Slo-Tech - Na internetu se je pojavila datoteka rockyou2024.txt, ki vsebuje skoraj deset milijard edinstvenih gesel, ki jih ljudje dejansko uporabljajo. Datoteko je 4. julija na nekem hekerskem forumu objavil uporabnik z vzdevkom ObamaCare, v njej pa je v besedilni obliki (plain-text) zapisanih natančno 9.948.575.739 gesel.

Avtentičnost datoteke so preverili na Cybernews in ugotovili, da gre za zbirko gesel iz različnih varnostnih incidentov. Nekaj je novih, nekaj je starih, vsa pa so bila vsaj nekoč aktivna. To je v spremljajočem besedilu k objavi priznal tudi uporabnik, ki je gesla priobčil.

Spomnimo, da je pred tremi leti na internet pricurljala datoteka rockyou2021.txt, ki je vsebovala 8,4 milijarde gesel v enaki obliki. V naslednjih treh letih so torej hekerji dodali še poldrugo milijardo gesel. Skupno gre za gesla, ki so na internet pritavala v zadnjih dveh letih v več kot 4000 varnostnih incidentih.

Ključna funkcija tovrstnih seznamov je pomoč pri razbijanju gesel s surovo silo...

Slo-Tech - Facebook se je zapletel v nov varnostni incident, ki zajema zasebnost njegovih uporabnikov. Brian Krebs piše, da je od leta 2012 do nedavna Facebook gesla nekaterih uporabnikov hranil kar v besedilni obliki. To pomeni, da so bila gesla zapisana v podatkovni bazi in vidna vsakomur, ki je imel dostop. Facebook je navedbe potrdil, a dodal, da niso zabeležili nepooblaščenih dostopov ali zlorab.

Viri poročajo, da gre za med 200 milijoni in 600 milijoni gesel uporabnikov Facebooka, ki so bila shranjena v besedilni obliki in indeksirana, tako da je imelo do njih dostop več kot 20.000 Facebookovih zaposlenih. Facebook naj bi še vedno poizkušal ugotoviti, koliko gesel je dejansko izpostavljenih in od kdaj se napaka vleče...

BBC - Če berete besedilo zaradi dvoumnega naslova, kar takoj k dejstvom. Govorimo o geslih. Per Thorsheim je za svoje predavanje nabral skupaj nekaj informacij o geslih. O geslih, ki jih izbirajo uporabniki, vemo namreč že veliko. Nekaj podatkov dajo različne raziskave, veliko pa jih dobimo tudi iz analiz ukradenih gesel. Vdori v Adobe, LinkedIn in RockYou so le največji primeri, iz katerih so raziskovalci dobili ogromno podatkov.

Nekatere študije kažejo, da najboljša gesla izbirajo rdečelaske, najslabša gesla pa bradati, neurejeni moški. Ženske si raje izberejo daljša gesla, moški pa nekoliko krajša, a z več nealfanumeričnimi znaki. Sicer pa pri vseh študijah izstopa...

Forbes - Pet mesecev po februarskem napadu na nemško stran Gamigo so na splet priromali uplenjeni podatki. Neznan napadalec z vzdevkom 8in4ry_Munch3r je konec februarja uspešno kompromitiral strežnike tega nemškega založnika masivno-večigralsko spletnih iger domišljijskih vlog (MMORPG), zaradi česar so v začetku marca svojim strankam poslali obvestilo, naj zamenjajo svoja gesla na njihovi strani in drugod, če so slučajno uporabljali ista. Zgodba je počasi potihnila, saj se nekaj mesecev ni zgodilo nič niti ni kazalo, da bi bili zbrani podatki zlorabljeni.

V začetku julija pa so hekerji pokazali sadove svojega dela, piše Forbes. Na forumu InsidePro so objavili pol gigabajta težko zbirko več kot...

Slashdot - RockYou, podjetje, ki izdeluje spletne družabne igre (ena bolj znanih, ki je integrirana v Facebook, je Vampires), je konec leta 2009 doživelo resen šok, ko je neznan heker z uporabo SQL vrivanja odtujil rekordno količino 32 milijonov uporabniških imen, gesel in e-poštnih naslovov. RockYou se ni držal niti osnovnih dobrih praks, saj je hranil gesla kar v čitljivi obliki, pri ustvarjanju gesla pa stran ni dovoljevala "posebnih" znakov kot so na primer #, ! ali %, kar precej zmanjša moč gesel. Porazna pa je bila tudi reakcija RockYou, saj so uporabnike o vdoru in kraji podatkov obvestili šele 12 dni kasneje, ko so lahko hekerji ukradena gesla že uporabili drugje.

RockYou je kasneje zaradi malomarnega ravnanja z uporabniškimi podatki tožil uporabnik Alan Claridge, Slashdot pa poroča, da se je včeraj RockYou pogodil s FTC, ki ga je oglobil za 250 tisoč dolarjev. Pri tem velja omeniti, da je bil RockYou oglobljen predvsem zaradi kršenja zakona COPPA. Po tem zakonu morajo namreč...

HotHardware - Varnostno podjetje Imperva je podrobneje analiziralo bazo 32 milijonov gesel, ki so postala javna zaradi varnostne luknje na strani RockYou.com in prišli do nadvse zanimivih ugotovitev. Večina gesel je daleč od varnih in zanje pravzaprav ni potrebno razbijanje, saj je dokaj visoka verjetnost za pravilen rezultat že ugibanje. Deset najpogosteje uporabljanih gesel v bazi je (številka v oklepaju pove število uporabe):

• 123456 (290,731)
• 12345 (79,078)
• 123456789 (76,790)
• Password (61,958)
• iloveyou (51,622)
• princess (35,231)
• rockyou (22,588)
• 1234567 (21,726)
• 12345678 (20,553)
• abc123 (17,542)

Skoraj tretjina gesel je tako dolgih le 6 ali celo manj znakov, skoraj dve tretjini jih vsebuje zaporedje številk oz. črk (npr. qwerty, 20. najpogostejše geslo z dobrimi 13.000...