13:27
13/2/2012
13/2/2012
EvilShadow team uzyskał dostęp do bazy danych indyjskiego sklepu internetowego Microsoftu. Wykradziono i opublikowano hasła.
Microsoft Store - deface
Co gorsza, okazało się, że hasła były trzymane w plaintext:
Microsoft Store India - hasła
Obecnie strona indyjskiego sklepu Microsoftu informuje o “awarii” i wyświetla następujący komunikat:
Posłuchaj jednego z naszych 8 cyberwykładów. Wiedzę podajemy z humorem i w przystępny dla każdego pracownika sposób. Zdalnie lub u Ciebie w firmie. Kliknij tu i zobacz opisy wykładów!
Każdy powinien zobaczyć te webinary! Praktyczna wiedza i zrozumiały język. 6 topowych tematów — kliknij tutaj i zobacz szczegółowe opisy oraz darmowy webinar.
Zaraz zaraz… O ile dobrze widzę z tego deface’u ‘hakerzy’ mają maila na gmailu? Oo
Chińczycy. Lub przynajmniej ktoś używający języka chińskiego, sądząc po blogu.
Do tego ten blog ma ciekawy tytuł – “7z1’s Blog – Network security penetration testing” Chyba branża Niebezpiecznika? ;)
Ale Microsoft i hasła w plainie… Choć to Indie. Indyjscy informatycy są dość dziwni…
Ale za hasła szacun, tylko user o ID 120 nieco na luzie potraktował kwestię bezpieczeństwa hasła :)
oj, nie tylko, spójrz choćby na 119 :D
Tak… Te hasła są tak podobne, że pewnie były generowane automatycznie podczas rejestracji i większości osób nie chciało się ich zmieniać. Wniosek? Lepiej żeby niektórzy nie zmieniali. ;)
119 rządzi, a reszta to pewnie z powodu resetu po przypomnieniu i tak zostało :P
Hasła wyglądają na wygenerowane przez sam sklep (6 znaków) – pewnie dostali w mailu i zapisali w przeglądarce…
163.com :D polowa chinskiego personelu u mnie ma tam maile i jakies inne Gadu Gadu lajk rzeczy widac ze maja wyrypane na swoja anonimowosc :D
@blade, no właśnie. Weź i staraj się wymyslać złożone hasła, żeby się atak słownikowy nie udał, a tu ci taki jeden z drugim M$rogramista wstawi je w plain tekscie do bazy! Ręce opadają…
hiehie, widać że mają legalne windowsy ;) prawdopodobnie znakomita większość haseł, to 1 z 5 części klucza do windows ;)
A co się dzieje z Niebezpiecznikiem że dzisiaj jest czasami niedostępny?
jak co? trzynastka!
do tego maja na pienku z gaming industry bo Activision to zla firma :D wydajaca tasiemcowego Call of Duty
Mnie ciekawi inna sprawa, jak to jest że są wymyślane coraz ciekawsze funkcje skrótu, coraz mocniejsze algorytmy, wymyśla się najlepsze kombinacje szyfrowania haseł, używa się saltów i to nie pojedynczych oraz panuje powszechna opinia że czyste md5 czy sha1 to niebezpieczny przeżytek (co zresztą w pełni popieram). A międzynarodowi jak M$ czy polscy jak Allegro, giganci i tak wrzucają to sobie do bazy w plain text, a skoro nawet oni to robią to znaczy że na mniejszych serwisach zdarza się to pewnie jeszcze częściej, a Ci którzy realnie dbają o bezpieczeństwo swoich aplikacji, to mały odsetek twórców, odsetek do którego jak na razie się zaliczam. Ale jak tak dalej pójdzie to sobie w końcu dam spokój, bo skoro M$ może to czemu ja nie :)
Gdyby ludzie mieli osobne hasła do każdego serwisu, trzymanie przez MS haseł w plaintext i nieautoryzowany dostęp do tej bazy nie byłby problemem.
Masz mail, masz imię, nazwisko, telefon, blbalbalbalba … masz hasło = masz człowieka.
Tak się pozyskuje pomysły, tak się pozyskuje ludzi i idee – nie będę się wyrażał explicite bo nie wypada.
A co Niebezpiecznik sądzi o LastPass? Może warto by opisać, jeżeli ma sens?
Ja mam Piotrze osobne hasła do każdego serwisu ;-)
Powstała z tego gruba książeczka ;-)
@ Piotr -> jak to nie byłyby problemem? Byłyby mniejszym – zgoda, ale nadal dość sporym. Biorąc pod uwagę, że to hasło służy zabezpieczeniu jakiejś treści, to nadal atakujący ma do niej dostęp. Tyle, że z jednego serwisu, a nie kilku(nastu/dziesięciu/set). Jakby był hash + dobre hasło, to byłaby spora szansa, że samo uzyskanie dumpu hashy nic by nikomu nie dało.
@Matja, ale czy atakujący, któru zrzuca bazę danych z serwisu (= ma dostęp do naszego hasła) nie ma też przypadkiem dostępu do innych treści na tym serwisie? :)
@Piotr – jeśli zrzucili całą bazę, to jasne; miałem na myśli sytuację, w której atakujący ma tylko hashe haseł
Walentynki idą. Wszystkie geeki biorą piwsko i surfują :)
no bez jaj! microsoft zhakowany? nie wierze! NIE WIERZE!
A bo to pierwszy raz?
Koleś się nawet z imienia i nazwiska przedstawia – niezamówione pentesty chyba nie są przestępstwem w Chinach jeszcze więc.
Widać, że standard indyjskich oddziałów globalnych firm mocno odbiega od normy. Nie wierzę by MS Store w innych krajach był równie słabo zabezpieczony. Poza tym Microsoft ma przecież Live ID (dawniej Passport) do logowania, więc nie powinien sam generować haseł, które potem nie wszyscy zmieniają. Trzymanie haseł w plain tekst to żenujące ułatwienie sobie życia przez adminów, bo jakaś forma szyfrowania powinna być jednak normą.
Chyba programistów nie adminów ;)
To tylko wygląda jak plaintext, a tak naprawdę to mylący szyfr :D
@Krux
Owszem programistów. Ale admini mogli zwrócić programistom uwagę na luki, bo przecież musieli je zauważyć.
Musi to na Rusi ;)