Данные 15 млн пользователей крупнейшего интернет-магазина Индонезии Tokopedia были выложены в интернет хакером. 2 мая об этом сообщает ZDNet.

1 мая в сеть были выложена информация о пользователей Tokopedia в формате дампа базы данных (БД). В БД содержатся полные имена покупателей, даты рождения, адреса электронной почты, телефоны и прочие персональные данные.

Выложивший сообщил, что данные были украдены в результате взлома в марте 2020 года.

Также хакер заявил, что эти 15 млн пользователей — лишь часть украденных данных. Он поделился информацией, чтобы другие взломщики попытались подобрать пароли пользователей из этой базы. Пароли хранятся в БД в формате хэшей по алгоритму SHA2-384 без «соли».

Служба мониторинга утечек данных Under The Breach настоятельно порекомендовала всем пользователям Tokopedia сменить пароль.

Хранение паролей в виде криптографических хэшей — типовая практика. В открытом виде их почти никто не помещает в базу данных. Хэш-функция преобразует исходную строку (в данном случае пароль) в новую необратимым образом.

Проверка пароля осуществляется путем сопоставления хэша, полученного в результате преобразования «на лету» введенного пользователем пароля, и хранимого в БД слепка. Для повышения стойкости часто к паролю добавляют «соль» — случайным образом сгенерированную строку.

Подбор пароля взломщиком выполняется тем же способом. Сначала перебираются «словарные значения» – часто используемых пароли и слова, затем случайных наборы символов. В случае, если у взломщика на руках есть хэши, то перебор выполняется намного быстрее.

Тем не менее, даже имея на руках хэш, подобрать случайным образом созданный пароль с большим набором символов (если буквы в разном регистре, цифры и иные знаки одновременно присутствуют в пароле) и длиной не менее девяти знаков довольно долго даже на современном оборудовании. Поэтому многие сервисы требуют достаточной длины и номенклатуры сивмолов в пользовательском пароле.