Benchmark.pl utracił bazę danych—wyciekły hasze haseł ponad 180 tys. użytkowników

Benchmark.pl to jeden z największych w Polsce serwisów o tematyce komputerowej i wokół technologicznej. Jest własnością spółki Komputronik, a miesięcznie odwiedza go ponad 1 mln unikatowych użytkowników—za wynikami Gemius/PBI.

Jak doszło do wycieku, nie wiadomo. Faktem jest natomiast, że w sieci znalazło się ponad 180 tys. haseł użytkowników.

Na ich trop natrafiono nieco przypadkiem. Adam Haertle z Z3S odnalazł zrzut bazy Benchmark.pl w serwisie Hashes.org, który jest niejako poligonem doświadczalnym dla crackerów. Udostępnia paczki zahaszowanych haseł z rozmaitych wycieków, na których włamywacze mogą doskonalić swoje umiejętności w zakresie odkodowywania haszy.

Plik dostępny jest tam od ponad miesiąca i, jak wynika z jego analizy, stanowi duże zagrożenie. Pewna część haseł jest bowiem zabezpieczona jedynie bardzo prostym algorytmem MD5, którego złamanie nie stanowi obecnie problemu. Jedynie nowsze rekordy mają bezpiecznego bcrypta.

Będąc posiadaczem konta na Benchmark.pl, należy niezwłocznie zmienić hasło. Trzeba się ponadto upewnić, czy dana fraza nie została wykorzystana gdzieś indziej.

Przy okazji wycieku na jaw po raz kolejny wychodzi pewna druzgocąca kwestia. Polacy od lat robią ten sam błąd, a mianowicie wykorzystują hasła, które w dużej mierze bazują na nazwie serwisu. Są one niezwykle łatwe do złamania tzw. metodą słownikową, czyli poprzez podstawianie znanych powszechnie fraz czy wyrazów.

Zdecydowanie bezpieczniejszym rozwiązaniem jest stosowanie menedżera haseł, który wspomaga tworzenie unikatowych i nieprzewidywalnych kombinacji.