W serwisie Polish Hackers Zone w sieci TOR pojawiła się przed chwilą baza danych sklepu internetowego Euforia. Sklep ten ma w swojej ofercie jedynie produkty nie nadające się do spożycia przez ludzi oraz przeznaczone wyłącznie do celów kolekcjonerskich. Przykładowa opinia jednego z klientów to „Bardzo dobry towar Polecam picza jest po tym nie miłosierna ;D Klimacik„.
Ujawniona w sieci baza zawiera 2334 rekordy z takimi danymi jak: imię, nazwisko, adres email, hash hasła (SHA1 solone stałą solą), numer telefonu, adres do wysyłki oraz data ostatniej wizyty.
Struktura opublikowanej bazy
Regulamin sklepu mówi, że Właściciel sklepu internetowego gwarantuje, ze podane przez użytkowników dane będą używane tylko w celu realizacji zamówienia oraz informowania o aktualnościach, z zastrzeżeniem prawa do ich poprawiania i uzupełniania zgodnie z obowiązującymi przepisami prawa i w żadnym wypadku nie będą przekazywane osobom trzecim.
Ciekawe, czy klienci sklepu dostaną rabat na środki kolekcjonerskie pomagające wyluzować się w tej stresującej sytuacji…
Komentarze
Mam pytanie, skąd wiadomo, że hashe są solone (to pewnie łatwo sprawdzić porównując z tablicami tęczowymi) oraz że sól jest stała a nie losowa per użytkownik albo będąca nazwą użytkownika?
Po pierwsze, taki opis widnieje w opisie struktury bazy (patrz zrzut ekranu). Po drugie można zauważyć, że niektóre hashe się powtarzają po kilka razy, a żaden z nich nie występuje w Google. Po trzecie, jako definitywny dowód wystarczy wziąć sól (wS+), dowolne popularne hasło (12345678), dodać jedno do drugiego, policzyć hash i sprawdzić, czy istnieje w bazie.
Eh, kto normalny zostawia w bazie danych komentarz odnośnie kodowania i hashowania hasła…