»

Varna gesla, ki to niso: ji32k7au4a83

Slo-Tech - Ko nam kakšno geslo uide v internet, bodisi po lastni neumnosti bodisi zaradi vdora v ponudnika kakšne storitve, se običajno hitro znajde na seznamu znanih gesel, ki jih hekerji uporabljajo za slovarske napade v prihodnosti. Na teh seznamih so pogosta in predvidljiva gesla, denimo 123456 ali password, pa tudi precej manj logični vnosi, kamor sodi ji32k7au4a83.

Have I Been Pwned je spletna stran, ki jo je že pred leti postavil varnostni strokovnjak Troy Hunt, in omogoča preveriti, ali je naše geslo varno. Hunt je sicer priznani varnostni strokovnjak, a kdor se počuti nelagodno ob vpisovanju svojega gesla na kakšno tretjo stran (in ima ob tem prav), lahko svoje geslo sam pretvori v SHA-1 in vnese to vrednosti ali pa si na disk prenese...

70 komentarjev

Na internet pobegnilo 773 milijonov elektronskih naslovov in gesel

Slo-Tech - Spletna stran Have I Been Pwned, ki se ukvarja z beleženjem ukradenih in pobeglih prijavnih podatkov uporabnikov različnih spletnih storitev, je sporočila, da so pridobili bazo s 773 milijoni elektronskih naslovov in 21 milijonov enoličnih gesel. To je največja baza doslej. Kot pojasnjuje ustanovitelj strani Troy Hunt, gre za kombinacijo novih in starih vnosov, ki so se valjali po internetu. Sedaj zbrani v eni datoteki z imenom "Collection #1" in krožijo po forumih in tudi na spletni strani Mega. Takšne zbirke so še posebej pripravne za hekerje, saj ljudje pogosto reciklirajo gesla, zato lahko podatke z ene kompromitirane spletne strani uporabijo še na številnih drugih.

Najnovejša datoteka je največji tovrstni ulov. Vsebuje 1,16 milijarde unikatnih kombinacij elektronski...

59 komentarjev

Razkritih 80 milijonov gesel

Slo-Tech - Raziskovalec Troy Hunt, ki vzdržuje servis Have I been pwned?, je včeraj na svojem blogu objavil, da je odkril datoteko s kompilacijo uporabniških imen in gesel, pridobljenih z vdori v tisoče spletišč širom svetovnega spleta, pa tudi z ugibanjem - kombiniranjem starejših, že prej objavljenih podatkov. Ni znano, koliko je legitimnih in koliko izmišljenih ter koliko so podatki stari, seznam novoodkritih podatkov pa je Hunt z izločanjem že znanih in preverjanjem skrčil na skoraj 3000 spletišč in 80 milijonov uporabniških imen z gesli. Velik del je takih, ki se doslej še niso pojavila, vse v neenkriptirani, plain-text obliki. V seznamu omenjenih spletišč je tudi nekaj slovenskih: Kot rečeno, dejanska ranljivost prijavnih podatkov ni znana, vseeno pa najbrž ni odveč preveriti, ali je na seznamu kakšno znano spletišče in tam za vsak slučaj zamenjati geslo.

31 komentarjev

Preverite svoje geslo med 320 milijoni pobeglih

Slo-Tech - Strokovnjak za računalniško varnost Troy Hunt je postavil spletno stran za preverjanje izgorelih gesel, k čemur so ga napeljala nova varnostna priporočila NIST-a. Ta namreč priporočajo, da se pri registraciji in menjavi gesla to preveri in uporabniku ne dovoli izbrati gesla, ki ni varno. To so gesla, ki enostavno uganljiva, in gesla, ki so priplavala na splet v vdorih na kakšne spletne strani (izgorela gesla).

Kot pojasnjuje Hunt, je zbral 320 milijonov gesel, ki veljajo za neprimerna in katerih uporaba se odsvetuje. Uporabniki lahko varnost svojega gesla preverijo tako, da ga vpišejo na njegovo spletno stran, ki vrne podatek o tem, ali je geslo na seznamu. Vpisovanje aktualnih gesel na spletne...

33 komentarjev

Čas za menjavo gesel? Na spletu našli bazo s 560 milijoni uporabniških imen in gesel

TheNextWeb - Ogromno bazo podatkov z več kot 560 milijoni uporabniških imen in gesel so raziskovalci raziskovalnega centra za kibernetsko varnost Kromtech Security Research Center (KSRC) našli na spletu. V bazi so tudi podatki uporabnikov LinkedIna, Dropboxa in Tumblrja. Pri KSRC so uspeli pridobiti že večino podatkov v bazi, ki so jih povezali s spletno storitvijo Have I Been Pwned. Ta uporabnikom omogoča, da z vnosom naslova elektronske pošte ali uporabniškega imena različnih spletnih platform in rešitev preverijo, ali so v bazi tudi njihovi podatki.

Kdo je ustvaril bazo še ni jasno. Raziskovalci KSRC menijo, da so vir podatkov mnogi hekerski napadi, ki so se zgodili v zadnjih letih. Vendar avtor baze ni bil neposredno povezan z...

34 komentarjev

Tumblr šele sedaj odkril vdor iz leta 2013

Slo-Tech - Tumblr je šele 12. maja letos sporočil, da so neznani napadalci leta 2013 vdrli v njihov sistem in pridobili dostop do nekaterih uporabniških podatkov. Danes pa je postalo znano, da je bil napad precej obsežnejši, kot je sprva kazalo. Napadalci so odnesli elektronske naslove in šifrirana gesla vsaj 65 milijonov uporabnikov, kaže analiza Have I Been Pwned. Toda za zdaj kaže, da je imel Tumblr gesla ustrezno shranjena, zato si napadalci z njimi ne morejo nič pomagati.

Paket elektronskih naslovov in gesel, ki so v obliki zgoščene vrednosti SHA1 in imajo dodan naključni sestavni del (salted hash), že kroži po internetnem podzemlju, a ga prav zaradi ustreznega zavarovanja gesel nepridipravi ne morejo prodati za več kot...

9 komentarjev

LinkedInu leta 2012 ukradli 100 milijonov gesel, ne le 6

Slo-Tech - Pred štirimi leti je bil LinkedIn tarča hekerskega napada, v katerem so napadalci izmaknili vsaj 6,5 milijona uporabniških imen in gesel, ki so bila sicer šifrirana, a brez naključnega parametra (unsalted). Sedaj se je izkazalo, da je bil vdor bistveno obsežnejši, kot smo sprva mislili. LinkedIn je sporočil, da je bilo odtujenih vsaj 100 milijonov gesel in uporabniških imen, zaščitenih na enako slab način.

Na internetu se je pojavila nova šarža uporabniških imen in gesel, ki jo prodaja heker z vzdevkom Peace in ki vsebuje podatke 117 milijonov uporabnikov LinkedIna iz leta 2012. Za paket na ilegalni tržnici The Real Deal zahteva 2200 dolarje v bitcoinih. Isti podatki naj bi bili tudi pri LeakedSource. Skupno je računov 167 milijonov, a jih 50 milijonov nima...

28 komentarjev

Zadnje aktivnosti LulzSec

LulzSec ima posebej 'sarkastični' pristop pri objavi svojih dosežkov; kar je po eni strani dobro (dobi več zapisov v medijih in s tem opozarja na pomen varnosti), po drugi strani pa precej nesramno in samovšečno (in vleče pozornost organov pregona)

vir: BBC
BBC - Kljub obupnemu začetku leta za informacijsko varnost se administratorji spletnih strani še niso zganili in uredili stvari. Ekipa LulzSec zato mirno nadaljuje z delom in pisanjem s črnim humorjem nabitih poročil.

V boju proti white hat varnostnim strokovnjakom, ki sodelujejo z ameriško vlado, so po že znanem vdoru v FBI-jev projekt Infragard zdaj objavili še polne osebne podatke (žanrsko full dox) o podjetjih Prolexic in Endgame Systems. Med podatki najdemo osebna imena, naslove, račune na socialnih omrežjih in podatke o družinskih članih za vse vidne člane obeh podjetij. Poglavitne stranke poleg vlade vključujejo še...

20 komentarjev