Klienci Lotto.pl otrzymują maile z informacją, że w ostatnim czasie doszło do nieautoryzowanych prób logowania na konta części użytkowników portalu. W wyniku tego oszuści mogli otrzymać nieuprawniony dostęp do danych niektórych osób na ich profilach w serwisie.
Natychmiast po wykryciu nietypowej aktywności poinformowaliśmy grupę osób, dla której zidentyfikowano nieautoryzowane próby logowania. Był to niewielki odsetek wszystkich kont zarejestrowanych w serwisie lotto.pl
- czytamy w mailu.
Z maila wynika, że nie wykorzystano żadnej luki w systemie, ponieważ dane użyte do logowania pochodziły z niezwiązanej z firmą zewnętrznej bazy. Problem dotyczy więc wyłącznie osób, które używają tych samych loginów i haseł na innych portalach.
Więcej informacji z kraju na stronie głównej Gazeta.pl
Spółka poinformowała jednak, że podjęła działania, które mają zaradzić takim naruszeniom w przyszłości oraz zminimalizować ich skutki:
Portal Niebezpiecznik.pl informuje, że atak, do którego doszło najpewniej w przypadku Lotto.pl nosi nazwę "credential stuffing". By uniknąć takich sytuacji, wszędzie tam, gdzie jest to możliwe, należy włączyć dwuskładnikowe uwierzytelnianie. Dzięki temu każdorazowo logując się, będzie trzeba potwierdzić to np. przez kod wysłany na maila. Niebezpiecznik.pl krytykuje lotto.pl, za to, że nie wymusza na użytkownikach takiego logowania.
Drugi sposób na uniknięcie prób logowania z wykorzystaniem tych samych haseł to ustawianie innych danych logowania w różnych serwisach. W takim przypadku najlepiej skorzystać z menadżera haseł, który zaproponuje i zapamięta silne hasło.