szukaj

11.07.2012 | 19:20

avatar

Adam Haertle

Kolejny masowy wyciek haseł

Popularny wśród amerykańskich nastolatków serwis społecznościowy Formspring.com ogłosił swoim 28 milionom użytkowników, że powinni pilnie zmienić hasła. Podobnie jak w przypadku serwisu LinkedIn czy Last.fm, administracja Formspirng.com dowiedziała się o wycieku haseł swoich użytkowników dopiero w momencie, gdy ktoś natrafił w sieci na plik z hashami haseł pochodzącymi z tego właśnie serwisu. W sieci znalazło się 420 tysięcy hashy sha-256 – tym razem zabezpieczonych nieco lepiej, niż te z LinkedIn, ponieważ Formspring stosował solenie hashy. Niestety, jak wynika z wpisów na forum, solenie polegało jedynie na dodaniu dwóch cyfr przed hasłem, co nieznacznie tylko (x100) skomplikowało zadanie osobom odgadującym hashe – po pięciu dniach z 420 tysięcy hashy tylko 189 tysięcy pozostało niezłamanych.

Co ciekawe, istnieją także podobieństwa do innych włamań – Formspring ustalił, że do wycieku hashy doszło poprzez włamanie na serwer deweloperski – identycznie, jak miało to miejsce w przypadku słynnego wycieku bazy użytkowników serwisu Wykop.pl kilka lat temu.

Administracja serwisu podjęła odpowiednie kroki. Zablokowała dostęp wszystkim użytkownikom dopóki nie zmienią swojego hasła, a następnie szybko zmieniła algorytm hashowania haseł z sha-256 na dużo bezpieczniejszy (bo wymagający znacznie większej ilości obliczeń) bcrypt. Działania prawidłowe, jednak kolejny obok LinkedIn, Last.fm i eHarmony masowy wyciek haseł dużego serwisu po raz n-ty każe postawić pytanie – czemu tego typu zabezpieczenia są wdrażane dopiero po poważnym naruszeniu bezpieczeństwa, a nie jako forma prewencji. Bez komentarza już zostawimy sens solenia haseł ciągiem dwucyfrowym.

Powrót

Komentarz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Kolejny masowy wyciek haseł

Komentarze