1:21
13/7/2012

Hasła udostępniła grupa D33Ds Co, oznajmiając iż dane z serwerów Yahoo wykradła za pomocą podstawowej podatności — prostego SQL injection (union).

yahoo-disclosure.txt

W opublikowanym przez atakujących zrzucie bazy, oprócz e-maili i haseł (453 492), znajdują się także nazwy tabel/kolumn (2 700) i zmiennych MySQL (298). Nie jest jasne, czy atakujący wyciągnęli z serwerów Yahoo hasła tekstem jawnym czy może ich hashe, które następnie złamali. W drugim przypadku, to co widzimy jest tylko podzbiorem wykradzionych danych a skala ataku może być dużo większa…

yahoo-passwords.txt

yahoo-passwords.txt

Jak piszą włamywcze w swoim oświadczeniu, publikacja bazy ma być swoistego rodzaju pobudką. Według nich, serwery Yahoo mają bardzo kiepskie zabezpieczenia. Atakujący są jednak dla Yahoo łaskawi — nie opublikowali informacji na temat podatnego na atak parametru, dzięki któremu wyciągnęli dane. Nieoficjalnie mówi się, że chodzi o serwis Yahoo Voices.

Yahoo potwierdza włamanie, a internet analizuje hasła

Yahoo potwierdziło incydent bezpieczeństwa, ale zaznaczyło, że dane są stare i tylko 5% z nich jest poprawnych (i obecnie używanych). Yahoo łata dziurę i zmienia hasła zagrożonym użytkownikom. A w sieci pojawiają sie już pierwsze statystyki opublikowanych danych:

    Domains
    1. Yahoo.com (137,559)
    2. Gmail.com (106,873)
    3. Hotmail.com (55,148)

    Passwords
    1. 123456 (1,667)
    2. password (780)
    3. welcome (437)
    4. ninja (333)
    5. abc123 (250)
    6. 123456789 (222)
    7. 12345678 (208)
    8. sunshine (205)
    9. princess (202)
    10. qwerty (172)

Na opublikowanej liście jest sporo Polaków. Jeśli chcecie sprawdzić, czy wasze dane zostały wykradzione, można to zrobić w tej wyszukiwarce po wpisaniu e-maila.

* * *

W tym tygodniu nastąpiło tyle wycieków haseł (LinkedIn, LastFM, Formspring), że chyba każdy już powinien zakładać, iż ustawiane przez niego hasło do dowolnego serwisu jest przetrzymywane jawnym tekstem i prędzej czy później wycieknie. Jaka jest na to rada? Do każdego z serwisów mieć inne hasło. W zarządzaniu hasłami pomoże KeePass.

Przeczytaj także:



25 komentarzy

Dodaj komentarz
  1. To się nazywa fala… Coś czuje, że jutro wyciekną hasła z facezbuka… o ile większość się już nie powtarza…

  2. Walking on Sunshine!
    A princess to niby określenie partnerki czy nawiązanie do Mario?

  3. KeePass też gdzieś te hasła trzyma, czekam kiedy o nich będzie podobny news ;D

    • Trzyma w pliku na kompie. Aby do nich się dostać trzeba znać masterpassword. http://keepass.info/

    • KeePass trzyma bazę na komputerze i zaszyfrowaną, o ile dobrze pamiętam, algorytmem symetrycznym. teoretycznie błąd w programie albo słabość kryptograficzna szyfru mogłyby ujawnić hasła, na pewno jednak nie są one umieszczane na serwerze tekstem jawnym

  4. Kurde, przez chwilę siedziałem na klocku. Na szczęście w tych 17965804KB TXT’u mnie nie ma.

  5. 123456 widać nieśmiertelne jest ;-).

  6. A jak są takie hashe, to takie hasło jak mam z KeePassa generowane (na takim poziomie) np: îa®¨ÐÑæ]wánž/pŸg÷uÈ )´–ŠÖÆk¯ÕÏ£Ñ25Ð<ç€`t V#Odc“sèüØAYÚȏ­+«ƒ¦ (czyt. złożone ze wszystkiego co się da + cała tablica ANSI o długości 20 znaków) da się normalnie złamać czy za długo by to trwało?

    • 20 znakowe hasło, cała tablica ASCII więc masz 256^20 możliwości (o ile 0x00 jest dozwolone) – sporo, ale jeżeli hasła trzymane są np. jako md5 to entropia (losowość) Twojego hasła i tak zostanie zredukowana do 2^128, czyli 256^16.

  7. Z ciekawości nie wyszukałem jakie hasło będzie miał typowy kowalski, gdy nie ujrzałem wybuchnąłem śmiechem : p

    • Bardzo trudne hasło z “Seksmisji”.

  8. […] tydzień włamań i wycieków trwa. Po wycieku 430 000 hashy z serwisy Formspring oraz 450 000 haseł z Yahoo i miliona rekordów użytkowników forum Androida, przyszła kolej na firmę NVIDIA, która […]

  9. A ta sprawdzarka hasła to test czytelników i tego, czy podają swojego maila na prawo i lewo? :)

  10. A ja to się zawsze zastanawiam nad tymi wszystkimi wyszukiwarkami “sprawdź czy gdzieś jest twój e-mail” – ciekawe, ile z nich zapisuje wpisywane adresy i używa ich potem do ataków.

  11. Pamietajcie, ze to sa dane oficjalne. Zaloze sie, ze niepublikowanych wyciekow sa dziesiatki.

  12. Niestety KeePass tez mial ostatnio problem z bazami kluczy, ktore byly podatne na atak, ale i tak najpierw trza bylo wejsc w posiadanie bazy … A pozniej offline brute force.
    Generalnie jednak lepszy KeePass od tych wszystkich komercyjnych, zamknietych niewiadomych jak LastPass, etc.

    Tak, czy owak popieram korzystanie z menedzera hasel.

    • Link?

    • Ale ponoć już to załatali.

    • A czy te menadżery haseł działają pod linuxami, unixami itp.? Synchronizują się pomiędzy rożnymi komputerami i systemami? Jeśli nie to pozostanę przy dotychczasowym sposobie. Za pisuje tylko fragmenty haseł na specjalnie do tego przeznaczonym koncie pocztowym(gmail), na wszelki wypadek zawsze sobie przesyłem do drugiego usługodawcy(yahoo) gdyby google padło na 10 minut lub dłużej.

    • @Dex: Na pingwina jest KeePassX (jest w pełni FLOSS i jest nawet w repo niektórych dystrybucji), nie wiem dokładnie czym się różni od KeePass’a, ale działa elegancko – trzyma bazę w zaszyfrowanym pliku (otwieranie na podstawie hasła lub pliku klucza), który możesz trzymać na jakimś cloud storage pokroju dropboxa. Hasła można grupować, przeszukiwać, ma też fajny feature który emulując naciśnięcia klawiszy wpisze usernamehasło w dowolne okno (nie tylko browser www) które jest w tle. Jest też wersja na legacyOS, ale nie ma wszystkich opcji, niemniej da się używać. http://www.keepassx.org/

    • @Cyber Killer: przecież KeePass 2.x jest na *niksy (wystarczy Mono ≥ 2.6, wg wymagań na homepage’u) ;)

    • @N3T: Przeczytaj jeszcze raz to co napisałeś i zastanów się jaki prawdziwy Linux user jest zainteresowany programem z kategorii security, który jest napisany w mono, a pakiety dla pingwina ma nieoficjalne.

      KeePassX jest napisany w Qt, i w pierwszej kolejności jest na GNU/Linuxa, a nie tak jak KeePass prio jest win, a Linux tak na doklejkę.

      Swoją drogą KeePassX też ma mieć w niedługim czasie ver2 z nowymi bajerami.

    • @Cyber Killer: zgadzam się. Jedynie wspomniałem, że pierwotna gałąź też obsłuży użytkowników Linuksa. Warto znać alternatywy i wybrać samodzielnie, prawda? ;)

  13. No nie ciekawa sprawa zwłaszcza, że doczytałem że i gmail wypłynął na tej liście.
    Tak w ogóle podpowie ktoś jak to znaleźć, bo kilka mailów mam i trochę strach czy mnie nie ma tam na liście, czy panikować czy nie.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: