Přišel mi e-mail...
Stálo v něm následující,
Dear support portal user,
as you may have noticed, our portal has been unavailable. We identified an unknown party's attempt to breach the Flowmon's support portal yesterday. As a part of the internal security process, we took the portal offline.
While we detected the attack attempt right away, and we immediately took security measures to prevent any damages, some user account data (e-mail, name, password hash) could have been compromised. Therefore, we're taking security precautions and we also recommend you to change your passwords in case you use same credentials to multiple applications.
We expect to bring the portal back up next week, and we will keep you posted. We are upgrading our systems to encrypt the password data better.
Furthermore, for the past two months, we have been in the process of replacing the portal's underlying technology, and we expect the new portal will be launched in the first half of this year. Alongside an increased level of security, it will bring enhanced experience including asset management and new content.
We are dedicated to security, and we will keep updating and upgrading our systems to prevent such events in the future.
Tohle nikoho nepotěší, tím spíš, pokud se jedná o společnost, jejíž business je založen na kybernetické bezpečnosti. První věc, kterou chcete v takové chvíli zjistit je heslo k dané službě. Z několika důvodů.
- Používám ještě někde takové heslo? (Spousta uživatelů používá jedno a to samé heslo pro více služeb, jedno heslo stejné doma i v práci,…), proto abych si jej mohl všude změnit
- Jak kvalitní to heslo bylo (za předpokladu, že mělo méně než 8 znaků a jde o nevhodně zvolené hashovací algoritmy se dá téměř jistě říci, že ho útočník/útočníci získají velmi brzy).
Oba body defacto shrnují jedno a totéž, neprodleně změnit heslo/hesla na všech službách, která jsou takto postižena. Není nic horšího, než když Vám někdo nabourá účet přes heslo, které je veřejně známé a dostupné.
Mimochodem, pokud máte web a ukládáte hesla v MD5 nebo SHA1, neděláte dobře. Používejte modernější a lepší bcrypt.