BlackBoxs.Biz  Зеркало Blackboxs.ruBlackBoxs.Biz  Зеркало Blackboxs.ru
BlackBoxs.Biz  Зеркало Blackboxs.ru
Справка Календарь Все разделы прочитаны
Обменник

Конкурс! Конкурс! Конкурс! 2017
Register | Lost Your Password

Вернуться   BlackBoxs.Biz Зеркало Blackboxs.ru > Новости сети > Новости сети

Важная информация

Ответ
 
Опции темы Опции просмотра
Старый 13.11.2016, 20:18   #1
N1gh
BB$
 
Аватар для N1gh
 
Регистрация: 10.01.2013
Сообщений: 144
Благодарил(а): 133 раз(а)
Поблагодарили: 42 раз(а) в 15 сообщениях
Репутация: 129
Exclamation Взлом года: в сеть утекли 412 млн паролей пользователей сайта знакомств

Эксперты по информационной безопасности из LeakedSource сообщили о самом крупном взломе 2016 года. Хакеры получили доступ к 412 млн аккаунтов сайта для знакомств AdultFriendFinder (AFF) и других партнерских ресурсов.

В базе данных хакеров содержатся логины и пароли пользователей сайтов AdultFriendFinder, Cams, Penthouse, Stripshow и остальных ресурсов компании AFF. Эксперты установили, что данные пользователей хранились в открытом виде и только небольшая часть под ненадежным алгоритмом хеширования SHA-1.
Большая часть аккаунтов в базе имеет вид email@address.com@deleted1.com. Сотрудников LeakedSousre считают, что создатели сайта AFF хранили информацию даже об удаленных пользователей.
Список самых популярных паролей:
123456 — 900 тысяч аккаунтов
12345 — 635 тысяч аккаунтов
123456789 — 585 тысяч аккаунтов
12345678 — 145 тысяч аккаунтов
1234567890 — 133 тысяч аккаунтов
Причина утечки
Личности хакеров не установлены. Предположительный способ взлома базы AFF — уязвимость local file inclusion, использующую «дыру» в серверах компании. Проблему обнаружили еще 16 октября, но, видимо, администрация сайта не отреагировала на это заявление.
Представители AdulfFrindFinder не комментируют и не подтверждают утечку базы аккаунтов.
N1gh вне форума   Ответить с цитированием
Благодарность от:
SPIRTPROM (14.11.2016)
Старый 14.11.2016, 01:14   #2
SPIRTPROM
BB$
 
Регистрация: 21.02.2013
Сообщений: 214
Благодарил(а): 142 раз(а)
Поблагодарили: 37 раз(а) в 20 сообщениях
Репутация: 47
По умолчанию

найти бы продажник)
__________________
[Только зарегистрированные пользователи могут видеть ссылки. Нажмите Здесь для Регистрации] - магазин игровых аккаунтов.
SPIRTPROM вне форума   Ответить с цитированием
Благодарность от:
Xpymer (14.11.2016)
Старый 14.11.2016, 07:59   #3
mantius
BB$
 
Аватар для mantius
 
Регистрация: 24.07.2011
Адрес: Под мостом
Сообщений: 5,562
Благодарил(а): 1,424 раз(а)
Поблагодарили: 2,277 раз(а) в 1,221 сообщениях
Репутация: 2386
По умолчанию

Цитата:
Эксперты установили, что данные пользователей хранились в открытом виде и только небольшая часть под ненадежным алгоритмом хеширования SHA-1.
И это - у лидера отрасли, безопасность пользователей как в автомобиле с табуретками вместо сидений.
__________________
Рекомендую только то, чем сам пользуюсь давно и успешно:
[Только зарегистрированные пользователи могут видеть ссылки. Нажмите Здесь для Регистрации]
CPA - это [Только зарегистрированные пользователи могут видеть ссылки. Нажмите Здесь для Регистрации], сотни активных офферов.
mantius вне форума   Ответить с цитированием
Старый 14.11.2016, 09:20   #4
Sanasol
BB$
 
Аватар для Sanasol
 
Регистрация: 09.01.2015
Адрес: Санкт-Петербург
Сообщений: 801
Благодарил(а): 61 раз(а)
Поблагодарили: 527 раз(а) в 272 сообщениях
Репутация: 619
По умолчанию

Цитата:
Сообщение от mantius Посмотреть сообщение
И это - у лидера отрасли, безопасность пользователей как в автомобиле с табуретками вместо сидений.
[Только зарегистрированные пользователи могут видеть ссылки. Нажмите Здесь для Регистрации]
__________________
[Только зарегистрированные пользователи могут видеть ссылки. Нажмите Здесь для Регистрации]

[Только зарегистрированные пользователи могут видеть ссылки. Нажмите Здесь для Регистрации] [Только зарегистрированные пользователи могут видеть ссылки. Нажмите Здесь для Регистрации]
Sanasol вне форума   Ответить с цитированием
Старый 14.11.2016, 09:59   #5
mantius
BB$
 
Аватар для mantius
 
Регистрация: 24.07.2011
Адрес: Под мостом
Сообщений: 5,562
Благодарил(а): 1,424 раз(а)
Поблагодарили: 2,277 раз(а) в 1,221 сообщениях
Репутация: 2386
По умолчанию

Цитата:
Сообщение от Sanasol Посмотреть сообщение
[Только зарегистрированные пользователи могут видеть ссылки. Нажмите Здесь для Регистрации]
Цитата:
Потому что крупные площадки не сразу появились с навороченным бекэндом.
А строились годами, а может и десятилетиями уже.
Хеширование паролей тоже не одно десятилетие используется, не знать о нём невозможно было.
Цитата:
Нельзя просто так взять и выбросить старый код, данные и т.п.
Приходится соблюдать обратную совместимость всё-таки.
Можно. Просто создаётся дополнительное поле, скажем, pass2 и туда пишутся хеши вместо паролей, переделывается регистрация и авторизация, а позже старое поле pass1 тупо удаляется.
Если бы все так нежно хранили старые коды, то весь интернет был бы насквозь дырявым, потому что новые уязвимости постоянно обнаруживаются и нет никаких других вариантов бороться с ними.
Цитата:
Опять же многие все-таки используют хеширование, но банальный перебор выдаст бОльшую часть паролей.
Которые в общей массе обычно 123456 и т.п. Посмотрите топ 100 паролей из любой слитой базы.
Ну так банальный перебор и без доступа к базе позволит подобрать эти простейшие пароли - это не повод сливать всех и сразу.
Цитата:
Так же в некоторых протоколах/софтинах нужны plaintext пароли.
Самый простой пример: авторизация на mail.ru с ящиком другого провайдера.
Тут кроме как хранить в открытую вариантов нет. Тоже самое с другими подключаемыми друг к другу сборщиками почты.
Для этого у пользователя просто спрашивают пароль для определённого действия. Уж ради этого хранить пароли в открытом виде явно абсурд.
Цитата:
Ну и конечно что нельзя недооценивать человеческую глупость, не всегда разработчики думают/знают о безопасности.
Вот это мне кажется единственной объяснимой причиной.
__________________
Рекомендую только то, чем сам пользуюсь давно и успешно:
[Только зарегистрированные пользователи могут видеть ссылки. Нажмите Здесь для Регистрации]
CPA - это [Только зарегистрированные пользователи могут видеть ссылки. Нажмите Здесь для Регистрации], сотни активных офферов.

Последний раз редактировалось mantius; 14.11.2016 в 10:01.
mantius вне форума   Ответить с цитированием
Старый 14.11.2016, 17:09   #6
Sanasol
BB$
 
Аватар для Sanasol
 
Регистрация: 09.01.2015
Адрес: Санкт-Петербург
Сообщений: 801
Благодарил(а): 61 раз(а)
Поблагодарили: 527 раз(а) в 272 сообщениях
Репутация: 619
По умолчанию

Цитата:
Сообщение от mantius Посмотреть сообщение
то весь интернет был бы насквозь дырявым

так он и есть насквозь дырявый.

Главную ликедсорса видели? Почти 3 миллиарда паролей в базе, миллиарда, карл!

There are currently 2,830,672,873 accounts in our database.
__________________
[Только зарегистрированные пользователи могут видеть ссылки. Нажмите Здесь для Регистрации]

[Только зарегистрированные пользователи могут видеть ссылки. Нажмите Здесь для Регистрации] [Только зарегистрированные пользователи могут видеть ссылки. Нажмите Здесь для Регистрации]
Sanasol вне форума   Ответить с цитированием
Старый 14.11.2016, 17:40   #7
RedBear
Местный
 
Аватар для RedBear
 
Регистрация: 05.10.2014
Сообщений: 93
Благодарил(а): 256 раз(а)
Поблагодарили: 744 раз(а) в 196 сообщениях
Репутация: 1070
По умолчанию

что меня всегда веселит, так это то, что "ВЗЛОМОВ ГОДА" в году минимум штук 5-6, а то и больше.
__________________
[Только зарегистрированные пользователи могут видеть ссылки. Нажмите Здесь для Регистрации]
[Только зарегистрированные пользователи могут видеть ссылки. Нажмите Здесь для Регистрации]
RedBear вне форума   Ответить с цитированием
3 благодарности(ей) от:
mandyson (14.11.2016), sydoow (14.11.2016), teodor707 (14.11.2016)
Старый 14.11.2016, 18:57   #8
mantius
BB$
 
Аватар для mantius
 
Регистрация: 24.07.2011
Адрес: Под мостом
Сообщений: 5,562
Благодарил(а): 1,424 раз(а)
Поблагодарили: 2,277 раз(а) в 1,221 сообщениях
Репутация: 2386
По умолчанию

Цитата:
Сообщение от Sanasol Посмотреть сообщение
так он и есть насквозь дырявый.
Ну вот мелкие сайты да, а отдельные крупные сайты вроде Яндекса если наблюдать долгий период, то не так уж и часто их ломают - любые известные уязвимости на них уже проверили неоднократно. Разумеется, Яндекс никогда не скажет: "знаете, мы ещё с 90х работаем, так что ничего менять в коде не будет для сохранения обратной совместимости, все дыры остаются открытыми".
__________________
Рекомендую только то, чем сам пользуюсь давно и успешно:
[Только зарегистрированные пользователи могут видеть ссылки. Нажмите Здесь для Регистрации]
CPA - это [Только зарегистрированные пользователи могут видеть ссылки. Нажмите Здесь для Регистрации], сотни активных офферов.
mantius вне форума   Ответить с цитированием
Ответ

Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 11:45. Часовой пояс GMT.


Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2018, vBulletin Solutions, Inc. Перевод: zCarot
vB.Sponsors