Image
14.9.2015 0 Comments

Hackerom sa podarilo prelomiť 11 miliónov hesiel zo zoznamky Ashley Madison

Koncom júla sa hackerom podarilo nabúrať do kontroverznej zoznamky Ashley Madison a ukradnúť z nej zašifrované dáta. Po mesiaci zverejnili prvé údaje - e-mailové adresy vrátane interných adries materskej spoločnosti Avid Life Media, transakcie kreditných kariet a ďalšie dáta.

Hoci unikli aj desiatky miliónov hesiel, tie boli hašované, teda kryptograficky zabezpečené funkciou známou pod označením bcrypt. Ide o formu jednosmerného šifrovania, pri ktorej sa heslá niekoľkonásobne zakódujú, čím sa vytvorí jedinečný reťazec znakov na ich reprezentáciu. Postup nie je reverzibilný (jedine v prípade, že je algoritmus chybný). Preto používatelia so silnými heslami boli relatívne v bezpečí. No to isté sa nedá povedať o používateľoch so slabými heslami.

Bezpečnostný expert Dean Pierce vo svojom blogovom príspevku uviedol, že prehnal zoznam hašovaných hesiel cez tzv. cracking rig, aby zistil, koľko hesiel sa dá dešifrovať z cache. Po piatich dňoch strávených automatizovaným prelamovaním hesiel sa mu podarilo dešifrovať asi 4000 hesiel (0,06 percenta). Medzi najčastejšie patrili "123456" a "password". Možno teda povedať, že časť návštevníkov mala veľmi slabé znalosti v oblasti zabezpečenia.

No pred niekoľkými dňami ohúril svet 16-členný tím Cynosure Prime, ktorý oznámil, že dôkladne preskúmal zdrojový kód Ashley Madison a našiel veľkú chybu v tom, ako stránka zaobchádzala s heslami. To im dovolilo rozlúsknuť až 11 miliónov z 36 miliónov uniknutých hesiel.

Ukázalo sa totiž, že časť hesiel (do júna 2012) nebola zašifrovaná pomocou zložitého bcryptu, ale podstatne jednoduchšou a rýchlejšou šifrou MD5, ktorá zďaleka nie je taká dokonalá. Tím CynoSure Prime teda najprv rozlúštil jednoduchšie haše MD5 a správnosť hesiel overili opätovným zakódovaním pomocou bcryptu a porovnaním so zoznamom šifrovaných hašov.

Tím nezverejnil celý zoznam, ale na svojom blogu opísal svoj postup. Problém však predstavuje bezpečnostné riziko pre tých používateľov Ashley Madison, ktorí použili rovnaké heslo aj na iných webových stránkach a medzičasom ho nezmenili, čo je dosť častý prípad.

A z incidentu vyplýva aj jedno poučenie pre webových vývojárov - pri implementácii novej bezpečnostnej funkcie na webovej stránke sa treba uistiť o tom, že nový postup je aplikovaný na všetkých používateľov, nielen na tých nových.

Zdroj: zdnet.com
pcworld.com


Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

Bezpečnosť

FSB: Ruským bankám hrozia kyberútoky zo zahraničia

03.12.2016 00:05

Ruská Federálna bezpečnostná služba (FSB) varovala, že bližšie nešpecifikované zahraničné tajné služby plánovali sériu kybernetických útokov na ruský bankový systém. FSB údajne identifikovala servery ...

Bezpečnosť 1

Elektrické autá budú musieť pri nízkych rýchlostiach vydávať umelý zvuk, aby neohrozovali chodcov

29.11.2016 00:22

Podľa nového nariadenia vydaného americkým Národným úradom pre bezpečnosť cestnej premávky budú musieť byť elektrické a hybridné vozidlá hlučnejšie počas jazdy pri nízkej rýchlosti. Má sa tým zabrániť ...

Bezpečnosť

Aj slúchadlá vás môžu špehovať. Malvér z nich urobí mikrofón

28.11.2016 00:16

Opatrní používatelia počítačov prelepujú ich webovú kameru páskou. Iní sa obávajú sledovania pomocou mikrofónov, preto vypínajú či dokonca odstraňujú tieto audiokomponenty. No skupina izraelských výsk ...

Žiadne komentáre

Vyhľadávanie

Kyocera - prve-zariadenia-formatu-a4-s-vykonom-a3

Najnovšie videá