V úniku z Mallu je přes tři čtvrtě milionu jmen, hesel a telefonních čísel v čitelné podobě

• Aktualizace 4. 9. 15:30 – Přidána informace o zahrnutí dat z úniku Mall.cz do databáze služby Have I Been Pwned.

Celkem 766 421 hesel v čitelné podobě, 735 956 unikátních e-mailových adres a obdobný počet telefonních čísel. Takový je obsah souboru s uniklými přihlašovacími údaji z internetového obchodu Mall.cz, který neznámí autoři dočasně uložili na úložiště Uloz.to. Redakci Lupy databázi poskytl člověk, který si nepřál být jmenován.

Alarmující je, že přihlašovací údaje jsou v databázi uvedené v plně čitelné podobě. To neznamená, že by Mall hesla neměl vůbec chráněná. Jde pravděpodobně o výsledek cracknutí slabšího zabezpečení starších účtů v jeho systémech. Firma ve svém oficiálním prohlášení přiznala, že do podzimu 2012 při šifrování hesel používala k hashování prolomitelný algoritmus MD5, poté přešla na SHA1 s unikátní solí a teprve v říjnu 2016 začala používat bezpečnější bcrypt.

Jména, hesla a telefonní čísla stovek tisíc uživatelů Mallu každopádně jsou v plně čitelné podobě už minimálně měsíc dostupná na internetu. Než server Uloz.to kopii databáze smazal, mohl si soubor stáhnout kdokoli. A pokud stejné přihlašovací údaje jako na Mallu používáte i na jiných službách, mohou být tyto vaše účty v ohrožení.

Z Mallu uniklo přes 750 tisíc účtů a data byla ke stažení na Ulož.to. Tahle stránka na Pastebinu to naznačuje: https://t.co/ctuvN1wweY pic.twitter.com/2yHr7g122x

— Michal Špaček (@spazef0rze) 27. srpna 2017

Uniklé údaje se v souboru nacházejí ve formátu EMAIL:PASSWORD:NAME:SURNAME:PHONE. Pravost údajů v souboru jsme ověřovali dotazem u několika uživatelů. Většina z nich potvrdila, že údaje spojené v úniku s jejich e-mailovou adresou jsou skutečně jejich hesla z Mall.cz.

Část zveřejněných údajů ale skutečnosti neodpovídá, potvrdili nám někteří uživatelé. Při bližším pohledu více než 216 tisíc hesel vypadá jako náhodně generovaný řetězec šesti alfanumerických znaků (malá a velká písmena a číslice). A nejméně v jednom případě nám uživatel potvrdil, že jeho silné heslo (správcem hesel vygenerovaný náhodný řetězec 20 znaků), vytvořené v roce 2009, v databázi vůbec není.

(AKTUALIZACE 30. 8. 17:15 – Podle reakcí od několika uživatelů to vypadá, že šestimístná hesla pocházejí přímo od Mallu. Jde pravděpodobně o náhodně generovaná hesla, která e-shop uživatelům posílal při jejich prvním nákupu. Někteří uživatelé je byli schopni dohledat ve starých e-mailech.) 

Situace vygradovala natolik, že se k ní vyjádřil i šéf Mall Group Jakub Havrlant. „Protože soukromí a bezpečnost našich zákazníků je pro nás prioritou, jednali jsme okamžitě a rozhodli se pro reset všech potenciálně ohrožených hesel,“ říká Havrlant s tím, že na celé záležitosti od pátku pracuje třicetičlenný bezpečnostní tým spolu s výrazně posílenou zákaznickou podporou, která v těchto dnech čítá zhruba 60 lidí. 

Co jsme ze seznamu zjistili

Seznam uniklých hesel (očištěný o výše popsané, pravděpodobně náhodně generované údaje) jsme analyzovali prostřednictvím programu Pipal. Nepřekvapí, že nejčastěji používaným heslem v úniku je řetězec „123456“ (z celkového počtu statisíců hesel ale šlo o relativně malé procento – viz níže):

Deset nejpoužívanějších hesel

• 123456 = 3498 (0,64 %)
• 12345 = 2917 (0,53 %)
• heslo = 2005 (0,36 %)
• mallcz = 1894 (0,34 %)
• martin = 1796 (0,33 %)
• slunicko = 1414 (0,26 %)
• korunka = 1267 (0,23 %)
• beruska = 1226 (0,22 %)
• veronika = 1159 (0,21 %)
• monika = 1087 (0,2 %)

Nejčastější délka hesla v úniku je šest znaků (více než 33 %), následuje sedm (23 %) a osm (17 %). Nejdelší hesla měla 21 znaků (taková se ale v úniku nacházejí jen dvě). Většina hesel je tvořena pouze písmeny (68 %), jen 12 % je tvořeno jen číslicemi. Pouze malá písmena využívá 67 % hesel a 1 % hesel je naopak tvořeno čistě písmeny velkými.

Databáze údajů uniklých z Mall.cz by se měla brzy objevit v databázi služby Have I Been Pwned, která data z úniku shromažďuje a umožňuje uživatelům zjistit, zda se jejich e-mail nebo uživatelské jméno v nějakém hacku objevilo.

Aktualizace 4. 9. 15:30 – Troy Hunt na Twitteru oznámil, že data z úniku z Mall.cz už do databáze přidal. A podle Hunta asi 45 % e-mailových adres už bylo v jeho databázi zaznamenáno z jiných úniků.

Jednoduchou aplikaci, která pomáhá uživatelům ověřit, zda se únik týká i jejich účtu, na svém webu zveřejnil i Mall. Po zadání e-mailové adresy uživateli přijde zpráva, která mu potvrdí, jestli byl jeho účet kompromitován.