V Česku se v posledních dnech objevily pokusy o zneužití služby mojeID a podobných k získání údajů k platebním kartám. Útočníci využívají dříve uniklé seznamy e-mailů a hesel z různých serverů a zkouší se těmito údaji přihlásit do e-mailových účtů. Pokud se jim přihlášení podaří, pokusí se resetovat hesla do dalších služeb uživatele, navázaných na danou e-mailovou schránku. Uvedla to dnes bezpečnostní organizace CSIRT. Služba mojeID má skoro 650.000 uživatelů.
"V našem případě jde o uživatele služby mojeID, nicméně není důvod se nedomnívat, že podobné incidenty v posledních dnech řeší i jiné služby. Pokud se útočníkům podaří tímto způsobem proniknout do e-shopu, ve kterém má uživatel uloženy informace o platební kartě, pokusí se tuto kartu zneužít. Zatím registrujeme desítky případů, nicméně doporučujeme uživatelům, kteří využívají naši službu mojeID, aby si nastavili a začali využívat dvoufaktorovou autentizaci," uvedl CSIRT na svých stránkách. Dvoufaktorová autentizace znamená, že po zadání hesla přijde uživateli na mobil potvrzovací sms.
Díky tomu si tak uživatelé mohou zásadně zvýšit úroveň zabezpečení svých dat. Po nastavení bude sice útočník stále schopen přes napadenou e-mailovou schránku resetovat heslo, ale nebude moci zneužít údaje uživatele, protože nebude znát druhý faktor potřebný pro přihlášení, uvedl CSIRT.
MojeID je služba, která umožňuje uživatelům zřídit si a centrálně spravovat svoji internetovou identitu - tedy soubor osobních údajů, například jméno, příjmení, e-mailovou adresu, telefon a další, doplněný o přihlašovací metody a údaje. S takovou identitou se pak uživatelé mohou přihlašovat na webových stránkách, které službu mojeID podporují, bez nutnosti registrace a nastavování uživatelského jména a hesla.
Bezpečnostní tým CSIRT.CZ je provozován sdružením CZ.NIC, správcem domény .CZ. Hlavním posláním CSIRT.CZ je koordinace řešení bezpečnostních incidentů v počítačových sítích provozovaných v České republice a plnění role Národního CSIRT (Computer Security Incident Response Team) podle Zákona o kybernetické bezpečnosti.
