Wise: adatlopás az Evolve Bank & Trust-nál

Security-all

Wise közlemény: Data breach at Evolve Bank & Trust in the US.

Evolve Bank & Trust is a regulated bank that we worked with from 2020 until 2023 to provide USD account details [...] The information that we shared with Evolve Bank & Trust to provide USD account details included

  • name,
  • address,
  • date of birth,
  • contact details,
  • [...] identity document number for non-US customers.

Evolve has not yet confirmed to us what data has been impacted.

(Listába tördelés általam.)

Reddit téma, és egy komment, amit kiemelnék.

Több cikket is publikáltak már az elkövetőkkel kapcsolatos feltételezéssel (LockBit ransomware group), illetve arról, hogy hová kerültek az adatok (dark web).

Röviden talán azt lehet mondani, hogy aki 2020 és 2023 között Wise ügyfélként a "borderless account"-ja alá kért USD pénznemű egyenleget, annak a fent listázott adatai most valószínűleg a dark web-en keringenek.

A második linkelt cikkben egy tweet-re hivatkoznak, amelyben ez szerepel, az ellopott adatok körét illetően:

industry sources who have reviewed the data described the situation as "as bad as it gets," with clear text files that containing end user PII, including SSNs, card PANs, wires, and settlement files

(Kiemelés tőlem.) Két észrevétel:

  1. A Wise közleményében "wires, and settlement files" nem szerepel, tehát átutalások, tranzakciók (?) Wise-os ügyfelek esetében remélhetőleg nem szivárogtak ki.
  2. "Clear text files" -- úgy látszik, ezt soha nem fogjuk meghaladni :/

( Oregon | 2024. 06. 29., szo – 17:10 )

Amelyik bank hasheli a jelszót, az honnan a geciből tudja, hogy kevesebb, mint 3 karakterben tér el az új jelszóm?

// nem hashel, cleartext

Banknál remélem, hogy már nincs password sehol sem (az enyémeknél tuti nincs), de amúgy a jelszókülönbözőség vizsgálatakor a szokványos megoldás az, hogy password váltáskor újra bekéri a régi jelszót, és az újat is, hogy össze tudja hasonlítani.  Itt amúgy nem clear text passwordökről, hanem (clear) text file-okról volt szó, gondolom valamilyen adatcseréhez voltak használatosak a Wise és az Evolve között.

Az utolsó n jelszót password historyban tárolják (pl. Linux OS szinten az /etc/security/opasswd file-ban), de már csak hashelten.  Ha bármely rendszer passwordöt tárol, gondolom ugyanezen gyakorlat szerint jár el.  Ebből következik, hogy például a kettővel ezelőtti jelszavad már lehet nagyon hasonló, de nem pontosan ugyanaz.

Azért az nem tűnik lehetetlennek, hogy az aktuális login után elérhetően (szóval nem feltétlen a jelszóval, hanem jelszavas bejelentkezés, 2fa, mifene után elérhető kulccsal) eltitkosított valamiben tárolják a régi jelszavakat.

Az nem tűnik őrületes risknek, hogy miután kijátszották a mindent is, még a régi, lejárt, már nem használható jelszavakat is megszerzik.

Azon gondolom mekkora kockázat minden lejárt jelszót cleartextben tárolni. Vagyis csak az aktuális van hashelve. Ez esetben a fenti vizsgálat elvégezhető. Rendszer nem engedi semelyik régi jelszót használni és legalább 3 karakter eltérést kér.

Amennyiben a rendszer egy, es oszthatatlan, idoben teljesen szinkron, talan nem akkora problema. Azonban, amikor van egy rendszer, amely nem egy rendszer, de a felhasznalo szemszogebol megis egy, akkor lehetnek bajok.

Nagyobb organizaciok eseten siman van 10+ fele rendszer kulonbozo jelszoval, lejarati periodussal stb. tortenelmi okokbol.  Persze elvarhato lenne, hogy a kedves user kulonbozo jelszavakat allit be hozzajuk, de elobb-utobb valoszinuleg megunja. Igy konnyen lehet, hogy az egyik rendszerbol a masikba atjarhatnak a visszaallithato formatum ban tarolt regi jelszo (lehet clear text, vagy titkositott is, kb. tok mindegy) megszerzesevel. Mondhatnank, hogy ez PEBKAC, de a valasz az, hogy rakd ossze az IT-t rendesen...

Egy picit jobb, ha a regi hasheket tarolod, es az uj leszot, illetve az uj jelszo modositasait gyorsan vegigprobalod. Gondolom keszitheto valamilyen modell hasonlo szavak eloallitasara a ChatGPT koraban.