Na prodaj gesla uporabnikov VKontakte
Matej Huš
7. jun 2016 ob 09:44:00
Na spletu se je znašel paket ukradenih osebnih podatkov, ki jih je neznani heker pridobil z vdorom v rusko družabno omrežje VKontakte. Več kot 100 milijonov uporabniških podatkov ponuja heker, ki je odgovoren tudi za vdore v MySpace, Tumblr, LinkedIn in Fling. Za ruski komplet podatkov zahteva en bitcoin, kar je okrog 500 evrov, vseh ukradenih podatkov pa naj bi bilo 170 milijonov.
Vdor v VKontakte (ki se danes uradno imenujejo VK.com) je pomemben zaradi več faktorjev. To je največje rusko družabno omrežje, ki je zelo popularno tudi v Vzhodni Evropi in Centralni Aziji, in ima v Rusiji več uporabnikov kot Facebook, saj je po Alexi to tam najbolj obiskana stran. Skupaj z ostalimi naštetimi vdori gre za naslednji vdor v seriji vdorov v največje strani, od koder sedaj na internet uhajajo osebni podatki uporabnikov. Tu si VKontakte zasluži veliko grajo, saj so imeli hudo pomanjkljivo zaščito. Podatki segajo v leto 2012 in 2013, ko so imeli 190 milijonov uporabnikov in ko se je vdor zgodil - upajmo, da imajo sedaj hranjenje gesel urejeno bolje.
V bazi so namreč osebna imena, elektronski naslovi, telefonske številke in gesla v tekstovni obliki. Táko shranjevanje gesel predstavlja eno največjih varnostnih pomanjkljivosti, zaradi katere so lahko upravljavci strani v številnih zahodnih državah ob vdoru tudi kazensko preganjani. Splošno sprejeta dobra praksa je shranjevanje šifriranih gesel skupaj z naključnim parametrom (salted hash), iz česar je v principu izjemno težko ali nemogoče izračunati gesla, razen najbolj trivialnih. Tak sistem je uporabljal tudi Tumblr, zato je bila škoda ob vdoru omejena (odnesli so 65 milijonov gesel). MySpace, ki so mu izmaknili 360 milijonov gesel, pa jih je hranil v zgoščeni obliki, a brez naključnega parametra, kar je že bistveno ranljiveje in omogoča uporabo predizračunanih podatkov.
Predstavnik VKontakte je vdor zanikal in dejal, da gre za stara gesla, ki so jih napadalci nabrali v letih 2011 in 2012.