W związku z masowym przejęciem kont użytkowników w serwisie lotto.pl Totalizator Sportowy, który prowadzi serwis Lotto.pl rozesłał właśnie swoim użytkownikom “Informacje o bezpieczeństwie danych osobowych”
„Ktoś sięgnął do różnych baz z wyciekami z różnych serwisów. Wziął z nich loginy i hasła, a następnie sprawdził, czy na te same dane może się zalogować na lotto.pl. Taki atak nazywamy mianem “credential stuffing”. Atakujący nie wykorzystał żadnego błędu w serwisie lotto.pl. Wykorzystał to, że internauci korzystają z jednego hasła do wielu miejsc.”.
Lotto nie wdrożyło weryfikacji dwuetapowej, co pozwoliło na nieograniczony dostęp do kont i danych użytkowników, takich jak pesel, po przejęciu danych do logowania.
Po ataku lotto.pl naprawił „błąd” i wzmocnił zabezpieczenia.
Nauczeni doświadczeniem Totalizatora Sportowego, wszędzie gdzie to możliwe, we wszystkich serwisach należy włączyć sobie dwuskładnikowe uwierzytelnienie.
W związku z masowym przejęciem kont użytkowników w serwisie lotto.pl Totalizator Sportowy, który prowadzi serwis Lotto.pl rozesłał właśnie swoim użytkownikom “Informacje o bezpieczeństwie danych osobowych”
Pełna treść informacji znajduje się tu
Jak informuje portal Niebezpiecznik.pl:
Lotto nie wdrożyło weryfikacji dwuetapowej, co pozwoliło na nieograniczony dostęp do kont i danych użytkowników, takich jak pesel, po przejęciu danych do logowania.
Po ataku lotto.pl naprawił „błąd” i wzmocnił zabezpieczenia.
Nauczeni doświadczeniem Totalizatora Sportowego, wszędzie gdzie to możliwe, we wszystkich serwisach należy włączyć sobie dwuskładnikowe uwierzytelnienie.
Ostatnie wpisy
O mnie
Magdalena Gujska
Kategorie