A startup nem biztonságosan tárolta az ügyfelek egy részének jelszavait. Részletekbe nem bocsátkozik a cég, pedig elég égő az eset.

(Forrás: Robinhood / Facebook)

Van aközött némi különbség, hogy a nyitott bejárati ajtó mellett lógó kabátból lopják el az ember tárcáját vagy az Ocean’s Elevent idéző csapatmunkával fúrják meg a mackót a dolgozószobában. Az utóbbi esetben például lehet feltételezni, hogy próbáltak vigyázni az értékekre. Nem csak fizikai javakkal létezik ez a két szélsőség. Az sem mindegy például, hogy a jelszavakat titkosítatlanul tárolják vagy törőkódon (hash) átvezetve, titkosítva próbálják megóvni.

A jó biztonsági gyakorlatot régen ismerjük. Ez nem jelenti azt, hogy nemaz az első kérdés minden nagy adatszivárgás és adatlopás után, hogy az adatok titkosítva voltak-e. A válasz pedig gyakran nem. Esetenként az a kifogás, hogy régi, biztonságtalan rendszerekben tárolt régebbi adatokat vittek csupán el. De mit mondjon egy fintech startup?

Most épp a közelmúltban nagyobb befektetést kapó Robinhoodnak kellene kitalálnia egy hatásos mondatot. A cég csütörtökön figyelmeztette felhasználóikat, hogy elképzelhető, hogy jelszavaik titkosítatlanul voltak tárolva néhány belső rendszerben. A hiba önmagában javítható, a startup szerencséjére nem azután jöttek rá erre a problémára, hogy feltörték őket. A jelszavakra azonban így is ráláthattak például a Robinhoodon dolgozó programozók.

A figyelmeztető levélben arra kéri a startup az ügyfeleit, hogy cseréljék le a jelszavukat. A Robinhood nem hozta nyilvánosságra, hogy hány ügyfelük vagy a regisztrált felhasználók milyen hányada érintett azt incidensben. Arról viszont adtak ki információt, hogy a továbbiakban a Bcrypt nevű hasítófüggvényt használják a jelszavak tárolásához.

Az ilyen tárolásnak az a lényege, hogy a függvényen átvezetett jelszavakat nem lehet visszaállítani jelszóvá. Viszont, mivel adott karaktersor adott hasítófüggvénnyel feldolgozva mindig ugyanazt az adatot adja, ezért a jogosultság ellenőrzésére teljesen alkalmas. Amikor a felhasználó beírja a jelszavát, a Robinhood belépéskor azt feldolgozza a fent említett Bcrypttel, majd összehasonlítja a tárolt adattal. Ha a két zanza ugyanaz, akkor a jelszó megfelelő volt. Amennyiben viszont egy biztonsági incidens során ellopják a jelszóadatbázist, a hackerek nem felhasználható jelszavakhoz jutnak, csak zajhoz. (A hashelésnek vannak még trükkjei, önmagában a módszer nem mindig elég, a Wikipédia vonatkozó szócikke az alapokat ismerteti, a forrásként linkelt szakdolgozat pedig minden igényt kielégít.)


Ha tetszett a cikk:

és kövess minket a Facebookon!



Szólj hozzá

Vélemény, hozzászólás?