Atak na Super-Pharm
Do ataku miało dojść 21 października, o czym w wiadomości do klientów poinformowało Super-Pharm. „W wyniku naruszenia osoba nieuprawniona pobrała z naszej bazy dane klientów obejmujące imię i nazwisko, adres e-mail oraz hash hasła do konta, a w przypadku niektórych klientów także datę urodzenia lub informacje o płci" — czytamy w komunikacie drogerii.
Cyberprzestępcy, włamując się do bazy, otrzymali także dostęp do danych dotyczących składania zamówień i rezerwacji, w tym m.in. adresów dostawy czy numery telefonów. Super-Pharm zaznacza jednak, że nie ma dowodów, aby te dane zostały pobrane przez osoby nieautoryzowane. Ponadto sieć sklepów podkreśla, że hasła logowania do ich serwisów, które potencjalnie mogły trafić w ręce cyberoszustów były w zahaszowanej formie.
Czym jest haszowanie?
Hashowanie polega na przekształcaniu hasła w postaci zwykłego tekstu w ciąg znaków o stałej długości za pomocą algorytmu haszującego. Ta jednokierunkowa funkcja zapewnia, że nawet jeśli ktoś uzyska nieautoryzowany dostęp do haszowanego hasła, nie będzie mógł łatwo przywrócić go do oryginalnego hasła.
Do popularnych algorytmów hashowania haseł należą algorytm bcrypt, Argon2 i rodzina Secure Hash Algorithm 2 (SHA-2), która obejmuje SHA-256. Algorytmy te są zaprojektowane do obsługi danych wejściowych o dowolnej długości i generowania spójnego hasha. Są zbudowane tak, aby opierać się atakom, ponieważ są obliczeniowo intensywne, wymagając znacznego czasu obliczeniowego i zasobów do złamania.
Gdy użytkownik tworzy konto i ustawia hasło, system stosuje algorytm haszujący, aby przekształcić hasło w postaci zwykłego tekstu na hasz. Ten hasz jest przechowywany w bazie danych, a nie hasło w postaci zwykłego tekstu. Gdy użytkownik próbuje się zalogować, system haszuje wprowadzone hasło i porównuje je z przechowywanym haszem. Jeśli są zgodne, użytkownik jest uwierzytelniany.
Jakie kroki po ataku podjęło Super-Pharm?
Super-Pharm, aby zminimalizować skutki ataku, usunął lukę w systemie oraz zgłosił sprawę do UODO oraz CERT Polska. Wykonano także, jak deklaruje sieć, szczegółowy skan bezpieczeństwa. Jego celem była identyfikacja przyczyn naruszenia oraz wzmocnienie środków ochronnych.
„Podkreślamy, że naruszenie nie dotyczy danych dotyczących uczestnictwa w Klubie Super-Pharm ani danych logowania do aplikacji mobilnej Super-Pharm" — zaznacza Super-Pharm.