27/02/2014

Wyciek haseł z Forbesa

Informacje

Syryjska Armia Elektroniczna (SEA) uderzyła ponownie, atakując tym razem dane kont ponad miliona czytelników i współpracowników Forbesa. Cyberprzestępcy przechwycili i opublikowali online bazę danych zawierającą adresy e-mail i powiązane z nimi hasła 1 071 963 użytkowników, natomiast artykuły oraz blog firmowy Forbesa zostały zniszczone. Powstaje pytanie: w jaki sposób SEA uderzyło w tak dużą infrastrukturę?

forbes

Mówi się, że Forbes przechowywał dane użytkowników w formacie PHP Portable. Zasadniczo oznacza to, że każde hasło wraz z ciągiem zaburzającym zwiększającym bezpieczeństwo przechodziły przez algorytm MD5. Jest on popularną kryptograficzną funkcją powszechnie wykorzystywaną do weryfikowania poprawności danych.

Następnie przyszło SEA i urządziło sobie grę – zgadywankę. Włamywacze zderzali losowe popularne hasła, takie jak „ABCD”, z ciągami użytkowników, tworząc hash, który następnie był porównywany z bazą Forbesa. Po utworzeniu pasujących elementów hasła były ujawniane.

Ponieważ hasła były szyfrowane jednostronnie, Forbes nakłania swoich czytelników do zmiany loginu:

The email address for anyone registered with Forbes.com has been exposed. Please be wary of emails that purport to come from Forbes, as the list of email addresses may be used in phishing attacks. We have notified law enforcement. We take this matter very seriously and apologize to the members of our community for this breach.

W tym momencie pojawia się problem, ponieważ ludzie zwykli używać tych samych nazw użytkowników i haseł do różnych kont. Zatem dowolny czytelnik Forbesa, którego dane zostały ujawnione publicznie i który używa tej samej kombinacji loginu i hasła do innych kont, jest teraz zagrożony wieloplatformowym atakiem na szerszą skalę.

Z tego powodu nie możemy całkowicie ochronić Was przed cyberprzestępcami. W takiej sytuacji po zhakowaniu jednego z Waszych kont uzyskanie dostępu do reszty to tylko kwestia chęci i cyberprzestępcy mają tego świadomość. Dlatego zachęcamy Was do korzystania z menedżera haseł, który umożliwia przechowywanie silnych, niepowtarzalnych haseł dla każdego z kont internetowych, a także zapewnia bezpieczeństwo reszty kont w przypadku włamania na jedno z nich.