QuizMe, popularna polska platforma do tworzenia i udostępniania quizów, ujawniła nieumyślnie wrażliwe dane ponad 60 000 użytkowników, w tym łatwe do złamania hasła. Witryna używała SHA-1, przestarzałego algorytmu haszującego, do ochrony haseł, który nie jest już bezpieczny. Wyciekłe kopie zapasowe zawierały adresy e-mail, adresy IP, powiązane konta na Facebooku, nazwy użytkowników i hasła ponad 60 000 użytkowników. Witryna ujawniła również swój klucz prywatny do certyfikatu SSL, który jest używany do szyfrowania komunikacji z użytkownikami.
Wyciekłe informacje nie były starsze niż 24 godziny, a potencjalni atakujący mogli tworzyć profile przy użyciu tych danych i wykorzystywać je w atakach typu spearphishing. Polityka prywatności witryny i inne dokumenty nie ujawniają właściciela (stan na dzień 7 sierpnia 2024 roku). QuizMe.pl posiada około miliona użytkowników miesięcznie i znajduje się wśród 1000 najlepszych stron internetowych w Polsce. Zespół wsparcia witryny rozwiązał problem, stwierdzając, że problem był spowodowany starym błędem konfiguracji i nieostrożnością lub niedopatrzeniem dewelopera. Zaktualizowali oni certyfikat SSL i przekażą informacje o problemie zarejestrowanym użytkownikom, których on dotyczy.
Wyciekłe hasła narażają inne konta na ryzyko
Użytkownicy powinni natychmiast zmienić ujawnione hasła, upewnić się, że nie są one ponownie wykorzystywane na żadnej innej platformie i włączyć uwierzytelnianie wieloskładnikowe, jeśli jest dostępne. Właściciele witryn powinni utrzymywać odpowiednią kontrolę dostępu, aby zapewnić integralność infrastruktury bezpieczeństwa.
