Opera rozeslala v pátek varování uživatelům služby Opera Sync, kde je upozorňuje na poměrně zásadní problém. Došlo k napadení serverů a hackerům se podařilo získat data, mezi kterými velmi pravděpodobně jsou nejenom přihlašovací údaje pro Opera Sync, ale také veškerá hesla, která si uživatelé prostřednictvím této služby ukládali a synchronizovali. Detaily o útoku známé nejsou.
O napadení informuje Opera i v Opera server breach incident a zmiňuje, že hesla ukládá „šifrovaně (synchronizovaná hesla) nebo hashovaně a saltovaně (autentizační hesla)“. Není známo, jak „šifrovaně“ jsou vlastně hesla z jiných systémů uložena, ale je jisté, že musí být uložena tak, aby je bylo možné dešifrovat a použít.
Opera uklidňuje situaci také informací, že Opera Sync používá „pouze“ 1,7 milionu uživatelů, tedy méně než 0,5% část celkového počtu uživatelů Opery (350 milionů lidí, čistě teoreticky).
Earlier this week, we detected signs of an attack where access was gained to the Opera sync system. This attack was quickly blocked. Our investigations are ongoing, but we believe some data, including some of our sync users’ passwords and account information, such as login names, may have been compromised.
Although we only store encrypted (for synchronized passwords) or hashed and salted (for authentication) passwords in this system, we have reset all the Opera sync account passwords as a precaution.
We have also sent emails to all Opera sync users to inform them about the incident and ask them to change the password for their Opera sync accounts. In an abundance of caution, we have encouraged users to also reset any passwords to third party sites they may have synchronized with the service.
Opera pro jistotu všem uživatelům Opera Sync resetovala heslo a budou si tedy muset nastavit nové. Pokud ale chcete mít jistotu, jen tohle stačit nebude. Pokud se hackerům podařilo získat všechna hesla k dalším službám, která máte uložena v Opera Sync, znamená to zásadní nutnost všechna tato hesla změnit. Navíc můžete předpokládat, že jakékoliv z hesel uložených přes Opera Sync může být kompromitováno i tam, kde jste jej použili, ale neuložili přes tuto službu.
Jedno dobré poučení z útoku na Opera Sync plyne. Jakkoliv se může stát, že by něco podobného potkalo některého ze správců hesel (LastPass, 1Password, atd), tak mívají alespoň jednu zásadní a užitečnou funkci. Umožní vám nejenom snadno zjistit, kde jsou jaká hesla, ale také je snadno změnit. Něco takového u ukládaných hesel v Opeře (ale stejně tak v Chrome či dalších prohlížečích) k dispozici není. Je tedy rozhodně lepší používat správce hesel a neukládat hesla prostřednictvím samotného prohlížeče.
ČLÁNKY DO MAILU