» »

LinkedInu leta 2012 ukradli 100 milijonov gesel, ne le 6

LinkedInu leta 2012 ukradli 100 milijonov gesel, ne le 6

Slo-Tech - Pred štirimi leti je bil LinkedIn tarča hekerskega napada, v katerem so napadalci izmaknili vsaj 6,5 milijona uporabniških imen in gesel, ki so bila sicer šifrirana, a brez naključnega parametra (unsalted). Sedaj se je izkazalo, da je bil vdor bistveno obsežnejši, kot smo sprva mislili. LinkedIn je sporočil, da je bilo odtujenih vsaj 100 milijonov gesel in uporabniških imen, zaščitenih na enako slab način.

Na internetu se je pojavila nova šarža uporabniških imen in gesel, ki jo prodaja heker z vzdevkom Peace in ki vsebuje podatke 117 milijonov uporabnikov LinkedIna iz leta 2012. Za paket na ilegalni tržnici The Real Deal zahteva 2200 dolarje v bitcoinih. Isti podatki naj bi bili tudi pri LeakedSource. Skupno je računov 167 milijonov, a jih 50 milijonov nima kompletnih podatkov, torej imena in gesla. Pri LeakSource so Motherboardu posredovali milijon gesel, da so potrdili avtentičnost zbirke, in zatrdili, da so v 72 urah uspeli zlomiti več kot 90 odstotkov gesel, ker so shranjena kot unsalted.

LinkedIn je začel obveščati dodatne žrtve vdora (izpred štirih let!) in blokirati njihova gesla. Če ste isto geslo uporabili še kje drugje, ga zamenjajte tudi tam.

28 komentarjev

terryww ::

Odlikovani inženirji na LinkedInu torej shranjujejo kočljive podatke v orginalni formi ali kako si lahko razlagamo te novice?
It is the night. My body's weak.
I'm on the run. No time to sleep.

stegy ::

Ne shranjujejo v originalni formi - se kriptira, vendar niso uporabili dodatnega random parametra. Tako se lahko na enostaven način naredi decript, ko uspeš razbiti enega še ostale. Če se uporabi dodaten random parameter pa to oteži zadeve.

Oberyn ::

terryww je izjavil:

Odlikovani inženirji na LinkedInu torej shranjujejo kočljive podatke v orginalni formi ali kako si lahko razlagamo te novice?

Ne, novica pravi, da so bila gesla shranjena šifrirana, vendar ne zasoljena. Kar je sicer še vedno varnostno slabo. Vendar bolj zanimivo je to, da so jih v zelo kratkem času uspeli 90% zlomiti z brute force napadom (mavrične tabele bi rekel pri tako kratkem času), kar pomeni, da je bilo 90% gesel skrajno šibkih. Če uporabnik danes uporabi enobesedno preprosto geslo za karkoli, no, je bunkelj. Jasno je, da je prva obrambna črta danes upravljanje z lastnimi gesli, ne zanašanje na neke bedaste spletne storitve, na katere nimaš nobenega vpliva.

stb ::

https://blog.korelogic.com/blog/2016/05...
42,691,862 unique passwords recovered so far; 69% of the unique hashes have cracked at this point.

Of the total 177,500,189 non-unique hashes leaked, there are 143,914,964 password hashes cracked, 33,585,225 left. That represents 81.07% of all LinkedIn.com users in the dump.

More updates to follow ...

Phantomeye ::

Naslov je precej neroden. Bere se, kot da so ukradli ŠEST gesel in ne 6 milijonov (in pol, če smo že natančni).

bambam20 ::

Phantomeye je izjavil:

Naslov je precej neroden. Bere se, kot da so ukradli ŠEST gesel in ne 6 milijonov (in pol, če smo že natančni).


Temu se reče biti komplikator. Vsi razumemo, da je bilo mišljeno 6 milijonov.

Phantomeye ::

bambam20 je izjavil:

Phantomeye je izjavil:

Naslov je precej neroden. Bere se, kot da so ukradli ŠEST gesel in ne 6 milijonov (in pol, če smo že natančni).


Temu se reče biti komplikator. Vsi razumemo, da je bilo mišljeno 6 milijonov.


Vsi?

Samo pravim, da je naslov malo neroden.

GupeM ::

Oberyn je izjavil:

terryww je izjavil:

Odlikovani inženirji na LinkedInu torej shranjujejo kočljive podatke v orginalni formi ali kako si lahko razlagamo te novice?

Ne, novica pravi, da so bila gesla shranjena šifrirana, vendar ne zasoljena. Kar je sicer še vedno varnostno slabo. Vendar bolj zanimivo je to, da so jih v zelo kratkem času uspeli 90% zlomiti z brute force napadom (mavrične tabele bi rekel pri tako kratkem času), kar pomeni, da je bilo 90% gesel skrajno šibkih. Če uporabnik danes uporabi enobesedno preprosto geslo za karkoli, no, je bunkelj. Jasno je, da je prva obrambna črta danes upravljanje z lastnimi gesli, ne zanašanje na neke bedaste spletne storitve, na katere nimaš nobenega vpliva.

Novica pravi narobe. Gesla so bila hashirana, ne šifrirana. Je pa res, da ni bilo uporabljene soli.

mtosev ::

In 4leta so rabili, da so to ugotovili? Haha/wtf
Core i9 10900X, ASUS Prime X299 Edition 30, 32GB 4x8 3600Mhz G.skill, CM H500M,
ASUS ROG Strix RTX 2080 Super, Samsung 970 PRO, UltraSharp UP3017, Win 11 Pro,
Enermax Platimax 1700W | moj oče darko 1960-2016, moj labradorec max 2002-2013

SeMiNeSanja ::

Ne samo da niso bila soljena, hash je bil baje narejen s sha1, ki danes ne velja več za varnega (tudi če ga soliš?).

Oberyn ::

GupeM je izjavil:

Novica pravi narobe. Gesla so bila hashirana, ne šifrirana. Je pa res, da ni bilo uporabljene soli.

Ja saj je jasno, da so bila zgoščena (hash), to je vendar standarden postopek. Res je, da zgoščevanje ni šifriranje (predvsem je enosmerno), ampak za članek za generalno publiko sta verjetno oba izraza dobra.

MrStein ::

bambam20 je izjavil:

Phantomeye je izjavil:

Naslov je precej neroden. Bere se, kot da so ukradli ŠEST gesel in ne 6 milijonov (in pol, če smo že natančni).


Temu se reče biti komplikator. Vsi razumemo, da je bilo mišljeno 6 milijonov.

Nekateri "šest" razumemo kot "šest". Verjetno se premalo s politiko ukvarjamo...
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

MrStein ::

So še komu poslali iz LinekIn-a N obvestil o resetiranemu geslu?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

andromedar ::

MrStein je izjavil:

So še komu poslali iz LinkedIn-a N obvestil o resetiranemu geslu?


Meni ne.
Sem si pa danes sam spremenil geslo...
Eh?

[D]emon ::

Kaj zaboga sploh je to ? :))
Mavrik ta forum uporablja za daljsanje e-penisa. Ker si ne upa iz hise.

jacal ::

100 milijonov /.../, ne le 6,

je povsem jasno in razumljivo, razen če se noče razumeti. S politiko nima zveze.

Zgodovina sprememb…

  • spremenil: jacal ()

MrStein ::

No ja, inženirji vedno pripišemo veličini tudi enoto. Drugi pa se prepirajo, kaj je umetnik hotel povedati... ;)
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Kenpachi ::

A misliš, da gre za 6 klobas?
To je ena tanka meja med avtizmom aka. "inženirjem" in proper pragmatičnim inženirjem.
Zaraki Kenpachi.

MrStein ::

Ne, 6 gesel.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Phantomeye ::

Me zanima, kaj bi se zgodilo, če bi dejansko res ukradli 6 gesel. Bi spet vsi rekli, da je logično, da gre za 6 gesel (ker naslov bi itak bil enakt kot v tem primeru. Plus, pri vseh tujih novicah jasno piše zraven milijon).

Zgodovina sprememb…

ZigaZiga ::

No, se tole vse razume enako, kajne?
LinkedInu leta 2012 ukradli 100 milijonov gesel, ne le 6
LinkedInu leta 2012 niso ukradli le 6 milijonov gesel, ampak 100
LinkedInu leta niso ukradli le 6, temveč 100 milijonov gesel

Vsekakor tudi jaz glasujem za "inženirsko" miselnost in se pač enote napiše povsod. Če se potem kdo pritožuje zaradi dolžine ali pa ponavljanja, se vsaj ve, kaj je mišljeno.

MrStein je izjavil:

So še komu poslali iz LinekIn-a N obvestil o resetiranemu geslu?


Tipkarska napaka :)

Preveri, če tvoje geslo ustreza varnostni politiki LinkedIn-a. Mogoče ne ustreza - tega sicer LinkedIn ne more preveriti - vejo pa, kdaj si nazadnje spremenil geslo in je to recimo datum pred spremembo njihove varnostne politike in te obveščajo, da pogledaš in spremeniš, če je potrebno.

Zgodovina sprememb…

  • spremenil: ZigaZiga ()

MrStein ::

Moje geslo ne obstaja, ker so ga resetirali.

Mogoče se je kdo poskušal prijaviti kot jaz in je klikal "Send password reset email".
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

technolog ::

Sem prav vesel, da sem zavrnil ponudbo za delo pri njih. :D

Katastrofa je, da so sfailali na tako osnovni zadevi. Kaj takega se Googlu ali pa Facebooku ne bi nikoli zgodilo.

Jst ::

offtopic: Jaz sem tudi, ko sem prebral samo naslov novice, razumel, da so ukradli le 6 gesel in ne 6 milijonov.
Islam is not about "I'm right, you're wrong," but "I'm right, you're dead!"
-Wole Soyinka, Literature Nobelist
|-|-|-|-|Proton decay is a tax on existence.|-|-|-|-|

MrStein ::

Da zaključimo: Slovenec se zmoti, in namesto da porabi eno minuto in popravi, 3 dni* vztraja, da napaka ni resnična.

* oziroma večno
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

cegu ::

Oberyn je izjavil:

terryww je izjavil:

Odlikovani inženirji na LinkedInu torej shranjujejo kočljive podatke v orginalni formi ali kako si lahko razlagamo te novice?

Ne, novica pravi, da so bila gesla shranjena šifrirana, vendar ne zasoljena. Kar je sicer še vedno varnostno slabo. Vendar bolj zanimivo je to, da so jih v zelo kratkem času uspeli 90% zlomiti z brute force napadom (mavrične tabele bi rekel pri tako kratkem času), kar pomeni, da je bilo 90% gesel skrajno šibkih. Če uporabnik danes uporabi enobesedno preprosto geslo za karkoli, no, je bunkelj. Jasno je, da je prva obrambna črta danes upravljanje z lastnimi gesli, ne zanašanje na neke bedaste spletne storitve, na katere nimaš nobenega vpliva.


Povedano praktično:
Brez soli:
password1 --> aWsdFGgh
password1 --> aWsdFGgh

S soljo:
password1 --> aWsdFGgh
password1 --> qurlonsj

Če ni soli, uganeš eno geslo (recimo aWsdFGgh v password1). Kdorkoli drug je uporabljal geslo "password1" ga lahko preprosto pošičeš s ctrl-f "aWsdFGgh". S soljo to ni tako preprosto, saj ti sistem tvoje geslo še malce sam zakomplicira.

Zgodovina sprememb…

  • spremenil: cegu ()

GupeM ::

cegu, tako je. Tudi če bi napadalci dobili vrednost soli, ki bi morala biti pri vsakem uporabniku drugačna, jim ta sol nič kaj dosti ne pomaga.

primer:
Brez soli:
password1 --> aWsdFGgh
password1 --> aWsdFGgh

S soljo:
password1 + sol1 --> dj3fuiDu
password1 + sol2 --> qurlonsj

V prvem primeru veš, da aWsdFGgh predstavlja password1, v drugem primeru pa še vedno neveš kaj predstavlja qurlonsj + sol2, kljub temu, da si že ugotovil da dj3fuiDu + sol1 predstavlja password1.

Tudi če veš, kakšna je vrednost soli, iz hasha + vrednosti soli ne moreš kar z lahkoto dobiti gesla. Kljub temu da sta dve gesli enaki.

Da se še sam malo obregnem ob naslov.
Res je nekoliko zavajajoč. Edini primer, pri katerem je očitno da gre za milijone, je napisal ZigaZiga.
LinkedInu leta 2012 niso ukradli le 6 milijonov gesel, ampak 100
Tukaj pa besedica "le" pove, da mora druga številka predstavljati večjo vrednost kot prva. V tem primeru je logično da gre za milijone. Razen, če bi jih ukradli 100 milijard, kar pa bi bilo spet potrebno eksplicitno navesti.

Zgodovina sprememb…

  • spremenil: GupeM ()

[D]emon ::

Moral bi implementirat tripcode pa bi blo. :))
Mavrik ta forum uporablja za daljsanje e-penisa. Ker si ne upa iz hise.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Na prodaj gesla uporabnikov VKontakte

Oddelek: Novice / Kriptovalute
55745 (4814) SeMiNeSanja
»

Tumblr šele sedaj odkril vdor iz leta 2013

Oddelek: Novice / Varnost
95835 (4645) Phantomeye
»

LinkedInu leta 2012 ukradli 100 milijonov gesel, ne le 6

Oddelek: Novice / Kriptovalute
2810429 (8558) [D]emon
»

Yahoo nadaljuje odpravljanje gesel

Oddelek: Novice / Omrežja / internet
2711009 (5224) Kenpachi
»

LinkedIn izgubil 6,5 milijona gesel

Oddelek: Novice / Varnost
3819628 (17200) Jst

Več podobnih tem