22/7/2013
Niejaki Sputn1k_ podmienił stronę główną ubuntuforums.org i wykradł bazę użytkowników, zawierającą nazwę użytkownika, hash hasła (standardowy, solony z vBulletinu) oraz adresy e-mail. Sądząc po tym, ilu z Was podesłało nam dziś tę informację, forum to jest bardzo popularne w Polsce.
Ubuntuforums.org hacked
Włamanie nastąpiło wieczorem 20 lipca. Na stronie pojawił się następujący obrazek:
…a obecnie wyświetlany jest poniższy komunikat:
Canonical nie wydało jeszcze oświadczenia na temat bezpośredniej przyczyny włamania. Niektórzy sugerują, że powodem była przestarzała wersja vBulletinu oraz dostępny na publicznym interfejsie panel administratora.
Sam atakujący wyjaśnia, że nie jest jego intencją upubliczniać bazę danych:
Nie martwcie się o swoje hasła, tak były zaszyfrowane w domyślny dla vBulletinu sposób (md5(md5($pass).$salt). O ile nie jest to najmocniejszy algorytm, kiedy zmierzasz się z 1.8M haseł, ich złamanie zajmie sporo czasu.
Standardowo, polecamy wszystkim z Was zmianę hasła, jeśli gdziekolwiek użyliście takiego samego lub podobnego. Zresztą, jeśli jeszcze czyta nas ktoś kto nie zna KeePassa jako bezpiecznej metody przechowywania unikatowych haseł, niech szybko nadrobi braki.
Najlepszym sposobem na hasła jest własna głowa i ewentualna kartka papieru. Dla przykładu: Lub13B4rdz0Chr00pk1Cz3k0l4d0w3!? (256-bitowe hasło).
Życze powodzenia we wpisywaniu takiego hasła np po % ;]
Po % wszelka aktywność na forach powinna być zakazana.
Dobrze by było, ale dosyć często cała praca na nic bo serwis ma ograniczoną długość hasła, w mBanku np. jest to chyba 20 znaków, i weź tu się zabezpiecz :)
Proponuję nauczyć się liczyć. Efektywnych bitów ze względu na użyty zakres znaków jest znacznie mniej.
Jestem z pokolenia, które nie pije z laptopem ;-)
Warto też dodać, że strona odgrywała muzyczkę.
Nie precyzyjne sformułowanie wypowiedzi – ukradli dane osób, które logowały się poprzez fałszywe www, czy też inne konta też to objęło ??
Inne też objęło.
Macie nieporadne tłumaczenie. Przesyłam lekko poprawione:
“Nie martwcie się o swoje hasła. Owszem, były zaszyfrowane za
pomocą domyślnego dla vBulletinu sposobu (md5(md5($pass).$salt). O
ile nie jest to najmocniejszy algorytm, o tyle gdy ma się do
czynienia z 1,8 milionów użytkowników, zajęłoby mnóstwo czasu, by
poradzić sobie z hashami”
Jak zwykle – miałem tam konto, a nie wiedzialem. o 8:38 przyszedł do mnie mail z informacją: