150 milhões de contas MyFitnessPal comprometidas – eis o que fazer

April 4, 2018

 

Sob o rastreador de fitness extremamente popular de Armour, MyFitnessPal , foi hackeado. Se você é um dos 150 milhões de usuários do aplicativo ou website, não entre em pânico, mas altere sua senha.

Se você usa o Facebook para fazer login no MyFitnessPal, não precisa alterar sua senha do Facebook.

Se você usar sua senha MyFitnessPal em qualquer outro site, altere sua senha nesses sites – escolha uma senha diferente e forte para cada um (considere usar um gerenciador de senhas se isso soar muito difícil).

Under Armour diz que está notificando os usuários do MyFitnessPal sobre a violação. É possível que criminosos tentem tirar proveito disso enviando tweets maliciosos ou e-mails que pareçam ter vindo de Under Armour.

Você pode se proteger sendo proativo: leia o aviso de violação de dados da Under Armour e verifique as perguntas frequentes sobre segurança de sua conta .

Não clique em links em emails que parecem ter vindo de Under Armour ou MyFitnessPal. A empresa fez uma declaração clara de que não enviará e-mails com links ou anexos sobre esse problema:

Observe que o e-mail do MyFitnessPal sobre esse problema não pede que você clique em nenhum link ou contenha anexos e não solicita seus dados pessoais. Se o e-mail que você recebeu sobre esse problema solicitar que você clique em um link, sugira que você faça o download de um anexo ou peça informações, o e-mail não foi enviado pelo MyFitnessPal

Se você precisar visitar o MyFitnessPal, use um favorito do navegador, se você tiver um, abra o navegador e digite o endereço: https://www.myfitnesspal.com/ se você não tiver, ou apenas use o aplicativo em seu telefone.

 

As más notícias

Em 29 de março de 2018, a Under Armour começou a informar os usuários do MyFitnessPal que sofreu uma violação de dados em algum momento durante o mês anterior:

Em 25 de março de 2018, ficamos sabendo que, durante fevereiro deste ano, uma parte não autorizada adquiriu dados associados às contas de usuário do MyFitnessPal.

Os dados em risco são as credenciais usadas para acessar as contas do MyFitnessPal:

As informações afetadas incluíam nomes de usuários, endereços de e-mail e senhas com hash – a maioria com a função de hash chamada bcrypt usada para proteger senhas.

Os dados afetados não incluem identificadores emitidos pelo governo (como números de Seguro Social e números de carteira de motorista) porque não coletamos essas informações dos usuários. Os dados do cartão de pagamento não foram afetados porque são coletados e processados ​​separadamente.

Os trapaceiros, portanto, tiveram pelo menos um mês para enviar e-mails de phishing direcionados ao MyFitnessPal, quebrar os hashes de senhas roubados e tentar usar senhas quebradas em outros serviços (como contas de redes sociais).

É por isso que é importante que você altere sua senha na sua conta MyFitnessPal e em qualquer outra conta usando a mesma senha, sem atrasos.

Como as informações em risco podem ser usadas para fazer login na sua conta MyFitnessPal, todos os dados que você vê quando efetua login em sua conta também correm risco.

MyFitnessPal é um rastreador de fitness que sabe seu nome, endereço e idade, e acompanha sua dieta e exercícios. Os dados que podem não parecer muito importantes (e perdê-lo certamente não são tão importantes quanto perder o controle de, digamos, seus dados bancários), mas são o tipo de informação que pode ser usada para fazer ataques de engenharia social , como phishing, mais convincente.

 

A notícia não é tão ruim

Pessoas, processos e software são imperfeitos e as praias podem acontecer a qualquer um, até mesmo empresas que tomam todas as precauções razoáveis ​​para evitá-las.

O dano causado por uma violação é, em grande parte, uma questão de quão bem está sendo planejado e como é tratado quando isso acontece.

Não é incomum que mais fatos apareçam nas semanas e meses seguintes a uma violação, até porque as empresas muitas vezes ainda os estão investigando quando notificam os clientes pela primeira vez.

Com essa ressalva, Under Armour parece ter feito muito certo:

  • A violação foi identificada razoavelmente rapidamente.

  • A notificação foi bastante rápida, clara e não executada.

  • Os dados afetados pela violação são limitados no escopo.

  • A maioria das senhas parece ter sido devidamente protegida.

O armazenamento de senhas é particularmente importante – ao codificar suas senhas com bcrypt MyFitnessPal lhe deu uma chance de lutar.

Os bandidos não têm sua senha – eles têm um hash da sua senha que precisa ser quebrado.

Cracking custa dinheiro (porque leva tempo e poder de computação) e o bcrypt é projetado para tornar o clima pesado.

Quanta resistência o bcrypt coloca depende de como ele está configurado (no número de iterações que ele usa) e Under Armour não forneceu essa informação.

Dean Pierce é um blogueiro que decidiu se divertir com alguns hashes que vazaram durante a violação de dados do Ashley Madison. Sua experiência é instrutiva de como o bcrypt pode defender sua senha após uma violação se as iterações forem discadas.

Pierce partiu para quebrar seis milhões de hashes usando oclHashcat rodando em uma plataforma de mineração de US $ 1.500 bitcoin (uma configuração muito eficiente para quebrar senhas).

Depois de cinco dias e três horas de processamento contínuo, ele desligou o equipamento. Ele havia quebrado apenas 4.000 das piores senhas.

Há uma boa chance de que sua senha do MyFitnessPal ainda seja desconhecida, mesmo que ela tenha vazado há mais de um mês, e é por isso que o que você faz hoje é importante.

Altere agora e você não está apenas fazendo sua conta segura, você está certificando-se de que todo o tempo e dinheiro que os criminosos se comprometeram a decifrar sua senha foi desperdiçado.

 

Fonte: https://nakedsecurity.sophos.com

Share on Facebook
Share on Twitter
Please reload

Posts Em Destaque

CNI firma parceria com multinacional com objetivo de ampliar inovação aberta na indústria

July 3, 2020

1/10
Please reload

Posts Recentes
Please reload

Arquivo
Please reload

Procurar por tags

I'm busy working on my blog posts. Watch this space!

Please reload

Siga
  • Facebook Basic Square
  • Twitter Basic Square
  • Google+ Basic Square

Todos direitos reservado para Acecon Solutions © 2018

Siga a gente:

  • White Facebook Icon
  • Branca Ícone LinkedIn