Lotto.pl informuje o masowych przejęciach kont użytkowników

Loterie
Wiktor Czerwiński 28/11/2022

Ostatnia aktualizacja: 28 listopada 2022

Totalizator Sportowy, który prowadzi serwis Lotto.pl rozesłał właśnie swoim użytkownikom “Informacje o bezpieczeństwie danych osobowych”. W związku z tym przesyłacie nam masę pytań. Wyjaśniamy więc kto powinien zacząć panikować a kto może spać spokojnie…

Nikt nie może spać spokojnie

Zanim przejdziemy do tematu incydentu w Lotto.pl odpowiedzmy na pytanie z poprzedniego akapitu: nikt, kto umieszcza swoje dane w jakimś serwisie internetowymn nie może spać spokojnie. Dla własnego bezpieczeństwa zawsze powinniśmy zakładać, że te dane wyciekną na skutek ataku i kradzieży lub błędu pracownika. Dlatego wszystko co umieszczacie w serwisach internetowych, nawet w ramach poufnych czatów, traktujcie jako informacje publicznie dostępne. Dla każdego i na zawsze. Wtedy łatwiej będzie się pogodzić z ich stratą, a czasem też szybciej ugryziecie się w język lub po prostu nie wgracie na serwis jakichś istotnych danych (np. skanu dokumentu). (…)

A teraz zajmijmy się incydentem w Lotto.pl. Tu przeczytacie całość wiadomości skierowanej do użytkowników. Poniżej omówimy tylko jej kluczowe fragmenty.

Co się stało?

Ktoś sięgnął do różnych baz z wyciekami z różnych serwisów. Wziął z nich loginy i hasła, a następnie sprawdził, czy na te same dane może się zalogować na lotto.pl. Taki atak nazywamy mianem “credential stuffing”. Polaka, który rok temu tak atakował Profil Zaufany złapano i skazano.

Podsumowując: atakujący nie wykorzystał żadnego błędu w serwisie lotto.pl. Wykorzystał to, że internauci korzystają z jednego hasła do wielu miejsc. Dlatego nigdy tego nie róbcie — zainstalujcie w końcu darmowy manager haseł, tutaj znajdziecie instrukcję jak to bezboleśnie zrobić.(…)

Ile kont zostało przejętych?

Lotto.pl pisze, że był to “niewielki odsetek wszystkich kont”, a właściciele tych przejętych kont otrzymali powiadomienie w związku z tym incydentem. Nie wszyscy jednak, bo ponieważ dane były poprawne, Lotto.pl zauważa, że nie można było stwierdzić, że wykryto każde nieuprawnione logowanie.

No i tu pojawia się pierwszy problem serwisów internetowych, nie tylko lotto.pl, które nie wymuszają na użytkownikach dwuetapowego logowania. Ten atak (tzw. credential stuffing) powstrzymałyby nawet podstawowe kody wysyłane SMS-em lub generowane przez aplikację — te same kody, które już przy ataku phishingowym są bezużyteczne, bo da się je wyłudzić — na poniższym filmiku tłumaczymy jakie to proste:

Rada dla Was, wszędzie gdzie to możliwe włączcie sobie dwuskładnikowe uwierzytelnienie. Nawet jeśli nie jest to realizowane przez superbezpieczny superbezpieczny klucz U2F, to i tak w takich atakach “zgadywania haseł” pomoże. (…)

Co zrobiło lotto.pl po ataku?

Ciekawa jest sekcja maila, która mówi o tym, co Lotto zrobiło, aby taki atak nie powtórzył się w przyszłości.

Uruchomiliśmy dodatkowe usługi z zakresu bezpieczeństwa serwisu;
Ograniczyliśmy możliwości zautomatyzowania ataku z poszczególnych adresów IP poprzez wdrożenie dodatkowych elementów blokujących niebezpieczny ruch, tak aby nie można było wykonywać wielu prób logowań z jednego adresu zawierających różne loginy i hasła;
Rozszerzyliśmy scenariusze wykorzystania mechanizmów CAPTCHA, obejmując nimi kolejne elementy serwisu;
Zamaskowaliśmy dane osobowe widoczne po zalogowaniu na profilu użytkownika.

Mądry Polak po szkodzie… Jeśli posiadacie serwis internetowy, który pozwala użytkownikom na zakładanie kont i logowanie, nie czekajcie na podobny incydent — już teraz “uruchomcie dodatkowe usługi z zakresu bezpieczeństwa”. Nieukrywanie danych osobowych widocznych po zalogowaniu to częste przewinienie wielu serwisów. Naprawdę, nie trzeba ludziom pokazywać pełnych numerów dowodów, czy telefonów. Po co? Po to, żeby zgłoszenie do PUODO po wycieku było bardziej bolesne (…)

Generalnie, to nie pozwólcie aby los (hehe) decydował o Waszym bezpieczeństwie. No chyba, że bardzo lubcie hazard… 😉 Jeśli korzystacie z jakiegoś serwisu, który nie umożliwia włączenia dwuskładnikowego logowania albo wyświetla Wasze pełne dane w zakładce profil, to zwróćcie jego administratorom uwagę, że to nie jest OK. Możecie ich skierować na ten artykuł.

Korzystam z Lotto.pl, co robić, jak żyć?

Przypomnij sobie, jakie dane można było zobaczyć po zalogowaniu na Twoje konto. Jeśli uważasz, że ich wyciek byłby dla Ciebie problematyczny, to postaraj się zmienić każdy z identyfikatorów, jakie przekazałeś serwisowi lub określ, jak taka wiedza mogłaby zostać wykorzystana przeciwko Tobie w innych miejscach.

Lotto.pl w swoim komunikacie, wprost “wskazuje na możliwość” zastrzeżenia dokumentu tożsamości i jego wymiany… Dlaczego? Jeszcze kilka miesięcy temu, jeden z czytelników pisał nam tak:

Strona www.lotto.pl nie ma opcji weryfikacji dwu etapowej, wystaczy zalogować się na konto gracza i tam są wszystkie dane jak seria i nr dowodu pesel etc. na moje pytania nawet nie raczyli odpowiedzieć.

Wygląda na to, że Lotto obliczyło szanse ataku inaczej niż nasz Czytelnik. Szkoda, że musiało dojść do ataku, aby Lotto zastrzeżenia naszego Czytelnika wzięło i wdrożyło… My nie posiadamy konta na lotto.pl, ale z informacji pozyskanych od użytkowników tego serwisu wynika, że — szczęście w nieszczęściu — nigdzie w profilu nie można było podejrzeć pełnego skanu swojego dokumentu tożsamości, który trzeba było przesłać do serwisu w celu potwierdzenia konta.

Lepiej późno niż wcale

Patrząc na ten incydent, trzeba pochwalić Lotto.pl za reakcje. Ostrzeżenie wysłano do wszystkich. Jest napisane przystępnym językiem i dobrze tłumaczy istotę problemu. Serwis wyciągnął wnioski co do tego, że nie był tak mocno chroniony przed atakami zgadywania haseł, jak mógł. Poprawki wprowadził. Można narzekać, że trochę za późno. Żeby na Was tak nie narzekali, jak oberwiecie podobnym atakiem, już teraz weźcie przykład z wdrożonych przez Lotto “dodatkowych zabezpieczeń” i sami też je wprowadźcie. No chyba, że bardzo lubcie hazard…

 

źródło: niebezpiecznik.pl

 

 

 

0 komentarzy

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

E-PLAY.PL