17:05
7/12/2013

…okazał się przerażający dla klientów Swedbanku.. Raz, że ataku przeprowadzanego równolegle z 5 sesji Swedbank nie wykrył przez 10 dni (!!!), to dwa — w tym czasie hasło “123456” dało atakującym dostęp do ponad 5 500 kont klientów banku…

Swedbank

Swedbank

W Polsce podobny eksperyment przeprowadzono nie na banku, a na …chomiku. Efekt? 2 miliony kont na sprzedaż – ale pewnie niewielu postrzega Chomika jako coś tak ważnego jak bank ;)

Gdybyście chcieli wiedzieć jak poprawnie ochronić wasz serwis internetowy/webaplikację przed atakami zgadywania haseł, to przygotowaliśmy specjalistyczny artykuł na ten temat.

Przeczytaj także:

Ten wpis pochodzi z naszego linkbloga *ptr, dlatego nie widać go na głównej.
*ptr możesz czytać przez RSS albo przez sidebar po prawej stronie serwisu.

17 komentarzy

Dodaj komentarz
  1. Czy ludzie są aż tak tępi ? Czy dzieci w przedszkolu zakładają te konta nie potrafiąc wymyślić nic bardziej inteligentnego…

  2. Porówywanie chomika do banku nie jest zbyt dobrym przykładem ;)
    Wiele osób zakłada konto na chomiku żeby pobrać jeden plik 50mb i je porzuca zakładając kolejne… sam takich kont założyłem kilkadziesiąt, bo pobierałem trochę małych pliczków. Wszystkie z nich mają te samo hasło – równe proste ;)

  3. ” ale takie podejście przynajmniej daje tym bardziej świadomym internautom możliwość rejestracji na unikatowy e-mail ”

    swiadomi uzytkownicy nie ustawiaja hasla ktore bedzie w slowniku

  4. świadomi użytkownicy nie używają gmaila :)

    • To nie koniecznie ten sam rodzaj świadomości ;)

    • Jakas alternatywa dla gmaila?

    • Możesz rozwinąć swoją wypowiedź? Do tej pory uważałem, że właśnie to konto spośród darmowych jest o największej funkcjonalności i najmniejszym spamowaniu. Podbijam prośbę miecia – jeśli możesz podaj alternatywne darmowe konto o podobnych lub lepszych właściwościach bez jego wad. Nie sądzę by ktokolwiek w szerokim internecie wspaniałomyślnie podarował ci darmowe konto z równie szybkim dostępem i pojemnością a do tego pełną gwarancją anonimowości, wypaśnym szyfrowaniem treści, połączeń, kontaktów, itp. oraz zapewnieniem, że na prośbę byle urzędasa o dostęp prędzej wysadzi serwer niż udostępni dane. Wyprostuj mnie, jeśli się mylę.

    • “(…)oraz zapewnieniem, że na prośbę byle urzędasa o
      dostęp prędzej wysadzi serwer niż udostępni dane” Buahaha, ten
      kawałek posta – w kontekście gmaila (czyli Google) – rozbawił mnie
      najbardziej:D Kolega chyba od niedawna czyta Niebezpiecznik, a o
      PRISM, Snowdenie i cichym przekazywaniu danych służbom przez duże
      firmy (IT) zapewne nie słyszał;)

    • Rozumiem, że preferujesz własny serwer pocztowy?

    • Przeniosłem się z Gmaila na o2.pl i jestem raczej zadowolony. Płacę jakieś 1zł/miesiąc za wyłączenie reklam. Czasami przy korzystaniu z IMAP-a przez Thunderbirda muszę restartować klienta poczty, bo nie widzi nowych wiadomości w folderach (używam reguł do automatycznego przenoszenia wiadomości). Nie ma za to dziwnej implementacji tagów jako folderów w IMAP-ie. (aha, i jeszcze klienta webowego mam bez SSL-a, ale i tak z niego nie korzystam).

      Skrzynka pocztowa na innych polskich portalach może nie mieć powyższych wad (np. Onet dla płacących szyfruje wszystko). Błąd z IMAP-em może być winą Thunderbirda.

      Pojemność skrzynki mam porównywalną (i tak nie zużywam >2GB).

      Jest jeszcze MyKolab i podobne serwisy (niestety płatne).

  5. “…możliwość rejestracji na unikatowy e-mail (typu kazio+serwisxxx@gmail.com)”

    Próbowałem się w to bawić jakiś czas. Niestety ogromna ilość serwisów, sklepów i stron WWW idiocieje jak widzi tak zapisany adres mailowy. nie przyjmuje go w formularzu albo nie potrafi wysłać maila na taki adres.

    Smutne, bo pomysł dobry…

    • Można obejść kodem kropkowym. Kropkę dopuszczają, a w GMailu kropka jest ignorowana. ka….zio@ == ka.zio@ == kazio…@

    • Własny serwer i tworzenie osobnych maili / catch-all + filtry spamowe na daną skrzynke (jak trzeba to w np. cpanelu mozna)

  6. Cenna porada, dzieki!

  7. “Ale powiedzmy sobie szczerze: w Polsce korzystanie z TOR-a z reguły wiąże się z nadużyciami, a nie chęcią ominięcia cenzury.”
    Pozwolę sobie wyrwać tą wypowiedź z kontekstu – Za nic nie spodziewałem się na tym serwisie tak płytkiego sformułowania w kierunku TOR’a. O ile jest ono trafne i zgadzam się z nim, bo od strony analizy bezpieczeństwa większości typów webaplikacji bo zależy nam na “zweryfikowanych” użytkownikach w serwisie, a TOR nam to uniemożliwia, to pomijasz wg. mnie najistotniejszą cechę, którą daje TOR.
    Mówię o możliwości pozostania anonimowym w sieci – nie danie możliwości dużym organizacjom (czy to prywatnym, czy rządowym) zbierania większej ilości informacji o Tobie, niż sam o sobie wiesz.
    Na pewno zakładając forum lub serwis a’la wykop, w szczególności taki, gdzie mogą być wygłaszane kontrowersyjne opinie bardzo mocno zastanowiłbym się nad blokowaniem TOR’a (raczej lepsze byłoby zastosowanie wymogu dodatkowego typu zabezpieczeń, np. 2FA, które samo w sobie powinno dostać dodatkowy akapit w tym artykule) bo w ten sposób możemy stracić część wartościowych użytkowników.

  8. […] logować się na kolejne identyfikatory użytkowników z hasłem 123456. Ponieważ wyniki były przerażające, a dodatkowo często podczas wykonywania testów penetracyjnych widzimy, że mało który serwis […]

  9. Skrzynki na onecie radze omijać szerokim łukiem. Kiedyś miałem tam ważną skrzynkę. Z którą miałem np połączony wordpress. Korzystałem z programu pocztowego, 6 m-cy nie zalogowałem się przez www i skrzynka została bezpowrotnie usunięta. Podobna historia u mojej dziewczyny i znajomych. Fuck Onet.pl

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.