»

Razkritih 80 milijonov gesel

Slo-Tech - Raziskovalec Troy Hunt, ki vzdržuje servis Have I been pwned?, je včeraj na svojem blogu objavil, da je odkril datoteko s kompilacijo uporabniških imen in gesel, pridobljenih z vdori v tisoče spletišč širom svetovnega spleta, pa tudi z ugibanjem - kombiniranjem starejših, že prej objavljenih podatkov. Ni znano, koliko je legitimnih in koliko izmišljenih ter koliko so podatki stari, seznam novoodkritih podatkov pa je Hunt z izločanjem že znanih in preverjanjem skrčil na skoraj 3000 spletišč in 80 milijonov uporabniških imen z gesli. Velik del je takih, ki se doslej še niso pojavila, vse v neenkriptirani, plain-text obliki. V seznamu omenjenih spletišč je tudi nekaj slovenskih: Kot rečeno, dejanska ranljivost prijavnih podatkov ni znana, vseeno pa najbrž ni odveč preveriti, ali je na seznamu kakšno znano spletišče in tam za vsak slučaj zamenjati geslo.

31 komentarjev

Preverite svoje geslo med 320 milijoni pobeglih

Slo-Tech - Strokovnjak za računalniško varnost Troy Hunt je postavil spletno stran za preverjanje izgorelih gesel, k čemur so ga napeljala nova varnostna priporočila NIST-a. Ta namreč priporočajo, da se pri registraciji in menjavi gesla to preveri in uporabniku ne dovoli izbrati gesla, ki ni varno. To so gesla, ki enostavno uganljiva, in gesla, ki so priplavala na splet v vdorih na kakšne spletne strani (izgorela gesla).

Kot pojasnjuje Hunt, je zbral 320 milijonov gesel, ki veljajo za neprimerna in katerih uporaba se odsvetuje. Uporabniki lahko varnost svojega gesla preverijo tako, da ga vpišejo na njegovo spletno stran, ki vrne podatek o tem, ali je geslo na seznamu. Vpisovanje aktualnih gesel na spletne...

33 komentarjev

Na prodaj gesla uporabnikov VKontakte

Slo-Tech - Na spletu se je znašel paket ukradenih osebnih podatkov, ki jih je neznani heker pridobil z vdorom v rusko družabno omrežje VKontakte. Več kot 100 milijonov uporabniških podatkov ponuja heker, ki je odgovoren tudi za vdore v MySpace, Tumblr, LinkedIn in Fling. Za ruski komplet podatkov zahteva en bitcoin, kar je okrog 500 evrov, vseh ukradenih podatkov pa naj bi bilo 170 milijonov.

Vdor v VKontakte (ki se danes uradno imenujejo VK.com) je pomemben zaradi več faktorjev. To je največje rusko družabno omrežje, ki je zelo popularno tudi v Vzhodni Evropi in Centralni Aziji, in ima v Rusiji več uporabnikov kot Facebook, saj je po Alexi to tam najbolj obiskana stran. Skupaj z ostalimi...

5 komentarjev

Tumblr šele sedaj odkril vdor iz leta 2013

Slo-Tech - Tumblr je šele 12. maja letos sporočil, da so neznani napadalci leta 2013 vdrli v njihov sistem in pridobili dostop do nekaterih uporabniških podatkov. Danes pa je postalo znano, da je bil napad precej obsežnejši, kot je sprva kazalo. Napadalci so odnesli elektronske naslove in šifrirana gesla vsaj 65 milijonov uporabnikov, kaže analiza Have I Been Pwned. Toda za zdaj kaže, da je imel Tumblr gesla ustrezno shranjena, zato si napadalci z njimi ne morejo nič pomagati.

Paket elektronskih naslovov in gesel, ki so v obliki zgoščene vrednosti SHA1 in imajo dodan naključni sestavni del (salted hash), že kroži po internetnem podzemlju, a ga prav zaradi ustreznega zavarovanja gesel nepridipravi ne morejo prodati za več kot...

9 komentarjev

Vdor v Kickstarter odnesel osebne podatke

Slo-Tech - Kickstarter je svojim uporabnikom prek elektronske pošte in na blogu sporočil, da so neznani napadalci vdrli v njihove strežnike in odnesli osebne podatke za zdaj neznanega števila uporabnikov. Do podatkov o številkah kreditnih kartic niso uspeli priti, poleg tega pa Kickstarter hrani le zadnje štiri cifre in datum veljavnosti.

Napadalci so odnesli uporabniška imena, elektronske naslove, poštne naslove, telefonske številke in gesla. Starejša gesla so hranili v obliki zgoščene vrednosti SHA-1 (salted, hashed), za novejše pa so uporabili algoritem bcrypt. To pomeni, da so gesla uporabnikov razmeroma varna. Kljub temu Kickstarter svetuje menjavo vseh gesel. Ob vsakem takem napadu se zastavi vprašanje, kako varna...

6 komentarjev

LinkedIn izgubil 6,5 milijona gesel

TheNextWeb - Enkrat ta ponedeljek naj bi še neimenovana ruska hekerska skupina objavila paket 6.5 milijona gesel za poslovni portal LinkedIn (5 odstotkov od skupaj 150 milijonov uporabnikov). Napadalci so zaprosili za pomoč pri lomljenju gesel (cca. 300.000 naj bi jih že imeli).

Gesla so sicer kriptografsko zgoščena s SHA-1 algoritmom, vendar brez uporabe salta, tako da je zoper njih možen neposredni napad s preizkušanjem najbolj pogostih kombinacij. Varnostni raziskovalci so uporabnike že pozvali, naj takoj zamenjajo svoja gesla, isto pa seveda velja še za morebitne druge uporabniške račune z istim geslom (e-pošta, Facebook, idr.).

LinkedIn za zdaj pravi le, da zadevo raziskujejo. Njihovi PR-ovci...

38 komentarjev

Sum vdora v LastPass povzročil množično menjavo gesel

Slashdot - Na spletnih straneh LastPass, kjer ponujajo shranjevanje gesel za dostop do različnih strani na enem mestu z enim glavnim geslom, so objavili opozorilo svojim uporabnikom, da naj zaradi suma vdora v LastPass in odtujitve gesel takoj zamenjajo svoje glavno geslo. V torek so opazili anomalijo v omrežnem prometu, zaradi katere so začeli preiskavo. Ta je odkrila, da obstoji možnost, da je bilo nekaj uporabniških podatkov iz oblaka odtujenih. Ker obseg anomalij oziroma suma napada ni znan, predvidevajo najhuje.

LastPass nudi storitev, za uporabo katere je potrebno namestiti vtičnik LastPass Password Manager, dosegljiv za vse priljubljene brskalnike. Ta omogoča lokalno shranitev vseh gesel,...

30 komentarjev