r   e   k   l   a   m   a
r   e   k   l   a   m   a

#aferabotowa Wykopu: lepiej się przyznać do bezmyślności czy wycieku?

Strona główna AktualnościBEZPIECZEŃSTWO

Podobno zwykły siłowy atak słownikowy wystarczył, by przejąć ponad 400 kont użytkowników Wykopu – i wykorzystać je przede wszystkim do wykopywania niektórych treści na stronę główną. Teraz konta te zostały hurtowo zabanowane, a ich użytkownicy zastanawiają się, na ile ta #aferabotowa świadczy o naiwności ofiar ataku, a na ile o słabości zabezpieczeń najpopularniejszego serwisu social news.

Weekend wyglądał na wykopie nieźle – wystarczyło 30 minut, by na główną stronę wszedł news o lokalnym wydarzeniu (Lubelskich Dniach Informatyki), wsparty kopnięciami setek osób, które nierzadko całe lata w serwisie nic nie robiły. A ci, którzy z Wykopu korzystali (i których konta wzięły udział w tej „zabawie”) szybko zauważyli, że historia aktywności pełna jest nieznanych im adresów IP.

Administracja Wykopu zareagowała dość szybko. Konta zabanowano, o nic nie pytając, a w niedzielę wieczorem wystosowano komunikat, informujący że hasła do tych kont zostały przejęte przez hakerów. Nie był to jednak wyciek danych z bazy, lecz wynik siłowego ataku, który pozwolił dostać się do kont zabezpieczonych trywialnie słabymi hasłami – tłumaczono.

r   e   k   l   a   m   a

Jak to się jednak stało, że siłowy atak na system logowania nie został zauważony przez administratorów? Otóż przeprowadzono go w sposób, który nie spowodował zauważalnego skoku w obciążeniu, co poniekąd niestety uśpiło naszą czujność – wyjaśniła administracja Wykopu.

Zapowiedziano też, że atak ten zostanie zgłoszonym odpowiednim organom, a zbanowane konta zostaną przywrócone dopiero wtedy, aż uda się uzyskać pewność, że dostęp do nich mają tylko właściciele. Wymuszono więc zresetowanie hasła i wprowadzono test CAPTCHA, wywoływany przy kolejnej próbie po błędnym podaniu hasła. Rozważa się też zmianę mechanizmu logowania, tak by zamiast loginów stosować przypisane adresy e-mailowe.

No cóż, w sytuacji gdy ponad 400 kont użytkowników zostaje złamanych przez potężnego hakera, warto się zastanowić, czy faktycznie winne są słabe hasła. Owszem, ujawnione hasła do przejętych kont wyglądały marnie (trafiały się nawet klasyczne haslo123 czy 123456), ale stosując słownikowy atak siłowy na serwis online niepostrzeżone trafienie nawet tak słabych haseł wydaje się niemożliwe. Potrzebne są tysiące prób nawet z profilowanym słownikiem, by trafić takie słabe hasło, do tego przecież zdecydowana większość kont żadnemu słownikowemu hasłu się nie podda.

Jeśli więc faktycznie jest tak, jak twierdzi administracja Wykopu, to napastnik zapewne zebrał dziesiątki proxy i darmowych VPN-ów, przez które przepuścił swój skrypt, przeprowadzający atak słownikowy za pomocą hydry czy innego wyspecjalizowanego narzędzia. Jako że zaś nie napotkał na żadne zabezpieczenia dla serwisu online, po jakimś czasie dostał listę gotowych par login:hasło. Musiało to długo trwać, bo przecież ujawnione hasła pokazują, że ich rozrzut był bardzo duży.

Jest jednak jeszcze druga możliwość. A co, jeśli napastnik dysponował bazą loginów i skrótów kryptograficznych haseł użytkowników, a potem korzystając z klastrów GPU i tęczowych tablic zdołał odwrócić niektóre z nich, te dla prostszych, krótszych haseł?

Jak faktycznie było – możemy tylko zgadywać. Jak te hasła.

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.   

Trwa konkurs "Ogól naczelnego", w którym codziennie możecie wygrać najnowsze maszynki systemowe Hydro Connect 5 marki Wilkinson Sword.

Więcej informacji

Gratulacje!

znalezione maszynki:

Twój czas:

Ogól Naczelnego!
Znalazłeś(aś) 10 maszynek Wilkinson Sword
oraz ogoliłaś naszego naczelnego!
Przejdź do rankingu
Podpowiedź: Przyciśnij lewy przycisk myszki i poruszaj nią, aby ogolić brodę.