» »

Na prodaj gesla uporabnikov VKontakte

Na prodaj gesla uporabnikov VKontakte

Slo-Tech - Na spletu se je znašel paket ukradenih osebnih podatkov, ki jih je neznani heker pridobil z vdorom v rusko družabno omrežje VKontakte. Več kot 100 milijonov uporabniških podatkov ponuja heker, ki je odgovoren tudi za vdore v MySpace, Tumblr, LinkedIn in Fling. Za ruski komplet podatkov zahteva en bitcoin, kar je okrog 500 evrov, vseh ukradenih podatkov pa naj bi bilo 170 milijonov.

Vdor v VKontakte (ki se danes uradno imenujejo VK.com) je pomemben zaradi več faktorjev. To je največje rusko družabno omrežje, ki je zelo popularno tudi v Vzhodni Evropi in Centralni Aziji, in ima v Rusiji več uporabnikov kot Facebook, saj je po Alexi to tam najbolj obiskana stran. Skupaj z ostalimi naštetimi vdori gre za naslednji vdor v seriji vdorov v največje strani, od koder sedaj na internet uhajajo osebni podatki uporabnikov. Tu si VKontakte zasluži veliko grajo, saj so imeli hudo pomanjkljivo zaščito. Podatki segajo v leto 2012 in 2013, ko so imeli 190 milijonov uporabnikov in ko se je vdor zgodil - upajmo, da imajo sedaj hranjenje gesel urejeno bolje.

V bazi so namreč osebna imena, elektronski naslovi, telefonske številke in gesla v tekstovni obliki. Táko shranjevanje gesel predstavlja eno največjih varnostnih pomanjkljivosti, zaradi katere so lahko upravljavci strani v številnih zahodnih državah ob vdoru tudi kazensko preganjani. Splošno sprejeta dobra praksa je shranjevanje šifriranih gesel skupaj z naključnim parametrom (salted hash), iz česar je v principu izjemno težko ali nemogoče izračunati gesla, razen najbolj trivialnih. Tak sistem je uporabljal tudi Tumblr, zato je bila škoda ob vdoru omejena (odnesli so 65 milijonov gesel). MySpace, ki so mu izmaknili 360 milijonov gesel, pa jih je hranil v zgoščeni obliki, a brez naključnega parametra, kar je že bistveno ranljiveje in omogoča uporabo predizračunanih podatkov.

Predstavnik VKontakte je vdor zanikal in dejal, da gre za stara gesla, ki so jih napadalci nabrali v letih 2011 in 2012.

5 komentarjev

mtosev ::

Vsaki dan novi odmevni vdori. Naj mi kdo odgovori, a so hackerji tako dobri ali imajo ta podjetja slabo varnost?
i like:) [Dell Inspiron 13 7000 - i7 6500U, 8gb ddr3, 256gb samsung, ips fhd]
moj oče darko 1960-2016
moj labradorec max 2002-2013

GupeM ::

1. V teh časih šparanje na vseh področjih, kar pomeni slabo varnost pri teh podjetjih.
2. V teh istih časih različni poskusi ljudi, kako zaslužiti kakšen dodaten euro.

Oboje skupaj pa zamgovalna kombinacija za odmevne vdore.

Zgodovina sprememb…

  • spremenil: GupeM ()

AC_DC ::

Gesla v plaintext brez soljenja, le kaj bi lahko šlo narobe :)) ?

Kokore ::

Po drugi strani pa ti že vsaka stran zahteva registracijo in vnos vseh mogočih podatkov! Morali bi zakonsko prepovedat zbiranje in shranjevanje osebnih podatkov na spletnih straneh. Tam pa kjer so le ti potrebni pa bi moralo biti to urejeno preko e-certifikata oziroma kake druge podobne rešitve.

SeMiNeSanja ::

Kokore je izjavil:

Po drugi strani pa ti že vsaka stran zahteva registracijo in vnos vseh mogočih podatkov! Morali bi zakonsko prepovedat zbiranje in shranjevanje osebnih podatkov na spletnih straneh. Tam pa kjer so le ti potrebni pa bi moralo biti to urejeno preko e-certifikata oziroma kake druge podobne rešitve.

Kaj pa ima e-certifikat veze s slabim programiranjem spletne aplikacije, ki posledično dovoli krajo podatkov?

e-certifikat je kvečjemu še hujša grožnja na takih spletiščih, saj barabam omogoča dostop do resničnih podatkov uporabnika v certifikatu in ne zgolj do nekih izmišljenih, kakršne večinoma ljudje vpisujejo v taka spletišča za stike.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Tumblr šele sedaj odkril vdor iz leta 2013

Oddelek: Novice / Varnost
93181 (1991) Phantomeye
»

LinkedInu leta 2012 ukradli 100 milijonov gesel, ne le 6

Oddelek: Novice / Varnost
283585 (1714) [D]emon
»

Krimska kriza tudi na internetu

Oddelek: Novice / Omrežja / internet
236580 (4016) rdecakapica
»

RockYou zaradi malomarnega ravnanja z uporabniškimi podatki oglobljen z 250 tisoč dol

Oddelek: Novice / Zasebnost
172996 (1983) hruske

Več podobnih tem