28.05.2014 | 09:14

Marcin Rybak

Forum Avasta zhakowane, dane 400 000 użytkowników wyciekły

Pech dosięga nawet największych producentów oprogramowania, które ma zabezpieczać użytkowników przed zagrożeniami płynącymi z sieci. Czy tym razem również szewc bez butów chodzi? Jak widać nie wszyscy radzą sobie z aktualizacjami oprogramowania.

Wczoraj na blogu Avasta pojawiła się informacja, że jego forum padło w weekend ofiarą ataku, w ramach którego wykradzione zostały:

  • loginy,
  • e-maile użytkowników,
  • hasła (hashowane (oraz solone przy pomocy nazwy użytkownika))

w liczbie 400 000 rekordów. Nie wyciekły natomiast żadne dane finansowe, ani te związane z licencjami, gdyż forum hostowane było na niezależnej infrastrukturze. Obecnie trwa odbudowa forum w nowszej wersji. Avast we wpisie informuje również, że nie wie jeszcze gdzie tkwił błąd, ale w wyjaśnieniu pomogli użytkownicy.

Wyjaśnienie w Google Cache

Użytkownicy w komentarzach do informacji o wycieku, na podstawie zapisów z Google Cache zwracają uwagę, że forum oparte było o skrypt SMF w wersji  2.0.6, a obecnie najnowszą wersją jest 2.0.7. CEO Avasta – Vince Steckler, odpowiedział również na ten zarzut, potwierdzając doniesienia czytelników. Jednocześnie wspomniał on, że w wersji 2.0.6 występuje błąd zdalnego wykonywania kodu (RCE), który nie został odpowiednio zaznaczony w informacji o wydaniu, przez co aktualizacja nie została na czas zainstalowana.

Wujek dobra rada

Jeśli mieliście konto na forum Avasta, a hasła tam zastosowanego używaliście gdziekolwiek indziej, zmieńcie je natychmiast, szczególnie jeśli identyczne było używane do e-maila którego powiązaliście z kontem na forum. Algorytm przechowywania haseł w SMF jest znany i jest to funkcja skrótu SHA1 hasła posolonego poprzez nazwę użytkownika:

$hash = sha1(strtolower($username) . $password);

więc tylko kwestią (niedługiego) czasu pozostaje, kiedy hasła zostaną złamane. Jeśli natomiast administrujecie forum opartym na darmowym skrypcie Simple Machine Forum, zweryfikujcie czy nie jest to przypadkiem wersja 2.0.6 lub wcześniejsza, aby i wam nie przytrafił się podobny przypadek.

PS. Przerwa w aktualizacji serwisu nie oznacza w żadnym wypadku jego końca. – Z3S wkrótce powróci do dawnej formy, tylko redakcja upora się z pilniejszymi projektami.

Powrót

Komentarze

  • 2014.05.28 10:44 Marcin

    Ostatni akapit cieszy bardziej niz wpadka Avasta.

    Odpowiedz
    • 2014.05.28 11:01 Jarek

      dokładnie tak. Już myślałem, że będę musiał się żegnać i zostanie sam kuniecznik. To byłaby smuta w internecie polskim.

      Odpowiedz
    • 2014.05.28 11:13 GrandmaNazi

      Choć stwierdzenie: „Przerwa w aktualizacji serwisu NIE oznacza BYNAJMNIEJ jego końca”, sprawia wrażenie jak by jednak coś było na rzeczy.

      (że też to 'bynajmniej’ sprawia tak wiele problemów)

      Odpowiedz
      • 2014.05.28 12:46 Marcin Rybak

        voila! :)

        Odpowiedz
      • 2014.06.01 19:53 marsjaninzmarsa

        Ej, to akurat jest prawidłowe użycie.

        Odpowiedz
    • 2014.05.28 11:16 Stefan

      Heartbleed odebrało nam wpisy na Z3S! ;)

      Odpowiedz
    • 2014.05.28 17:02 Fredi

      Dokładnie tak ;) czekamy na Z3S dziennie aktualizowaną ;)

      Odpowiedz
  • 2014.05.28 18:44 axel

    To już sha1 takie słabe jest ? MD5 to czytałem, ale sha1 myslałem że potrzebuje sporo mocy obliczeniowej aby hasła wyciągnąć.

    Odpowiedz
    • 2014.05.28 19:11 Marcin Rybak

      sha1(strtolower($username) . $password); to będzie hash-mode 105 w oclhashcat pojedynczy Radeon R9 290X robi 2366.1 MH/s przy ustawieniach Core: 1000 Mhz, Memory 1250 Mhz, dla porównania ten sam Radeon na tych samych ustawieniach MD5 to już 10200.8 MH/s.
      Generalnie nie byłoby problemu, gdyby hasła ludzi były losowe, wtedy na nic byłyby słowniki i rulesety, a prawda jest taka, że 98% haseł pada w top 10000 najpopularniejszych haseł :(

      Odpowiedz
  • 2014.05.28 22:09 Grześ

    czyli znając samą sól można rzeczywiście tak szybko złamać hash?? przecież dodanie jakiegokolwiek znaku zmienia go?

    Odpowiedz
  • 2014.05.29 14:22 42

    > w *ilości* 400 000 rekordów.

    liczbie ;)

    Odpowiedz
  • 2014.06.03 15:01 jan

    A coś więcej wiadomo o tym Truecryp’cie?

    Odpowiedz
  • 2014.06.05 21:33 fgh

    Torepublic padło?

    Odpowiedz
  • 2014.06.06 14:14 lik

    Czy ta strona jeszcze żyje?

    Odpowiedz

Zostaw odpowiedź do marsjaninzmarsa

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Forum Avasta zhakowane, dane 400 000 użytkowników wyciekły

Komentarze