8:50
13/7/2012

Czarny tydzień włamań i wycieków trwa. Po wycieku 430 000 hashy z serwisy Formspring oraz 450 000 haseł z Yahoo i miliona rekordów użytkowników forum Androida, przyszła kolej na firmę NVIDIA, która poinformowała dziś e-mailem swoich klientów, że tydzień temu zauważyła “podejrzaną aktywność” na serwerach swojego forum. Wykradziono loginy, e-maile i hashe haseł użytkowników.

nvidia

Oto treść maila, który NVIDIA rozesłała swoim użytkownikom:

Dear NVIDIA Forum User,

We suspended operations of the NVIDIA Forums last week in response to suspicious activity and immediately began an investigation. We apologize that our continuing investigation is taking this long. Know that we are working around the clock to ensure that secure operations can be restored.

Our investigation has identified that unauthorized third parties gained access to some user information, including:

• username
• email address
• hashed passwords with random salt value
• public-facing “About Me” profile information

NVIDIA did not store any passwords in clear text. “About Me” optional profiles could include a user’s title, age, birthdate, gender, location, interests, email and website URL – all of which was already publicly accessible.

NVIDIA is continuing to investigate this matter and is working to restore the Forums as soon as possible. We are employing additional security measures to minimize the impact of future attacks.

All user passwords for our Forums will be reset when the system comes back online. At that time, an email with a temporary password, along with instructions on how to change it, will be sent to your registered email address.

As a precautionary measure, we strongly recommend that you change any identical passwords that you may be using elsewhere.

NVIDIA does not request sensitive information by email. Do not provide personal, financial or sensitive information (including new passwords) in response to any email purporting to be sent by an NVIDIA employee or representative.

Znacie procedurę. Zmieniać hasła w każdym serwisie, w którym mieliście takie samo hasło, i może by tak w końcu poświęcić chwilę na globalną zmianę haseł na unikalne?

To kto następny? :)

Aktualizcja
Na Pastebin pojawiły się hashe haseł.

Przeczytaj także:


34 komentarzy

Dodaj komentarz
  1. Coraz ostrzej pogrywają ;]

  2. heh.. po takim tygodni uciesze się że mam w każdym serwisie inne hasło wygenerowane przez jakiś generator ;)

    nie mam żadnego pliku z listą haseł do serwisów, jak chce się zalogować(a przeglądarka nie pamięta danych – co się nie zdarza zbyt często) generuje nowy losowy ciąg znaków i przechodze poprzez proces przypominania hasła ;)

    • Masz plik z lista haseł, zapisany przez przeglądarkę. ;)

    • Dowolny trojan, który dostanie się do twojego komputera może podejrzeć wszystkie twoje hasła zapisane w przeglądarce, a ty czujesz się bezpiecznie – gratuluje.

  3. A więc? Kto następny? :P

    • niebezpiecznik…

    • Nie muszą nas hackować. Nasze hasło to wszędzie dupa.8

    • myślałem, że admin1 ;)

    • ..a ostatnio przeciez było to “qwerty”, dobrze że przynajmniej zmieniacie, na jakieś trudniejsze do odgadnięcia :-D lol

    • moim zdaniem admin1234 , bo każdy by pomyślał że admin123 a już jak 4 dochodzi to trudniej złamać :D

    • Jednak dupa.8, przecież to krakusy :-)

    • No swoją drogą to ciekawe jak bardzo skomplikowane i długie są hasła na niebezpieczniku. Pewnie jakieś 100 znaków przy wykorzystaniu 10 różnych alfabetów ;>

    • @Piotr: w oryginale to tak naprawdę było, że pierwsza litera była z DUŻEJ :P dopiero wtedy słownik przepuścił dalej…

  4. AMD? :D

  5. ja myśle że niedługo może być wyciek haseł do gry TIbia (www.tibia.com)

    • O ile już nie zhackowano :) a raczej na pewno zhackowano, bo kto by się przyznał? Tam już dawno pewnie backdoor siedzi i nikt nic nie musi wiedzieć . A tyle co widziałem na stronie, to są fajne punkty zaczepienia aby móc inwigilować w komendy tej strony.

  6. Żebym to tylko ja pamiętał gdzie zakładałem konto tylko po to, żeby założyć jeden wątek i o coś zapytać…

    • To pamiętaj przynajmniej by w takim wypadku użyć “śmieciowego” hasła a nie tego samego, którego używasz do logowania się na stronie banku ;)

    • Do banku mam unikalne. Aż tak leniwy nie jestem. ;)

    • Ja w takich wypadkach korzystam z 10minut mail

    • @plnk
      Gdy zakładanie konta na forum służy jedynie do jdnorazowego pytania, ewentualnie chodzi o jednorazowe ściągnięcie jakiegoś pliku wymagające rejestracji polecam http://www.yopmail.com/pl/. Nie ma sensu podawać swojego prawdziwego maila w takiej sytuacji. W ogóle warto przemysleć każdą rejestrację w nowym serwisie, forum, portalu itp. Każda kolejna rejestracja oznacza nowe ryzyko wycieku hasła, bo nawet duzym serwisom zdarzają się błędy ułatwiające atak (nierz wręcz podstawowe). Poza tym nie mówi się o tym, że atakującym poza grupą hakerów może też być np. zwolniony pracownik IT, bo nie zawsze zwolnienie takiej osoby oznacza natychmiastowe zablokowanie jej możliwości logowania (zwłaszcza przy dużej rotacji pracowników u jakiegoś podwykonawcy IT np. w Indiach czy innym kraju 3-świata).

    • Na takie jednorazowe serwisy to 10 Minute Mail głupi login i dla śmiesznych statystyk “123456” ;)

    • ja używam 10minutemail i hasła aaaaaa – jak ktoś zgadnie login, to ma alternatywę dla bugmenot. ;)

  7. I dlatego najlepiej korzystać z generatora haseł. :)

    • A nie lepiej osobny email do jednego serwisu i logować się przez sandbox, aby mieć pewność, że keylogger nie przechwytał naszego hasła? atakującemu zależy na rozszyfrowaniu Hasha, co 70% ludzi daje to samo hasło do emaila, a w emailu mogą się znaleźć loginy i hasła do gier, antywirusów, czy też do projektów jak ktoś jest programistą. Hasła nawet nie musisz znać, zawszę można sobie przypomnieć i wchodzić przez wygenerowany link.

  8. I ciekawe ile ludzi miało to samo hasło ;-> na tych kilku serwisach.
    Jak już tyle wyciekło, to “to” dopiero początek moim zdaniem.
    Dziura u jednych otwiera i daje analizę losowości haseł do innych włamów.
    A jak userzy się powtarzają, to już sami wiecie jaki to łańcuszek.

  9. “At that time, an email with a temporary password […] will be sent to your registered email address.”

    Lepiej byłoby wysłać samą instrukcję dot. resetowania haseł, bez jakichkolwiek haseł.

    • Zanim użytkownik by zmienił hasło może minąć za dużo czasu. Albo haker już je zmieni za użytkownika.
      Generując nowe hasła od razu i rozsyłając je do użytkowników znacznie zmniejszają szanse na to, że konto zostanie przejęte.

  10. Wiecie co, ale to daje do myślenia – czy aby na pewno webaplikacje w takich poważnych (bądź co bądź) firmach są aż tak dziurawe? Pomijając fakt, że hasła są przechowywane plaintextem, to przecież w jakiś sposób atakujący się do nich dostają…
    Czyżby rzeczywiście wychodził na światło dzienne fakt, iż zatrudnia się przy tym kiepskich programistów i webmasterów? A może dziura jest w innym punkcie systemu – w bazie danych, w serwerze www, ewentualnie w kadrze zarządzającej, nie potrafiącej wybrać odpowiedniego człowieka na odpowiednie stanowisko?

  11. Dobrze ze pare miesiecy temu skusilem sie na LastPASS :) wszystkie hasla unikalne, wynik 94.3% ale po takiej fali atakow to nic nie wiadomo na kogo padnie i czyje dane wyciekna :/

  12. To już nudne

  13. Eee, a myślałem, że kod źródłowych jakiś nowych sterowników wykradli. A tu forum tylko. Zawiodłem się ;P

    • Z forum łatwiej było wykraść bazę. Sterowniki, a konkretnie ich kody źródłowe to już na szczęście wyższa szkoła jazdy i o takiej infiltracji firmy hakerzy mogą jedynie marzyć.

    • Wiem, że łatwiej z forum. Dlatego tak bardzo się zawiodłem, bo myślałem po tytule, że naprawdę wielki hack ktoś w Nvidii odwalił i nikt nie wie jeszcze do których punktów w wenętrznej sieci intruzi mieli dostęp czy co – a tu tylko forum.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: