Aktywne Wpisy
zalozylemkonto +171
Sobota, 5:55 chłop zadowolony nad jeziorem na spacerze
źródło: temp_file2371185103661236378
Pobierz
Pendulum1337 +80
źródło: Zdjęcie z biblioteki
Pobierz źródło: temp_file2371185103661236378
Pobierz źródło: Zdjęcie z biblioteki
Pobierz
Włamanie na testowy serwer Wykopu
Drodzy Wykopowicze.
Kilka tygodni temu odnotowaliśmy włamanie na jeden z serwerów testowych, na którym przygotowujemy nową wersję serwisu. Lukę naprawiliśmy bardzo szybko, jednak włamywaczom udało się pobrać starą kopię bazy danych, której tam używaliśmy.
W związku z próbami szantażowania Wykopu ze strony hackerów, zgłosiliśmy niezwłocznie zawiadomienie do organów ścigania. Z uwagi na prowadzone dochodzenie, które wykracza poza granice kraju, otrzymaliśmy zakaz publikacji informacji o włamaniu do momentu złapania poszukiwanych osób. Dlatego nie mogliśmy Was o tym wcześniej poinformować. Sprawy potoczyły się jednak za daleko i należą Wam się słowa wyjaśnienia.
Felerna baza zawiera konta użytkowników zarejestrowane do 31 marca 2009 roku! W bazie zapisane były m.in. hasła do Waszych kont na Wykopie. Każde z haseł ze względów bezpieczeństwa, zostało zahashowane, więc nie można go po prostu odczytać. Jedyny sposób, to metoda prób i błędów zwana "brute force". W celu ochrony przed możliwymi konsekwencjami wycieku danych, wszystkie osoby, które zarejestrowały konto przed 31 marca 2009 roku prosimy o zmianę hasła (im więcej znaków w haśle, tym hasło bezpieczniejsze). Sprawdźcie również, czy nie używaliście tego hasła na innych serwisach.
Cała nasza firma, mimo weekendu, jest w tej chwili postawiona w stan najwyższej gotowości. Jesteśmy w ciągłym kontakcie tele
Komentarz usunięty przez autora
kłamstwo!
Bynajmniej to nie przynajmniej! Lata mijaja, a ludzie dalej tego nie wiedza..
Ja przepraszam bardzo, ale serwery testowe trzyma się za bardzo mocnym firewallem. Nie jest prawdą, że hasła są nie do złamania - większość z nich jest słownikowa, więc metoda porównywania z bazą haszy różnych słów i zwrotów zadziała wyśmienicie. Administracja wykopu nie ma NIC na swoją obronę. Zachowaliście się jak licealiści piszący od miesiąca w PHP. Słusznie zrobiłem zachowując od początku duży margines bezpieczeństwa jeśli idzie
Komentarz usunięty przez autora
Tęczowe tablice, o których najprawdopodobniej myślisz, to w sumie też brute force, tylko nieco lepiej zorganizowany.
1. Dlaczego hasła były hashowane tylko sha1 bez żadnej soli?
2. Dlaczego robiliście testy na serwerze niemal niezabezpieczonym (brak hasła roota)
Sprawy zaszły za daleko? ;D więc dopóki nic nie widzieliśmy to siedzieliście cicho a teraz jak ktoś z zewnątrz łaskawie nas ostrzegł to należy nam się wyjaśnienie? Lepiej było stawiać nie wiadomo kogo na nogi niż jak najszybciej ostrzec userów z tym samych hasłem na innych serwisach o zmianę go jak najszybciej?!
co do "jedynej metody" bruteforce to klamstwo, sa przeciez tkzw. "rainbow tables" ; )