Wykradziono dane 150 mln kont MyFitnessPal. Użytkownicy mają duży problem
Under Armour, właściciel popularnej aplikacji fitnessowej MyFitnessPal, poinformował o wielkim wycieku danych. Wypłynęły dane 150 milionów użytkowników. Jeśli korzystałeś z tej usługi, koniecznie zmień hasło.
MyFitnessPal to jedna z najpopularniejszych aplikacji fitnessowych pozwalających kontrolować bilans kaloryczny. Od 2015 roku jest częścią firmy Under Armour, podobnie jak Endomondo.
Wyciek danych z MyFitnessPal miał miejsce miesiąc temu.
MyFitnessPal poinformował, że wykradziono dane z ok. 150 mln kont. Serwis dowiedział się o wycieku 25 marca, ale sam wyciek miał miejsce w lutym. To oznacza, że hakerzy mają ponad miesiąc przewagi, więc użytkownicy serwisu powinni zareagować natychmiast. Użytkownicy MyFitnessPal otrzymali dziś w nocy takie maile:
Niestety wyciek danych z MyFitnessPal jest poważny.
Wykradziono dane o nazwach użytkowników, adresach e-mail i zahashowanych hasłach. Czym właściwie jest hash? Jest to funkcja skrótu, która teoretycznie jest jednokierunkowa i na jej podstawie nie da się pozyskać oryginału hasła, natomiast w praktyce stosuje się metody odzyskania haseł zależnie od użytej funkcji. Istnieje np. metoda kolizji skrótu polegająca na znalezieniu innego hasła, które ma ten sam skrót.
To sprawia, że pozyskanie hasha niestety jest naruszeniem bezpieczeństwa, chociażby z tego względu, że pozwala szukać hasła offline, bez dostępu do systemu i bez ryzyka blokady wynikającej np. z wielu prób wpisania niewłaściwego hasła.
Jeśli korzystałeś z MyFitnessPal, koniecznie zmień hasło.
Wszystkie osoby, które korzystały z MyFitnessPal powinny natychmiast zmienić swoje hasło. Co więcej, tacy użytkownicy powinni także zmienić swoje hasła we wszystkich innych usługach, w których stosowali te same lub podobne dane logowania.
Jeżeli nie wykazaliście się kreatywnością przy tworzeniu haseł, czeka was żmudna zmiana danych logowania w wielu miejscach w sieci. Niestety jest to konieczne, bo o ile dane z MyFitnessPal nie są przesadnie newralgiczne, to przejęcie konta Facebookowego lub Google’owego może nieść znacznie poważniejsze konsekwencje.
Warto też przejrzeć ostatnią aktywność na swoim koncie w MyFitnessPal. Do tego trzeba być szczególnie wyczulonym na maile od serwisu, ponieważ hakerzy dysponujący bazą klientów mogą próbować podszyć się pod MyFitnessPal. Absolutnie nie należy klikać w linki ani pobierać załączników z podejrzanych maili.
Pamiętaj też o dwuskładnikowym uwierzytelnianiu.
Takie wycieki przypominają o tym, że należy włączyć dwuskładnikowe uwierzytelnianie we wszystkich miejscach w sieci, które to umożliwiają. Jest to dodatkowe zabezpieczenie, które wymaga podania jednorazowego kodu przy logowaniu. Kod otrzymujemy SMS-em lub poprzez zewnętrzną aplikację. Dwuskładnikowe uwierzytelnianie jest bardzo wskazane zwłaszcza tam, gdzie mamy zapisane dane kart płatniczych.
Niestety wycieki danych są nie do uniknięcia. Z tego względu warto rozważyć korzystanie z menedżerów haseł, takich jak 1Password lub Last Pass. Usługi tego typu pozwalają generować i przechowywać całkowicie różne, niepowtarzalne hasła dla różnych usług.
Współpraca: Hubert Taler.
