Popularny wśród amerykańskich nastolatków serwis społecznościowy Formspring.com ogłosił swoim 28 milionom użytkowników, że powinni pilnie zmienić hasła. Podobnie jak w przypadku serwisu LinkedIn czy Last.fm, administracja Formspirng.com dowiedziała się o wycieku haseł swoich użytkowników dopiero w momencie, gdy ktoś natrafił w sieci na plik z hashami haseł pochodzącymi z tego właśnie serwisu. W sieci znalazło się 420 tysięcy hashy sha-256 – tym razem zabezpieczonych nieco lepiej, niż te z LinkedIn, ponieważ Formspring stosował solenie hashy. Niestety, jak wynika z wpisów na forum, solenie polegało jedynie na dodaniu dwóch cyfr przed hasłem, co nieznacznie tylko (x100) skomplikowało zadanie osobom odgadującym hashe – po pięciu dniach z 420 tysięcy hashy tylko 189 tysięcy pozostało niezłamanych.
Co ciekawe, istnieją także podobieństwa do innych włamań – Formspring ustalił, że do wycieku hashy doszło poprzez włamanie na serwer deweloperski – identycznie, jak miało to miejsce w przypadku słynnego wycieku bazy użytkowników serwisu Wykop.pl kilka lat temu.
Administracja serwisu podjęła odpowiednie kroki. Zablokowała dostęp wszystkim użytkownikom dopóki nie zmienią swojego hasła, a następnie szybko zmieniła algorytm hashowania haseł z sha-256 na dużo bezpieczniejszy (bo wymagający znacznie większej ilości obliczeń) bcrypt. Działania prawidłowe, jednak kolejny obok LinkedIn, Last.fm i eHarmony masowy wyciek haseł dużego serwisu po raz n-ty każe postawić pytanie – czemu tego typu zabezpieczenia są wdrażane dopiero po poważnym naruszeniu bezpieczeństwa, a nie jako forma prewencji. Bez komentarza już zostawimy sens solenia haseł ciągiem dwucyfrowym.
Komentarz