"Megasecret" és a 40 millió MD5 hash története

2016. június 17. 12:26 - Csizmazia Darab István [Rambo]

Több száz különféle weboldal - például a motorcycle.com, az autoguide.com és a mothering.com - bejelentkezési adatait lopták el ismeretlen elkövetők, összesen 45 millió belépési adatot: felhasználónevek, e-mail címek, IP-adatok és a jelszavak kerültek illetéktelen kezekbe.

A LeakedSource adatai szerint az incidens nagy valószínűség szerint még idén februárban zajlott. Az, hogy ilyen méretű, és rengeteg népszerű weboldalt - összesen több, mint 1000 darab fórumot - érintő adatsértés megtörténhetett, azt valószínűsíti, hogy a VerticalScope valamilyen módon összekapcsolta az adatokat, vagy akár közös szerveren tárolta ezeket.

Az adatlopás pontos módjáról egyelőre semmi részletet nem tudni, vajon zeroday vagy egyéb módszer segítette-e az adattolvajokat.

A beszámoló szerint a kiszivárgott adatok legnagyobb része - 40 millió a 45 millióból - MD5 salted hash formában volt tárolva, ami messze nem az elvárható legnagyobb gondosságot mutatja. Nyilván az ilyenkor ajánlott azonnali jelszócserén túl a felhasználóknak érdemes átgondolni, használták-e esetleg máshol is ugyanazt a jelszó, és akkor minden más helyen is érdemes változtatni.

Továbbá minden helyen, ahol már adott a kétfaktoros autentikáció lehetősége, praktikus élni vele.

A VerticalScope üzletfejlesztési alelnöke, Jerry Orbán a ZDNetnek adott interjújában azt ígérte, a kellemetlen incidens miatt felülvizsgálják a fórumokon alkalmazott biztonsági politikájukat, benne a jelszótárolási és lejárati módszereket és elvégzik a szükséges fejlesztéseket.

Amit igazából itt és máshol is persze jó lenne mindig inkább előtte, semmint utólag elvégezni.

Egyébként ha több cég is csatlakozna a Microsoft kezdeményezéséhez, és alapból tiltaná a "password", "12345", "qwerty", "megasecret" :-) és hasonló überprimitív jelszavakat, akkor ha nem is szűnne meg az évi Worst Password contest, de legalább átalakulna és talán még izgalmasabbá is válhatna.

Szólj hozzá!

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása