Niestety, nawet najpopularniejsza loteria w Polsce, czyli Lotto, nie ma bezpiecznego miejsca w sieci. Totalizator Sportowy poinformował użytkowników strony, że ich dane mogły zostać wykradzione. Jakie informacje wyciekły z serwisu i dlaczego nie były dobrze zabezpieczone? Spieszymy z wyjaśnieniami.
Hakerzy powiedzieli Lotto „Sprawdzamy!”
Problem Lotto jest o tyle irytujący, że hakerzy mogli uzyskać dostęp do bardzo wrażliwych danych. Tylko przy rejestracji podajemy numer PESEL, numer dowodu osobistego oraz numer rachunku bankowego. Mało tego, celem weryfikacji, platforma później prosi o zdjęcie dokumentu tożsamości.
W przypadku wielomilionowych wygranych – czego sobie i Wam życzę – ma to oczywiście sens. Jednocześnie to wielki absurd, że taka platforma nie posiadała tak podstawowego zabezpieczenia, jak weryfikacja dwuetapowa. Niestety, serwis nie zasłaniał także wrażliwych danych gwiazdkami, w przypadku wejścia na ustawienia profilu. Ten prosty krok uchroniłby Lotto przed katastrofą, jaką okazał się niedawny wyciek danych.
Co się właściwie stało? Hakerzy wzięli loginy i hasła z innych wykradzionych baz danych, po czym postanowili sprawdzić, czy te same informacje zadziałają w przypadku serwisu Lotto. Za którymś razem w końcu trafili, ponieważ nie korzystamy z menedżerów haseł i używamy jednego kodu do wielu stron, nie myśląc o potencjalnych konsekwencjach tej bezmyślności.
Lotto zareagowało szybko
Marnym pocieszeniem jest fakt, że Lotto rozesłało informację o ataku wszystkim użytkownikom strony, bez wyjątków. Serwis też był zabezpieczony o tyle, że nigdzie nie da się podejrzeć skanów dokumentów, jakie gracz wysyłał stronie przy rejestracji na portalu.
Co ważne, już po incydencie, Lotto wprowadziło maskowanie wrażliwych danych przy podglądzie w ustawieniach profilu, a także zwiększyło udział mechanizmów CAPTCHA przy logowaniu do serwisu. Ograniczono również możliwość wielokrotnych prób zalogowania na konto, gdy serwis wykryje częste powtórki nieprawidłowych danych?
Co możemy zrobić jako użytkownicy? Przede wszystkim, stosować weryfikację dwuetapową gdzie tylko się da, a także nie używać tego samego hasła we wszystkich miejscach. Najłatwiej to zrobić z użyciem menadżera haseł, nawet tego wbudowanego w przeglądarkę Google Chrome. To mały, choć odważny krok w stronę bezpieczeństwa w sieci.
źródło: niebezpiecznik.pl