролей (приложение использует bcrypt ^[3]). К счастью, не были скомпрометированы данные карт социального страхования (это касается граждан США) и данные платёжных карт. Компания заявила, что сейчас проводит расследование совместно с «лидирующими организациями в области информационной безопасности».

Пользователям дали несколько рекомендаций ^[1]:

• Сменить пароли во всех аккаунтах, в которых они используют похожую или ту же информацию, что для MyFitnessPal
• Проверить все свои аккаунты на подозрительную активность
• Быть осторожнее с письмами и сообщениями, которые запрашивают личные данные или перенаправляют на страницы с такими запросами
• Избегать подозрительных ссылок в почте

То есть вести себя так, как это в принципе нужно делать всегда с точки зрения безопасности аккаунтов. И лучше не использовать одинаковые пароли для двух и более приложений. Хакеры могут организовать рассылку писем по полученным электронным адресам, чтобы выявить активных пользователей — продажа их данных будет более выгодна.

Это самый крупный взлом за 2018 год и один из 5 крупнейших за историю по данным SecurityScorecard ^[4]. Среди более массовых взломов — 3 миллиарда скомпрометированных аккаунтов Yahoo в 2013 году. В 2016 году компания говорила о похищении данных 500 миллионов логинов, паролей и дат рождения, а в 2017 призналась в том, что хакеры получили данные всех аккаунтов ^[5]. После массовой атаки на Yahoo пользователи сервиса подали в суд более 40 исков по данным на октябрь 2017 года ^[6], в том числе с формулировками вроде «персональная информация теперь находится в руках преступников или же врагов США» ^[7].

В ноябре 2017 года на слушаниях в сенате США бывший руководитель Yahoo Марисса Майер ^[8] извинилась перед пользователями за взлом и обвинила ^[9] в похищении данных «российских агентов»: «К несчастью, несмотря на все предпринимаемые методы защиты позволяли Yahoo успешно отражать как атаки от частных лиц, так и спонсируемые государствами хакерские атаки, российские агенты проникли в наши системы и украли данные пользователей».

Другим заметным взломом стало получение 412 миллионов аккаунтов пользователей сайтов «взрослых» знакомств в FriendFinder Networks Inc в 2016 году ^[10]. Из-за недостаточной предусмотрительности организации около 99% данных было расшифровано. Более того, в случае с FriendFinder Networks Inc под удар попали даже удалённые пользователи: более 15 миллионов аккаунтов остались в базе в виде email@address.com@deleted1.com. Из 412 миллионов аккаунтов около 900 тысяч были защищены сложным для подбора паролем «123456», на втором месте — его упрощённая версия «12345». Особенно сильно заботящиеся о безопасности своих аккаунтов пользователи выбирали «123456789», «12345678» и «1234567890», а настоящие гуру — «password» и «qwerty».

Немного не догнали взломщиков MyFitnessPal по количеству украденных аккаунтов хакеры, получившие 145 миллионов аккаунтов аукциона eBay. В руки злоумышленников попали ^[11] имена, адреса электронной почты, хеши паролей, домашние адреса, телефоны и даты рождения пользователей.

Автор: Иван Сычев

Источник ^[12]