Włam na konta użytkowników Lotto.pl. Narażeni są ci, którzy nie zmieniają haseł

Lotto.pl poinformowało, że część kont użytkowników serwisu mogła zostać przejęta przez oszustów. Portal przekazał, że doszło do nieautoryzowanych prób logowania. Użyto w nich haseł z innych zewnętrznych baz danych. Na atak były więc narażone osoby, które używają tych samych danych logowania w różnych miejscach.

Klienci Lotto.pl otrzymują maile z informacją, że w ostatnim czasie doszło do nieautoryzowanych prób logowania na konta części użytkowników portalu. W wyniku tego oszuści mogli otrzymać nieuprawniony dostęp do danych niektórych osób na ich profilach w serwisie. 

Natychmiast po wykryciu nietypowej aktywności poinformowaliśmy grupę osób, dla której zidentyfikowano nieautoryzowane próby logowania. Był to niewielki odsetek wszystkich kont zarejestrowanych w serwisie lotto.pl

- czytamy w mailu. 

Lotto.pl. Atak wykorzystał dane logowania z innych serwisów

Z maila wynika, że nie wykorzystano żadnej luki w systemie, ponieważ dane użyte do logowania pochodziły z niezwiązanej z firmą zewnętrznej bazy. Problem dotyczy więc wyłącznie osób, które używają tych samych loginów i haseł na innych portalach.

Więcej informacji z kraju na stronie głównej Gazeta.pl 

Spółka poinformowała jednak, że podjęła działania, które mają zaradzić takim naruszeniom w przyszłości oraz zminimalizować ich skutki:

  • Zablokowaliśmy dostęp do serwisu lotto.pl użytkownikom, na których kontach zostały zidentyfikowane nieautoryzowane próby logowania z możliwością odzyskania dostępu dopiero po zmianie hasła;
  • Uruchomiliśmy dodatkowe usługi z zakresu bezpieczeństwa serwisu;
  • Okresowo wstrzymaliśmy możliwość wypłat środków z konta gracza na rachunek bankowy;
  • Ograniczyliśmy możliwości zautomatyzowania ataku z poszczególnych adresów IP poprzez wdrożenie dodatkowych elementów blokujących niebezpieczny ruch, tak aby nie można było wykonywać wielu prób logowań z jednego adresu zawierających różne loginy i hasła;
  • Rozszerzyliśmy scenariusze wykorzystania mechanizmów CAPTCHA, obejmując nimi kolejne elementy serwisu;
  • Zamaskowaliśmy dane osobowe widoczne po zalogowaniu na profilu użytkownika" - pisze Lotto.pl w mailu. 

Jak się zabezpieczyć przed kolejnymi takimi atakami?

Portal Niebezpiecznik.pl informuje, że atak, do którego doszło najpewniej w przypadku Lotto.pl nosi nazwę "credential stuffing". By uniknąć takich sytuacji, wszędzie tam, gdzie jest to możliwe, należy włączyć dwuskładnikowe uwierzytelnianie. Dzięki temu każdorazowo logując się, będzie trzeba potwierdzić to np. przez kod wysłany na maila. Niebezpiecznik.pl krytykuje lotto.pl, za to, że nie wymusza na użytkownikach takiego logowania. 

Drugi sposób na uniknięcie prób logowania z wykorzystaniem tych samych haseł to ustawianie innych danych logowania w różnych serwisach. W takim przypadku najlepiej skorzystać z menadżera haseł, który zaproponuje i zapamięta silne hasło.

Więcej o: