Masowe próby przejęcia kont Lotto.pl. Totalizator Sportowy bije na alarm

Maksym SłomskiSkomentuj
Masowe próby przejęcia kont Lotto.pl. Totalizator Sportowy bije na alarm
Coś bardzo złego dzieje się z danymi osób korzystających z usług świadczonych przez Totalizator Sportowy, a więc m.in. użytkowników witryny Lotto.pl. Do polskich internautów rozesłano właśnie wiadomości z informacjami o bezpieczeństwie danych osobowych. Jak głosi wstęp do e-maila, w ostatnim czasie doszło do nieautoryzowanych prób logowania do części kont użytkowników tego serwisu. Sprawa wydaje się być poważna.

Wyciek danych i nieuprawnione logowania na Lotto.pl

Dziś na skrzynki mailowe zaniepokojonych Polaków docierają wiadomości wysyłane przez Totalizator Sportowy. Jak się okazuje, miały miejsce nieuprawnione próby uzyskiwania dostępu do kont na Lotto.pl. Pocieszającym może być to, że rzekomo to nie Lotto.pl padło ofiarą hakerów.

„Użyte do prób logowania dane pochodzą z niezwiązanej z Totalizatorem Sportowym zewnętrznej bazy, a problem dotyczy wyłącznie osób, które używają tych samych loginów i haseł na innych portalach” – czytamy.

„Natychmiast po wykryciu nietypowej aktywności poinformowaliśmy grupę osób, dla której zidentyfikowano nieautoryzowane próby logowania. Był to niewielki odsetek wszystkich kont zarejestrowanych w serwisie lotto.pl” – zapewniono.

Jednym słowem: gdzieś w sieci wyciekła baza danych Polaków, którą wykorzystano do próby logowania się na ten i prawdopodobnie także inne serwisy internetowe.

Co ważne: lotto.pl nie ma opcji weryfikacji dwuetapowej (!!!), a wśród przechowywanych danych są m.in. seria i nr dowodu osobistego (skan jest niewidoczny) oraz numer PESEL. Pozostawiam to bez komentarza.

Totalizator Sportowy szybko poinformował o krokach, jakie podjęto w związku z logowaniami:

  • „Uruchomiliśmy dodatkowe usługi z zakresu bezpieczeństwa serwisu;
  • Ograniczyliśmy możliwości zautomatyzowania ataku z poszczególnych adresów IP poprzez wdrożenie dodatkowych elementów blokujących niebezpieczny ruch, tak aby nie można było wykonywać wielu prób logowań z jednego adresu zawierających różne loginy i hasła;
  • Rozszerzyliśmy scenariusze wykorzystania mechanizmów CAPTCHA, obejmując nimi kolejne elementy serwisu;
  • Zamaskowaliśmy dane osobowe widoczne po zalogowaniu na profilu użytkownika.”

    Liczba poszkodowanych jest trudna do oszacowania

    Wiadomości nie otrzymali wszyscy korzystający z Lotto.pl – na mojej skrzynce nie widzę żadnego komunikatu. Potwierdza to jednocześnie fakt, iż administracja kontaktuje się tylko z tymi jednostkami, które nie stosują unikalnych haseł.

    Niezależnie od wszystkiego, jeśli masz konto w Lotto.pl, pilnie zmień hasło. Zmień je także we wszystkich innych witrynach, w jakich z niego korzystasz i pamiętaj: w każdej usłudze powinieneś mieć unikalne hasło. Jeśli możesz, aktywuj weryfikację dwuskładnikową.

    Źródło: Niebezpiecznik.pl

Udostępnij

Maksym SłomskiZ dziennikarstwem technologicznym związany od 2009 roku, z nowymi technologiami od dzieciństwa. Pamięta pakiety internetowe TP i granie z kumplami w kafejkach internetowych. Obecnie newsman, tester oraz "ten od TikToka". Miłośnik ulepszania swojego desktopa, czochrania kotów, Mazdy MX-5 i aktywnego uprawiania sportu. Wyznawca filozofii xD.