📆 6. 6. 2017 📂 Zomato, 2FA, správce hesel

„Náš vývojář používal to stejné heslo i na GitHubu“. Šak co se může stát, ne… kurva docela dost.

Společnost Zomato (možná ji někteří znáte, od roku 2014 působí i u nás) by to mohla potvrdit. Její vývojář používal stejné heslo pro GitHub i pro službu 000Webhost a co náhoda nechtěla, tak z 000Webhostu data někdy v 2015 unikla. Včetně hesel v čitelné podobě. Normálně se ta data dají stáhnout, jsou veřejná.

Někdo toho vývojáře načapal na švestkách a stáhl si z GitHubu zdrojáky Zomata s použitím hesla z 000Webhostu. V nich našel chybu, tu chtěl nahlásit, Zomato to ignorovalo, což nálezce chyby moc netěšilo, byl z toho trochu nešťastnej a tak se rozhodl ulovená data nabídnout k prodeji. Nic moc nápad, ale zoufalí lidé dělají zoufalé činy.

Co se může stát, že…

Naučte vývojáře (a nejen je!) používat správce hesel, vyžadujte ho. Serte na stravenky, to je benefit z roku 98. Nabídněte vývojářům správce hesel, předplaťte jim 1Password nebo něco podobnýho na 10 let dopředu, nechte je vytvořit uživatelský účty pomocí soukromých e-mailů, ať mohou password managery používat i pro své soukromé účty. Asi moc nedokážete zaručit, že vývojáři nebudou používat jedno a tom samé heslo i s password managerem, takže vyžadujte dvoufaktorové ověřování (2FA) všude možně. Kupte lidem YubiKey (to je takovej čudl do USB, to jim s 2FA pomůže).

YubiKey 4 Series

YubiKey 4 series, čudl do USB

Vývojáři, a nejen ti, totiž patří do „modelu hrozeb“ (angl. Threat Model), které ohrožují vaši společnost (a budoucnost). Správce hesel zvládne používat i office managerka, v jedný menší (a velmi úspěšný) firmě stavějící nástroje pro vývojáře API jsme si to vyzkoušeli. I office managerky a asistentky mají přístup k důležitým věcem, třeba mohou poslat e-mail svému šéfovi s žádostí o zaplacení „nějaké“ faktury.

Správci hesel mají určitá rizika, ale ta jsou pořád menší, než když někdo používá jedno heslo na více místech. Správci-as-a-Service jsou často terčem útoků (asi tak jako jakékoliv jiné služby), ale při dobrém návrhu to zas tak moc nevadí. LastPassu unikla data dokonce už dvakrát, ale útočníkům se nepodařilo dostat se k heslům, jen k zašifrovaným datům, která jim bez znalosti hlavního hesla jsou k ničemu. To u takového OneLoginu o dobrém návrhu moc hovořit nejde. OneLoginu unikla data na konci května a útočník prý data může i dešifrovat, dostal se tedy i k šifrovacím klíčům, eh. OneLogin možná také budete znát, před rokem spolknul českou firmu Portadi.

Jasný, slyším vás, to se vám stát nemůže, vaši vývojáři jsou nejlepší. O tom nepochybuji, jenže stalo se to i vývojáři Mozilly, který měl přístup k popisu neopravených chyb ve Firefoxu. Své heslo pro přístup k takovým chybám používal i jinde a někdo toho využil a zneužil a v srpnu 2015 se objevil zákeřný vir, který zneužíval právě neopravenou chybu v prohlížeči, nenechával žádné stopy na počítači a stahoval „vývojářské“ soubory, ve kterých se často nachází uložená hesla.

Zamyslete se a něco s tím udělejte. Díky!

O něco kratší text jsem původně napsal na Facebook.


Mohlo by vás také zajímat

Michal Špaček

Vyvíjím webové aplikace, zajímá mě jejich bezpečnost. Nebojím se o tom mluvit veřejně, hledám hranice tak, že je posouvám. Chci naučit webové vývojáře stavět bezpečnější a výkonnější weby a aplikace.

Veřejná školení

Zvu vás na následující školení, která pořádám a vedu:

Úvod do PHP
(11. 12. 2017 Praha)

Třídy a objekty v PHP
(12. 12. 2017 Praha)

Bezpečnost PHP aplikací
(13. 12. 2017 Praha)

Výkonnost webových aplikací
(14. 12. 2017 Praha)

HTTPS pro vývojáře a správce
(prosinec 2017 Praha)

English