13:27
13/2/2012

EvilShadow team uzyskał dostęp do bazy danych indyjskiego sklepu internetowego Microsoftu. Wykradziono i opublikowano hasła.

Microsoft Store hacked

Microsoft Store - deface

Co gorsza, okazało się, że hasła były trzymane w plaintext:

Microsoft Store India hacked

Microsoft Store India - hasła

Obecnie strona indyjskiego sklepu Microsoftu informuje o “awarii” i wyświetla następujący komunikat:

Microsoft India


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

29 komentarzy

Dodaj komentarz
  1. Zaraz zaraz… O ile dobrze widzę z tego deface’u ‘hakerzy’ mają maila na gmailu? Oo
    Chińczycy. Lub przynajmniej ktoś używający języka chińskiego, sądząc po blogu.
    Do tego ten blog ma ciekawy tytuł – “7z1’s Blog – Network security penetration testing” Chyba branża Niebezpiecznika? ;)

    Ale Microsoft i hasła w plainie… Choć to Indie. Indyjscy informatycy są dość dziwni…

  2. Ale za hasła szacun, tylko user o ID 120 nieco na luzie potraktował kwestię bezpieczeństwa hasła :)

    • oj, nie tylko, spójrz choćby na 119 :D

    • Tak… Te hasła są tak podobne, że pewnie były generowane automatycznie podczas rejestracji i większości osób nie chciało się ich zmieniać. Wniosek? Lepiej żeby niektórzy nie zmieniali. ;)

    • 119 rządzi, a reszta to pewnie z powodu resetu po przypomnieniu i tak zostało :P

    • Hasła wyglądają na wygenerowane przez sam sklep (6 znaków) – pewnie dostali w mailu i zapisali w przeglądarce…

  3. 163.com :D polowa chinskiego personelu u mnie ma tam maile i jakies inne Gadu Gadu lajk rzeczy widac ze maja wyrypane na swoja anonimowosc :D

  4. @blade, no właśnie. Weź i staraj się wymyslać złożone hasła, żeby się atak słownikowy nie udał, a tu ci taki jeden z drugim M$rogramista wstawi je w plain tekscie do bazy! Ręce opadają…

  5. hiehie, widać że mają legalne windowsy ;) prawdopodobnie znakomita większość haseł, to 1 z 5 części klucza do windows ;)

  6. A co się dzieje z Niebezpiecznikiem że dzisiaj jest czasami niedostępny?

    • jak co? trzynastka!

  7. do tego maja na pienku z gaming industry bo Activision to zla firma :D wydajaca tasiemcowego Call of Duty

  8. Mnie ciekawi inna sprawa, jak to jest że są wymyślane coraz ciekawsze funkcje skrótu, coraz mocniejsze algorytmy, wymyśla się najlepsze kombinacje szyfrowania haseł, używa się saltów i to nie pojedynczych oraz panuje powszechna opinia że czyste md5 czy sha1 to niebezpieczny przeżytek (co zresztą w pełni popieram). A międzynarodowi jak M$ czy polscy jak Allegro, giganci i tak wrzucają to sobie do bazy w plain text, a skoro nawet oni to robią to znaczy że na mniejszych serwisach zdarza się to pewnie jeszcze częściej, a Ci którzy realnie dbają o bezpieczeństwo swoich aplikacji, to mały odsetek twórców, odsetek do którego jak na razie się zaliczam. Ale jak tak dalej pójdzie to sobie w końcu dam spokój, bo skoro M$ może to czemu ja nie :)

    • Gdyby ludzie mieli osobne hasła do każdego serwisu, trzymanie przez MS haseł w plaintext i nieautoryzowany dostęp do tej bazy nie byłby problemem.

    • Masz mail, masz imię, nazwisko, telefon, blbalbalbalba … masz hasło = masz człowieka.
      Tak się pozyskuje pomysły, tak się pozyskuje ludzi i idee – nie będę się wyrażał explicite bo nie wypada.

    • A co Niebezpiecznik sądzi o LastPass? Może warto by opisać, jeżeli ma sens?

    • Ja mam Piotrze osobne hasła do każdego serwisu ;-)
      Powstała z tego gruba książeczka ;-)

    • @ Piotr -> jak to nie byłyby problemem? Byłyby mniejszym – zgoda, ale nadal dość sporym. Biorąc pod uwagę, że to hasło służy zabezpieczeniu jakiejś treści, to nadal atakujący ma do niej dostęp. Tyle, że z jednego serwisu, a nie kilku(nastu/dziesięciu/set). Jakby był hash + dobre hasło, to byłaby spora szansa, że samo uzyskanie dumpu hashy nic by nikomu nie dało.

    • @Matja, ale czy atakujący, któru zrzuca bazę danych z serwisu (= ma dostęp do naszego hasła) nie ma też przypadkiem dostępu do innych treści na tym serwisie? :)

    • @Piotr – jeśli zrzucili całą bazę, to jasne; miałem na myśli sytuację, w której atakujący ma tylko hashe haseł

  9. Walentynki idą. Wszystkie geeki biorą piwsko i surfują :)

  10. no bez jaj! microsoft zhakowany? nie wierze! NIE WIERZE!

    • A bo to pierwszy raz?

  11. Koleś się nawet z imienia i nazwiska przedstawia – niezamówione pentesty chyba nie są przestępstwem w Chinach jeszcze więc.

  12. Widać, że standard indyjskich oddziałów globalnych firm mocno odbiega od normy. Nie wierzę by MS Store w innych krajach był równie słabo zabezpieczony. Poza tym Microsoft ma przecież Live ID (dawniej Passport) do logowania, więc nie powinien sam generować haseł, które potem nie wszyscy zmieniają. Trzymanie haseł w plain tekst to żenujące ułatwienie sobie życia przez adminów, bo jakaś forma szyfrowania powinna być jednak normą.

    • Chyba programistów nie adminów ;)

  13. To tylko wygląda jak plaintext, a tak naprawdę to mylący szyfr :D

  14. @Krux
    Owszem programistów. Ale admini mogli zwrócić programistom uwagę na luki, bo przecież musieli je zauważyć.

    • Musi to na Rusi ;)

Odpowiadasz na komentarz Zirytowany

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: