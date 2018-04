Mintegy 150 millió MyFitnessPal fiók adatait lopták el ismeretlenek - jelentette be a fitneszalkalmazás anyacége, az Under Armour. A méretes adatszivárgás során a felhasználóneveken és email címeken túl, jelszó hash-ek is a támadók birtokába jutottak, ugyanakkor pénzügyi adatok, például bankkártya-azonosítók nem kerültek veszélybe.

A MyFintessPal emailben értesítette az érintett felhasználókat az esetről, eszerint a cég idén március 25-én fedezte fel az illetéktelen hozzáférést a fentebb említett nagy mennyiségű felhasználói információhoz, magát az akciót ugyanakkor valamikor februárban hajthatták végre ismeretlenek. A vállalat múlt hét óta szorosan együttműködik biztonsági cégekkel, illetve a felelős hatóságokkal az ügy felgöngyölítésében, továbbá figyeli a kiszivárgott adatokhoz köthető gyanús tevékenységeket.

A vállalat a jelszavak hasheléséhez a széles körben használt, számításigényes bcrypt hash-függvényt használja. Bár arról nem beszél, hogy azt pontosan milyen erősségen veti be, az ugyanakkor valószínű, hogy a támadók birtokába jutott jelszó-hashek visszafejtése, legalábbis brute force módszerekkel, nem lenne kifizetődő vállalkozás az adatlopás hátterében állóknak. A többi felhasználói adatra ugyanakkor már nem került ennyi lakat, a cég tájékoztatása szerint azokat ugyanis 160 bites SHA-1 hash-függvénnyel védte. Az 1995-ben bevezetett algoritmus gyengéi már jó ideje ismertek a szakemberek előtt, annak biztonságosságával kapcsolatban már évekkel ezelőtt is bőven lehetett hallani kifogásokat. A technológia a komolyabb erőforrásokkal, például állami háttérrel rendelkező támadókkal szemben már 2005 óta nem tekinthető biztonságosnak. A MyFitnessPal mindenesetre közleményében azt ígérte, az esetet követően megerősíti védvonalait.

Érdemes tehát megfogadni a vállalat tanácsát, a cég ugyanis emailjében mindenkit arra buzdít, amilyen hamar teheti, változtassa meg jelszavát, illetve erre a levél és az oldalán közzétett tájékoztatás szerint kötelezi is majd a felhasználókat, noha tapasztaltaink szerint a cég e cikk íródásakor még beenged felületére a régi bejelentkezési azonosítókkal is. A vállalat továbbá nagyon helyesen azt is javasolja, hogy minden olyan oldalon változtassanak jelszót a felhasználók, amelyen ugyanazt a jelszót használják, mint a MyFitnessPal felületén. Az azonos jelszavak használata különböző szolgáltatásoknál persze erősen ellenjavallott gyakorlat, pontosan a fentiekhez hasonló esetekből adódó veszélyek miatt - érdemes inkább valamilyen jelszókezelőt, például LastPasst használni, amellyel biztonságos bejelentkezési kulcsok generálhatók és elfelejtésük miatt sem kell aggódni.

Az érintetteknek érdemes még végigpörgetniük fiókjukat, hogy azon nem látnak-e gyanús tevékenységre utaló nyomokat, illetve különös figyelmet fordítaniuk email fiókjukra is, a címre érkező esetleges phising támadások miatt. Az UnderArmour 2015 elején, az Endomondó fitneszappal egybecsomagolva, 475 millió dollárért vette meg a MyFitnessPalt, amely akkor 80 millió felhasználót tudhatott magáénak - ez a szám, mint az adatszivárgásból is sejthető, azóta több mint duplájára nőtt. Kérdés azonban, hogy a növekedést a fenti baki után is meg tudja-e tartani a vállalat.