Lotto.pl: w wyniku innego wycieku ktoś mógł przejąć twoje konto
Zespół Lotto.pl rozsyła do użytkowników niepokojące e-maile o nieuprawnionym dostępie do części kont. W wyniku zaobserwowanych prób logowania, ktoś mógł uzyskać dostęp do danych zapisanych w profilu. Lotto.pl podkreśla, że jest to wynik użycia autentycznych danych logowania, które musiały wyciec z innego serwisu.
Na wiadomość, która trafia do skrzynek e-mail Polaków korzystających z Lotto.pl zwrócił uwagę Niebezpiecznik. Zespół Lotto jasno informuje, że odnotował podejrzane próby logowania do części kont z użyciem autentycznych loginów i haseł. Nie wykorzystano tu więc żadnej luki w systemie Lotto.pl, ale fakt, że użytkownicy przez swoją wygodę stosują te same dane logowania do kilku serwisów naraz.
Innymi słowy - ktoś wszedł w posiadanie bazy loginów i haseł w wyniku wycieku z innego miejsca i postanowił sprawdzić, czy użytkownicy nie zastosowali tych samych danych w Lotto.pl. Jak możemy wnioskować z komunikatu serwisu - przynajmniej niektórzy tak. Lotto.pl dodaje, że właściciele kont, w przypadku których zauważono podejrzany dostęp, otrzymali już stosowne e-maile.
Zespół tłumaczy , że ponieważ atak polegał na użyciu autentycznych danych, nie wszystkie próby logowania zostały odnotowane jako podejrzane. Niebezpiecznik zwraca uwagę, że po zalogowaniu w Lotto.pl nie da się podejrzeć skanu dowodu osobistego właściciela konta (który mógł być potrzebny, by zweryfikować właściciela podczas jego zakładania).
Dalsza część artykułu pod materiałem wideo
Czy warto kupić smartfon Zenfone 9?
Jak podkreśla Niebezpiecznik, ten atak w ogóle by się nie udał, gdyby każdy użytkownik stosował różne hasła do każdego serwisu i/lub posiadał włączoną weryfikację dwuetapową (w chwili pisania niniejszego tekstu na Lotto.pl takowa dostępna nie jest).
Zespół Lotto.pl podaje natomiast, że wyciągnął wnioski z opisywanego incydentu i zdecydował się uruchomić dodatkowe usługi z zakresu bezpieczeństwa serwisu. Ponadto tymczasowo wstrzymano możliwość wypłat na konta bankowe, a systemy zaktualizowano tak, by utrudnić zautomatyzowane logowanie mogące być próbą nieautoryzowanego dostępu i zwiększono zakres wykorzystania autoryzacji CAPTCHA.
Lotto.pl ostrzega o ataku - co dalej?
Jak podkreśla także Niebezpiecznik, zespół Lotto.pl postarał się przygotowując komunikację dla swoich użytkowników. E-mail w jasny sposób przedstawia możliwe zagrożenia i został rozesłany do wszystkich osób - także tych, w przypadku których atak nie został jednoznacznie zidentyfikowany.
Klienci Lotto.pl proszeni są o zmianę danych logowania do serwisu, o ile zachodzi taka konieczność i wzmożoną ostrożność zwłaszcza w najbliższej przyszłości - potencjalnie pozyskane dane mogą zostać wykorzystane w innych atakach, zwłaszcza socjotechnicznych, w których oszuści starają się zyskać zaufanie rozmówcy właśnie poprzez recytowanie części danych osobowych jako "dowód", że dzwonią np. z banku.
Oskar Ziomek, redaktor prowadzący dobreprogramy.pl
