Sophos - Adobe je oktobra priznal vdor v svoje strežnike, ki naj bi mu odnesel izvorno kodo nekatere programske opreme in 2,9 milijona šifriranih gesel, uporabniških imen in elektronskih naslovov strank. Izkazalo se je, da je Adobe zelo podcenil resnost vdora. Sophos Security ugotavlja, da so nepridipravi uspeli ukrasti 153 milijonov kosov uporabniških podatkov, s čimer se vdor uvršča med največje v zgodovini.
Prve ocene so bile sicer 38 milijonov gesel, a je številka potem zrasla na 153 milijonov. Adobe vztraja pri oceni 38 milijonov in dodaja, da so napadalci dobili podatke z veliko zastarelih, neaktivnih in testnih računov, a to niti ni pomembno. Na internetu se je namreč znašla 10 GB velika datoteka, ki ima 153 milijonov vnosov.
V njej je precej zanimivih podatkov. Poleg šifriranih gesel so pri nekaterih vnosih tudi uporabniška imena, elektronski naslovi in namigi za geslo. Ti niso šifrirani in v večini primerov so si uporabniki nastavili takšen namig, da lahko iz njega kdorkoli ugotovi geslo. To je izredno nevarno; namig mora biti vedno tak, da ima smisel le za uporabnika. Nadaljnja analiza je pokazala, da je Adobe gesla najverjetneje šifriral z metodo DES ali pa novejšo verzijo 3DES. To je problematično, ker gre za simetrično šifriranje, kar pomeni, da kdorkoli ugane, pridobi ali kako drugače ugotovi ključ, dobi dostop do vseh gesel.
Adobe je bil tudi skrajno površen pri izvedbi šifriranja, saj očitno niso uporabljali nonce (number used once). Nonce je dodatni vhodni parameter pri šifriranju poleg gesla, ki poskrbi, da imajo ista gesla različno šifrirano vrednost. Analiza šifriranih gesel odkrije ponavljajoče se vzorce, kar se nikakor ne bi smelo zgoditi, četudi se gesla ponavljajo. Adobe je torej najverjetneje vzel geslo in ga dopolnil z ničelnimi bajti (NUL) do večkratnika števila osem brez nonce.
Na XKCD so takoj objavili parodijo na Adobovo napako, ki lepo kaže, kaj vse je Adobe razkril hekerjem. Ben Falconer je dejansko namig vzel resno in sestavil resnično križanko, ki je sestavljena iz najpogostejših gesel in namigov, ki so jih imeli ljudje zapisane ob teh gesli.
Novice » Varnost » Vdor v Adobe razkril veliko površnost
Furbo ::
Trapaste firme tako zelo rade zbirajo maile in podatke uporabnikov, poskrbeti za zaščito le teh, je pa že prevelik napor.
i5-13600K, Noctua NH-D15, STRIX Z790-F, 32GB DDR5, 2TB Samsung 990PRO,
Toughpower GF3 1000W, RTX3070, ALIENWARE AW3423DWF, Dell S2722QC
Toughpower GF3 1000W, RTX3070, ALIENWARE AW3423DWF, Dell S2722QC
Brane22 ::
To je pa tako, ko industrija sama odloča o faktorjih, ki so povprečnemu userju nevidni, kot je recimo varnost podatkov.
stb ::
Link do datoteke? :)
users.tar.gz (nepreverjeno)
ldap.tar.gz (nepreverjeno)
Najpopularnejših 100 gesel
Iskanje po podatkih
Zgodovina sprememb…
- spremenil: stb ()
BaToCarx ::
ldap.tar.gz je dalo dol od tam, na http://archive.is/bJewP so pa hashi še za taveliko, če se komu da gledat če je njihov email noter.
stb ::
ldap.tar.gz je dalo dol od tam, na http://archive.is/bJewP so pa hashi še za taveliko, če se komu da gledat če je njihov email noter.
Iskanje (npr po "ime.priimek@", da ne izdaš celotnega naslova) je mogoče na http://www.lucb1e.com/credgrep/
kriko1 ::
A sedaj bodo končno dodali opcijo brisanja Adobe ID?
Eni nismo želeli biti več del njihovega ekosistema, pa enostavno ni bilo opcije (in še vedno ni?) za izbrisat njihov račun.
Eni nismo želeli biti več del njihovega ekosistema, pa enostavno ni bilo opcije (in še vedno ni?) za izbrisat njihov račun.
Nummy ::
No tole je bilo pa res trapasto od njih...
Na srečo moj mail je na seznamu ampak ni ne hinta za geslo ne ostalih podatkov. Bog ne daj, da bi šli ven podatki o kartici...
Na ta račun znajo izgubiti marikatero stranko, ki bo šla raje na ilegalo spet, ker jim ne bo zaupala svojih podatkov in kartice...
Na srečo moj mail je na seznamu ampak ni ne hinta za geslo ne ostalih podatkov. Bog ne daj, da bi šli ven podatki o kartici...
Na ta račun znajo izgubiti marikatero stranko, ki bo šla raje na ilegalo spet, ker jim ne bo zaupala svojih podatkov in kartice...
Senitel ::
RedDrake ::
Sem si ogledal datoteko, in naredil par query-ev po njej, da sem nasel svoje accounte (temporaryinbox in stari ter novi mail), ter accounte od zaposlenih v nasem podjetju (iz povsem pragmaticnih varnostnih razlogov == ali so lahko potencialen vzrok za vdor, ker imamo VPN, ipd ...).
Osebno sem zadovoljen, od vseh ljudi ki delajo pri nas nima nihce enakega hasha kot katerikoli drug vnos v tej datoteki.
Moram pohvalit sodelavce :)
Osebno sem zadovoljen, od vseh ljudi ki delajo pri nas nima nihce enakega hasha kot katerikoli drug vnos v tej datoteki.
Moram pohvalit sodelavce :)
stb ::
ScumbagSteve ::
Zakaj še ni kazni za slabo zaščito sistemov? Če se že zapira tiste ki šetajo po tujih mašinah se naj še zapira tudi lastnike, ki svoje duri puščajo odprte potem pa kot stare babe pizdijo, da treba obiskovalce pozapret. Jaz tudi od zavarovalnice ne dobim drugo kot middle finger, če pustim avto odklenjen sred parkirišča in mi ga ukradejo.
Scumbag Štefko
bluefish ::
PaX_MaN ::
ScumbagSteve je izjavil:
Zakaj še ni kazni za slabo zaščito sistemov? Če se že zapira tiste ki šetajo po tujih mašinah se naj še zapira tudi lastnike, ki svoje duri puščajo odprte potem pa kot stare babe pizdijo, da treba obiskovalce pozapret. Jaz tudi od zavarovalnice ne dobim drugo kot middle finger, če pustim avto odklenjen sred parkirišča in mi ga ukradejo.
No dej TRR da se ti zaseže kazen za tale slab sistem.
Blisk ::
Že nekajletno opozarjanje o sesiupanju flash playerja ni pomagal, kako bi potem še kaj bolj resnega popravili?
ScumbagSteve ::
ScumbagSteve je izjavil:
Zakaj še ni kazni za slabo zaščito sistemov? Če se že zapira tiste ki šetajo po tujih mašinah se naj še zapira tudi lastnike, ki svoje duri puščajo odprte potem pa kot stare babe pizdijo, da treba obiskovalce pozapret. Jaz tudi od zavarovalnice ne dobim drugo kot middle finger, če pustim avto odklenjen sred parkirišča in mi ga ukradejo.
No dej TRR da se ti zaseže kazen za tale slab sistem.
Imaš tudi ti na viške odprta okna in vrata?
Scumbag Štefko
Jst ::
Ne da bi kritiziral pisca novice... ampak to je staro 2 tedna!
Islam is not about "I'm right, you're wrong," but "I'm right, you're dead!"
-Wole Soyinka, Literature Nobelist
|-|-|-|-|Proton decay is a tax on existence.|-|-|-|-|
-Wole Soyinka, Literature Nobelist
|-|-|-|-|Proton decay is a tax on existence.|-|-|-|-|
LitralSM ::
ScumbagSteve je izjavil:
Zakaj še ni kazni za slabo zaščito sistemov? Če se že zapira tiste ki šetajo po tujih mašinah se naj še zapira tudi lastnike, ki svoje duri puščajo odprte potem pa kot stare babe pizdijo, da treba obiskovalce pozapret. Jaz tudi od zavarovalnice ne dobim drugo kot middle finger, če pustim avto odklenjen sred parkirišča in mi ga ukradejo.
No dej TRR da se ti zaseže kazen za tale slab sistem.
Smešno je to, da se dragocene podatke uporabljajo napravo, ki so povezane v isti splet, kot kopica drugih. Menda bi bilo pametno razmisliti o ločenem spletu.
b4d ::
Ne da bi kritiziral pisca novice... ampak to je staro 2 tedna!
+1, sem upal vsaj na podrobnosti raznih clankov, ki so bili naknadno objavljeni, pa ni blo ne :(
b4d.sablun.org
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | Na prodaj gesla uporabnikov VKontakteOddelek: Novice / Kriptovalute | 5731 (4800) | SeMiNeSanja |
» | Tumblr šele sedaj odkril vdor iz leta 2013Oddelek: Novice / Varnost | 5823 (4633) | Phantomeye |
» | Objavljen arhiv Ashley Madison pristenOddelek: Novice / Zasebnost | 12305 (7503) | Pithlit |
» | Vdor v Adobe prizadel tri milijone uporabnikov, odtujena tudi izvorna koda izdelkovOddelek: Novice / Varnost | 11459 (8385) | LightBit |
» | Twitter napaden, ukradenih 250.000 geselOddelek: Novice / Varnost | 6202 (4575) | stb |