Kolejny wyciek – tym razem milion kont z AndroidForums.com

dodał 12 lipca 2012 o 23:51 w kategorii Włamania, Wpadki  z tagami:
Kolejny wyciek – tym razem milion kont z AndroidForums.com

Biorąc pod uwagę ilość ostatnio pojawiających się wycieków danych, wkrótce trzeba będzie otworzyć osobny serwis tylko im poświęcony, by nie zanudzić czytelników. Po Formspring i Yahoo tym razem przyszła kolej na forum Phandroid (AndroidForums.com).

Dwa dni temu na jednym z największych forów poświęconych platformie Android pojawiła się informacja o konieczności zmiany haseł przez użytkowników. Według wpisu założyciela serwisu, dzień wcześniej deweloperzy odkryli włamanie do bazy danych. Na razie brak informacji na temat sposobu uzyskania danych przez włamywaczy, administrator forum poinformował jedynie, że bez wątpienia uzyskali oni dostęp do bazy użytkowników serwisu, zawierającej takie dane jak login, adres email oraz hash hasła.


AndroidForums.com zaprasza

Co ciekawe, w obszernym komentarzu o możliwych konsekwencjach włamania autor wpisu wymienia między innymi wykorzystanie bazy danych do rozsyłania spamu, nie wspomina jednak wcale o ryzyku złamania haseł użytkowników. Jako że we wpisie brakuje informacji, jaki rodzaj hashowania był stosowany w oprogramowaniu forum, możemy jedynie spekulować. Biorąc pod uwagę fakt, że forum opiera się na oprogramowaniu vBulletin w wersji 3.8.7, możemy przyjąć, że standardowo w tej wersji hasła są bardzo solidnie solone – sól powinna mieć 30 znaków. Jeśli włamywacze uzyskali jednak dostęp zarówno do hasha hasła jak i soli, to długość soli nieco podniesie czas potrzebny na złamanie hashy. Jedyna nadzieja użytkowników leży zatem w tym, że włamywacze weszli jedynie w posiadanie hashy – wtedy przy 30-znakowej soli możemy przyjąć, że hasła użytkowników są bezpieczne.