17:05
7/12/2013

…okazał się przerażający dla klientów Swedbanku.. Raz, że ataku przeprowadzanego równolegle z 5 sesji Swedbank nie wykrył przez 10 dni (!!!), to dwa — w tym czasie hasło “123456” dało atakującym dostęp do ponad 5 500 kont klientów banku…

Swedbank

Swedbank

W Polsce podobny eksperyment przeprowadzono nie na banku, a na …chomiku. Efekt? 2 miliony kont na sprzedaż – ale pewnie niewielu postrzega Chomika jako coś tak ważnego jak bank ;)

Gdybyście chcieli wiedzieć jak poprawnie ochronić wasz serwis internetowy/webaplikację przed atakami zgadywania haseł, to przygotowaliśmy specjalistyczny artykuł na ten temat.

Przeczytaj także:

Ten wpis pochodzi z naszego linkbloga *ptr, dlatego nie widać go na głównej.
*ptr możesz czytać przez RSS albo przez sidebar po prawej stronie serwisu.

Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

17 komentarzy

Dodaj komentarz
  1. Czy ludzie są aż tak tępi ? Czy dzieci w przedszkolu zakładają te konta nie potrafiąc wymyślić nic bardziej inteligentnego…

  2. Porówywanie chomika do banku nie jest zbyt dobrym przykładem ;)
    Wiele osób zakłada konto na chomiku żeby pobrać jeden plik 50mb i je porzuca zakładając kolejne… sam takich kont założyłem kilkadziesiąt, bo pobierałem trochę małych pliczków. Wszystkie z nich mają te samo hasło – równe proste ;)

  3. ” ale takie podejście przynajmniej daje tym bardziej świadomym internautom możliwość rejestracji na unikatowy e-mail ”

    swiadomi uzytkownicy nie ustawiaja hasla ktore bedzie w slowniku

  4. świadomi użytkownicy nie używają gmaila :)

    • To nie koniecznie ten sam rodzaj świadomości ;)

    • Jakas alternatywa dla gmaila?

    • Możesz rozwinąć swoją wypowiedź? Do tej pory uważałem, że właśnie to konto spośród darmowych jest o największej funkcjonalności i najmniejszym spamowaniu. Podbijam prośbę miecia – jeśli możesz podaj alternatywne darmowe konto o podobnych lub lepszych właściwościach bez jego wad. Nie sądzę by ktokolwiek w szerokim internecie wspaniałomyślnie podarował ci darmowe konto z równie szybkim dostępem i pojemnością a do tego pełną gwarancją anonimowości, wypaśnym szyfrowaniem treści, połączeń, kontaktów, itp. oraz zapewnieniem, że na prośbę byle urzędasa o dostęp prędzej wysadzi serwer niż udostępni dane. Wyprostuj mnie, jeśli się mylę.

    • “(…)oraz zapewnieniem, że na prośbę byle urzędasa o
      dostęp prędzej wysadzi serwer niż udostępni dane” Buahaha, ten
      kawałek posta – w kontekście gmaila (czyli Google) – rozbawił mnie
      najbardziej:D Kolega chyba od niedawna czyta Niebezpiecznik, a o
      PRISM, Snowdenie i cichym przekazywaniu danych służbom przez duże
      firmy (IT) zapewne nie słyszał;)

    • Rozumiem, że preferujesz własny serwer pocztowy?

    • Przeniosłem się z Gmaila na o2.pl i jestem raczej zadowolony. Płacę jakieś 1zł/miesiąc za wyłączenie reklam. Czasami przy korzystaniu z IMAP-a przez Thunderbirda muszę restartować klienta poczty, bo nie widzi nowych wiadomości w folderach (używam reguł do automatycznego przenoszenia wiadomości). Nie ma za to dziwnej implementacji tagów jako folderów w IMAP-ie. (aha, i jeszcze klienta webowego mam bez SSL-a, ale i tak z niego nie korzystam).

      Skrzynka pocztowa na innych polskich portalach może nie mieć powyższych wad (np. Onet dla płacących szyfruje wszystko). Błąd z IMAP-em może być winą Thunderbirda.

      Pojemność skrzynki mam porównywalną (i tak nie zużywam >2GB).

      Jest jeszcze MyKolab i podobne serwisy (niestety płatne).

  5. “…możliwość rejestracji na unikatowy e-mail (typu kazio+serwisxxx@gmail.com)”

    Próbowałem się w to bawić jakiś czas. Niestety ogromna ilość serwisów, sklepów i stron WWW idiocieje jak widzi tak zapisany adres mailowy. nie przyjmuje go w formularzu albo nie potrafi wysłać maila na taki adres.

    Smutne, bo pomysł dobry…

    • Można obejść kodem kropkowym. Kropkę dopuszczają, a w GMailu kropka jest ignorowana. ka….zio@ == ka.zio@ == kazio…@

    • Własny serwer i tworzenie osobnych maili / catch-all + filtry spamowe na daną skrzynke (jak trzeba to w np. cpanelu mozna)

  6. Cenna porada, dzieki!

  7. “Ale powiedzmy sobie szczerze: w Polsce korzystanie z TOR-a z reguły wiąże się z nadużyciami, a nie chęcią ominięcia cenzury.”
    Pozwolę sobie wyrwać tą wypowiedź z kontekstu – Za nic nie spodziewałem się na tym serwisie tak płytkiego sformułowania w kierunku TOR’a. O ile jest ono trafne i zgadzam się z nim, bo od strony analizy bezpieczeństwa większości typów webaplikacji bo zależy nam na “zweryfikowanych” użytkownikach w serwisie, a TOR nam to uniemożliwia, to pomijasz wg. mnie najistotniejszą cechę, którą daje TOR.
    Mówię o możliwości pozostania anonimowym w sieci – nie danie możliwości dużym organizacjom (czy to prywatnym, czy rządowym) zbierania większej ilości informacji o Tobie, niż sam o sobie wiesz.
    Na pewno zakładając forum lub serwis a’la wykop, w szczególności taki, gdzie mogą być wygłaszane kontrowersyjne opinie bardzo mocno zastanowiłbym się nad blokowaniem TOR’a (raczej lepsze byłoby zastosowanie wymogu dodatkowego typu zabezpieczeń, np. 2FA, które samo w sobie powinno dostać dodatkowy akapit w tym artykule) bo w ten sposób możemy stracić część wartościowych użytkowników.

  8. […] logować się na kolejne identyfikatory użytkowników z hasłem 123456. Ponieważ wyniki były przerażające, a dodatkowo często podczas wykonywania testów penetracyjnych widzimy, że mało który serwis […]

  9. Skrzynki na onecie radze omijać szerokim łukiem. Kiedyś miałem tam ważną skrzynkę. Z którą miałem np połączony wordpress. Korzystałem z programu pocztowego, 6 m-cy nie zalogowałem się przez www i skrzynka została bezpowrotnie usunięta. Podobna historia u mojej dziewczyny i znajomych. Fuck Onet.pl

Odpowiadasz na komentarz maciek

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: