Хакер #305. Многошаговые SQL-инъекции
Известный производитель спортивной экипировки и аксессуаров для спорта и фитнеса, компания Under Armour, сообщила о компрометации 150 млн пользователей принадлежащего ей приложения и сайта MyFitnessPal.
Официальное заявление Under Armour гласит, что инцидент, повлекший за собой утечку данных, имел место еще в феврале 2018 года. Неизвестные злоумышленники скомпрометировали серверы MyFitnessPal и получили доступ к информации о email-адресах, логинах и хешированным паролям пользователей, защищенным при помощи bcrypt.
В компании подчеркивают, что платежные данные пользователей утечка не затронула, а также в руки злоумышленников не попали номера социального страхования и информация о водительских удостоверениях.
Хотя bcrypt считается вполне надежной защитой для хешей, представители Under Armour уже уведомляют пользователей о происшедшем и просят их поменять пароли от MyFitnessPal. Кроме того, пользователей предупреждают о возможных атаках фишеров и спамеров, и напоминают, что настоящие разработчики MyFitnessPal не станут запрашивать у пострадавших какие-либо личные данные и не попросят переходить по ссылкам.
О самой атаке, произошедшей в конце февраля, в настоящее время практически ничего неизвестно. Компания сообщает, что расследование инцидента ведется при поддержке правоохранительных органов и сторонних киберкриминалистов. По данным издания Engadget, атака не затронула другие сервисы Under Armour, такие как Map My Run, Map My Fitness или Record.