Lotto.pl: w wyniku innego wycieku ktoś mógł przejąć twoje konto
Zespół Lotto.pl rozsyła do użytkowników niepokojące e-maile o nieuprawnionym dostępie do części kont. W wyniku zaobserwowanych prób logowania, ktoś mógł uzyskać dostęp do danych zapisanych w profilu. Lotto.pl podkreśla, że jest to wynik użycia autentycznych danych logowania, które musiały wyciec z innego serwisu.
Na wiadomość, która trafia do skrzynek e-mail Polaków korzystających z Lotto.pl zwrócił uwagę Niebezpiecznik. Zespół Lotto jasno informuje, że odnotował podejrzane próby logowania do części kont z użyciem autentycznych loginów i haseł. Nie wykorzystano tu więc żadnej luki w systemie Lotto.pl, ale fakt, że użytkownicy przez swoją wygodę stosują te same dane logowania do kilku serwisów naraz.
Innymi słowy - ktoś wszedł w posiadanie bazy loginów i haseł w wyniku wycieku z innego miejsca i postanowił sprawdzić, czy użytkownicy nie zastosowali tych samych danych w Lotto.pl. Jak możemy wnioskować z komunikatu serwisu - przynajmniej niektórzy tak. Lotto.pl dodaje, że właściciele kont, w przypadku których zauważono podejrzany dostęp, otrzymali już stosowne e-maile.
Zespół tłumaczy , że ponieważ atak polegał na użyciu autentycznych danych, nie wszystkie próby logowania zostały odnotowane jako podejrzane. Niebezpiecznik zwraca uwagę, że po zalogowaniu w Lotto.pl nie da się podejrzeć skanu dowodu osobistego właściciela konta (który mógł być potrzebny, by zweryfikować właściciela podczas jego zakładania).
Dalsza część artykułu pod materiałem wideo
Jak podkreśla Niebezpiecznik, ten atak w ogóle by się nie udał, gdyby każdy użytkownik stosował różne hasła do każdego serwisu i/lub posiadał włączoną weryfikację dwuetapową (w chwili pisania niniejszego tekstu na Lotto.pl takowa dostępna nie jest).
Zespół Lotto.pl podaje natomiast, że wyciągnął wnioski z opisywanego incydentu i zdecydował się uruchomić dodatkowe usługi z zakresu bezpieczeństwa serwisu. Ponadto tymczasowo wstrzymano możliwość wypłat na konta bankowe, a systemy zaktualizowano tak, by utrudnić zautomatyzowane logowanie mogące być próbą nieautoryzowanego dostępu i zwiększono zakres wykorzystania autoryzacji CAPTCHA.
Lotto.pl ostrzega o ataku - co dalej?
Jak podkreśla także Niebezpiecznik, zespół Lotto.pl postarał się przygotowując komunikację dla swoich użytkowników. E-mail w jasny sposób przedstawia możliwe zagrożenia i został rozesłany do wszystkich osób - także tych, w przypadku których atak nie został jednoznacznie zidentyfikowany.
Klienci Lotto.pl proszeni są o zmianę danych logowania do serwisu, o ile zachodzi taka konieczność i wzmożoną ostrożność zwłaszcza w najbliższej przyszłości - potencjalnie pozyskane dane mogą zostać wykorzystane w innych atakach, zwłaszcza socjotechnicznych, w których oszuści starają się zyskać zaufanie rozmówcy właśnie poprzez recytowanie części danych osobowych jako "dowód", że dzwonią np. z banku.
Oskar Ziomek, redaktor prowadzący dobreprogramy.pl