Компания Opera Software сообщила (https://www.opera.com/blogs/security/2016/08/opera-server-br.../) об инциденте, в результате которого атакующие могли получить доступ к серверам, используемым для хранения данных, синхронизируемых между устройствами пользователей, активировавших функцию Opera Sync. В том числе в руки атакующих могли попасть логины и пароли доступа к различным сайтам, сохранённые для автоматического заполнения форм входа. По предварительной оценке проблема затронула около 1.7 млн пользователей, применяющих сервис Opera Sync.

Утверждается, что синхронизированные данные хранились в зашифрованном виде (AES-128), а пароли к учётным записям в Opera Sync хранились в виде хэшей с солью. В качестве упреждающей меры защиты, компания Opera Software приняла решение о блокировании всех учётных записей Opera Sync и инициировании операции смены паролей. Так как в случае успешного подбора пароля Opera Sync по хэшу атакующие могут получить доступа к синхронизированным данным, пользователям также рекомендуется поменять пароли к сайтам, сохранённые в браузере. Пользователи браузера Opera не использующие функцию Opera Sync проблеме не подвержены.

URL: https://www.opera.com/blogs/security/2016/08/opera-server-br.../
Новость: http://www.opennet.ru/opennews/art.shtml?num=45046

• Взлом инфраструктуры Opera привёл к утечке синхронизированны...,Michael Shigorin, 09:49 , 30-Авг-16
  • Взлом инфраструктуры Opera привёл к утечке синхронизированны...,Аноним, 10:13 , 30-Авг-16
    • Взлом инфраструктуры Opera привёл к утечке синхронизированны...,Аноним, 11:10 , 30-Авг-16
      • Взлом инфраструктуры Opera привёл к утечке синхронизированны...,freehck, 12:16 , 30-Авг-16
      • Взлом инфраструктуры Opera привёл к утечке синхронизированны...,Аноним, 16:37 , 30-Авг-16
        • (offtopic) об оценках и судьбах,Michael Shigorin, 19:34 , 30-Авг-16
          • (offtopic) об оценках и судьбах,Аноним, 21:36 , 30-Авг-16
            • (offtopic) об оценках и судьбах,Michael Shigorin, 14:33 , 01-Сен-16
  • Взлом инфраструктуры Opera привёл к утечке синхронизированны...,iPony, 10:32 , 30-Авг-16
    • Взлом инфраструктуры Opera привёл к утечке синхронизированны...,Crazy Alex, 11:22 , 30-Авг-16
      • Взлом инфраструктуры Opera привёл к утечке синхронизированны...,_, 16:10 , 30-Авг-16
        • Взлом инфраструктуры Opera привёл к утечке синхронизированны...,Аноним, 17:54 , 31-Янв-17
• Взлом инфраструктуры Opera привёл к утечке синхронизированны...,КортоФан, 09:49 , 30-Авг-16
  • Взлом инфраструктуры Opera привёл к утечке синхронизированны...,iPony, 10:32 , 30-Авг-16
    • Взлом инфраструктуры Opera привёл к утечке синхронизированны...,Аноним84701, 13:08 , 30-Авг-16
      • Взлом инфраструктуры Opera привёл к утечке синхронизированны...,iPony, 13:39 , 30-Авг-16
      • Взлом инфраструктуры Opera привёл к утечке синхронизированны...,mumu, 22:56 , 31-Авг-16
• Взлом инфраструктуры Opera привёл к утечке синхронизированны...,Аноним, 10:09 , 30-Авг-16
  • Взлом инфраструктуры Opera привёл к утечке синхронизированны...,Аноним, 11:12 , 30-Авг-16
    • Взлом инфраструктуры Opera привёл к утечке синхронизированны...,Владимир, 12:14 , 30-Авг-16
      • Взлом инфраструктуры Opera привёл к утечке синхронизированны...,Конь, 15:54 , 30-Авг-16
  • Взлом инфраструктуры Opera привёл к утечке синхронизированны...,KOT040188, 13:15 , 30-Авг-16
    • Взлом инфраструктуры Opera привёл к утечке синхронизированны...,Аноним, 15:09 , 30-Авг-16
      • Взлом инфраструктуры Opera привёл к утечке синхронизированны...,brandy, 01:08 , 31-Авг-16
    • Взлом инфраструктуры Opera привёл к утечке синхронизированны...,_, 16:21 , 30-Авг-16
      • Взлом инфраструктуры Opera привёл к утечке синхронизированны...,Аноним, 08:57 , 02-Сен-16
• Взлом инфраструктуры Opera привёл к утечке синхронизированны...,maks4ks, 10:27 , 30-Авг-16
  • Взлом инфраструктуры Opera привёл к утечке синхронизированны...,Led, 20:29 , 30-Авг-16
• Взлом инфраструктуры Opera привёл к утечке синхронизированны...,Аноним, 10:32 , 30-Авг-16
  • Взлом инфраструктуры Opera привёл к утечке синхронизированны...,Аноним, 11:23 , 30-Авг-16
• Взлом инфраструктуры Opera привёл к утечке синхронизированны...,Kodir, 10:52 , 30-Авг-16
  • Взлом инфраструктуры Opera привёл к утечке синхронизированны...,Аноним, 11:31 , 30-Авг-16
  • Взлом инфраструктуры Opera привёл к утечке синхронизированны...,freehck, 12:20 , 30-Авг-16
    • Взлом инфраструктуры Opera привёл к утечке синхронизированны...,_, 16:28 , 30-Авг-16
      • Взлом инфраструктуры Opera привёл к утечке синхронизированны...,Аноним, 09:00 , 02-Сен-16
• Взлом инфраструктуры Opera привёл к утечке синхронизированны...,Аноним, 11:03 , 30-Авг-16
• Взлом инфраструктуры Opera привёл к утечке синхронизированны...,Аноним, 11:38 , 30-Авг-16
  • Взлом инфраструктуры Opera привёл к утечке синхронизированны...,Аноним, 15:12 , 30-Авг-16
    • Взлом инфраструктуры Opera привёл к утечке синхронизированны...,Аноним, 17:12 , 30-Авг-16
    • Взлом инфраструктуры Opera привёл к утечке синхронизированны...,anonymous, 17:53 , 30-Авг-16
    • Взлом инфраструктуры Opera привёл к утечке синхронизированны...,Аноним, 09:02 , 02-Сен-16
• Взлом инфраструктуры Opera привёл к утечке синхронизированны...,Аноним, 12:21 , 30-Авг-16
  • Взлом инфраструктуры Opera привёл к утечке синхронизированны...,Дмитрий, 14:18 , 30-Авг-16
    • Взлом инфраструктуры Opera привёл к утечке синхронизированны...,rvs2016, 17:05 , 01-Окт-16
  • Взлом инфраструктуры Opera привёл к утечке синхронизированны...,_, 16:39 , 30-Авг-16
  • Взлом инфраструктуры Opera привёл к утечке синхронизированны...,Аноним, 19:04 , 30-Авг-16
• Взлом инфраструктуры Opera привёл к утечке синхронизированны...,okmijn, 12:54 , 30-Авг-16
  • Взлом инфраструктуры Opera привёл к утечке синхронизированны...,Аноним, 05:12 , 01-Сен-16
• Взлом инфраструктуры Opera привёл к утечке синхронизированны...,Аноним, 12:54 , 30-Авг-16
• Взлом инфраструктуры Opera привёл к утечке синхронизированны...,HIMEM.SYS, 14:12 , 30-Авг-16
• Взлом инфраструктуры Opera привёл к утечке синхронизированны...,Аноним, 15:28 , 30-Авг-16
• Взлом инфраструктуры Opera привёл к утечке синхронизированны...,Аноним, 17:51 , 30-Авг-16
• Взлом инфраструктуры Opera привёл к утечке синхронизированны...,gni, 12:03 , 31-Авг-16
• Взлом инфраструктуры Opera привёл к утечке синхронизированны...,РОСКОМУЗОР, 20:44 , 31-Авг-16
  • Взлом инфраструктуры Opera привёл к утечке синхронизированны...,Аноним, 08:42 , 01-Сен-16
• Взлом инфраструктуры Opera привёл к утечке синхронизированны...,Пахом, 10:09 , 01-Сен-16
  • Взлом инфраструктуры Opera привёл к утечке синхронизированны...,Аноним, 10:14 , 02-Сен-16
• Взлом инфраструктуры Opera привёл к утечке синхронизированны...,Аноним, 21:02 , 02-Сен-16
• Взлом инфраструктуры Opera привёл к утечке синхронизированны...,rvs2016, 17:09 , 01-Окт-16

"не смотрите вы, пожалуйста, свысока,
а с паролем прокатите нас, облака"

Хреновый ты поэт, Мишаня.

Такому великому знатоку как ты не составит труда продемонстрировать как надо?

Или чукча не писатель - чукча читатель?

Почему бы и нет?

Форум мой, я предлагаю тебе герб: роутер с подоткнутым в него интернет-кабелем. В силиконовом привкусе московского оптоволокна я пью неудавшееся домашнее бессмертие. Центробежная сила времени разметала наши горячие споры и крышки белесых китайских ноутбуков с синими цветочками. Ничего не осталось. Тридцать лет прошли как медленный пожар. Тридцать лет лизало холодное пламя информационного шума спинки зеркал с логотипами всевидящих корпораций.

Мандельштам Иосиф автор этих разных эпиграмм, и никакой другой Иосиф не есть Осип Мандельштам.

> Такому великому знатоку как ты не составит труда продемонстрировать как надо?
> Или чукча не писатель - чукча читатель?

Необязательно быть Маяковским, чтобы распознать плохую поэзию.

> Необязательно быть Маяковским, чтобы распознать плохую поэзию.

Необязательно быть хотя бы мной, чтоб придерживаться невысокого мнения о творчестве Маяковского -- но оказаться настолько лишённым детства, чтоб не заметить простейшую переделку старой доброй песенки из не менее доброго мультика, это уже совсем печально...

Послушайте, почитайте, подумайте:
http://pesnifilm.ru/load/multfilmy/oblaka/14-1-0-209
http://litdet.ru/bio/245

Ты за моё детство не волнуйся, я им вполне доволен. Что же касается «простейшей переделки», то и с ней беды не было бы, не хромай в ней рифма на обе ноги. И это отсутствие минимального таланта к стихосложению даже невысоким мнением о Маяковском не объяснишь.

> Что же касается «простейшей переделки», то и с ней беды не было бы,
> не хромай в ней рифма на обе ноги.

У Вас, похоже, нетрадиционное представление о рифме или что-то со зрением.

Впрочем, *plonk*

> "не смотрите вы, пожалуйста, свысока,
> а с паролем прокатите нас, облака"

Там про лошадок было

Дык, колбаса - это бывшие лошадки...

>>Дык, колбаса - это бывшие лошадки...

А пони - бывшая колбаса! ВО! Теперь всё сходится :))))

  

Мимо белого яблока луны,
Мимо красного яблока заката
Облака из неведомой страны
К нам спешат, и опять бегут куда-то.

Облака - белогривые лошадки!
Облака - что вы мчитесь без оглядки?
Не смотрите вы, пожалуйста, свысока,
А по небу прокатите нас, облака!

Мы помчимся в заоблачную даль,
Мимо гаснущих звезд на небосклоне.
К нам неслышно опустится звезда,
И ромашкой останется в ладони!

Облака - белогривые лошадки!
Облака - что вы мчитесь без оглядки?
Не смотрите вы, пожалуйста, свысока,
А по небу прокатите нас, облака!
Не смотрите вы, пожалуйста, свысока,
А по небу прокатите нас, облака!

Сильно они вляпались.

Ну по умолчанию синхронизация паролей отключена.
Если ты включишь синхронизацию, то она много чего будет синхронизировать, но не пароли - для этого надо отдельно залезть в настройки и поставить галочку.

> Ну по умолчанию синхронизация паролей отключена.

Не знаю, знакомый (теперь уже окончательно бывший) многолетний пользователь оперы недавно плевался по этому поводу (новость-то уже немного с бородкой), т.к. он был уверен, что отключил/не включал синхронизацию паролей - а оно оказалось совсем наоборот и пришлось ему менять все пароли (сразу после смены браузера).

> Не знаю

А я знаю. Синхронизация паролей не включается по умолчанию при включении опции синхронизации.
Видать не зря :D

Вот уж не думал что на этом скине для хрома будет сидеть кто-то, кто пользовался оригинальной оперой. Удивили

И кто-то еще доверял китайцам?

> И кто-то еще доверял китайцам?

А причем тут таки национальный вопрос?

>> И кто-то еще доверял китайцам?
> А причем тут таки национальный вопрос?

Потому что оперу продали китайцам

Так скорее всего китайцы ни с алгоритмами не с серверами ничего еще не успели сделать

Китайцы хорошо могут делать только одну вещь! Размножаться! А всё, что они делают руками — выходит плохо!

То есть все бытовые приборы в вашем доме настолько качественны? Бяда, бяда.

Вам же сказали - хорошо они умеют размножаться, в т.ч. размножать чужые разработки.

>>Китайцы хорошо могут делать только одну вещь!

Вылазь из криокамеры. Ибо твой фетиш ифоня к примеру - делается там же. :)
>>Размножаться!

А - так это зависть импотента? Или что там тебе ешё мешает завести >3 детей?
>>А всё, что они делают руками — выходит плохо!

Это онекдод про японскую делегацию в Россию вообще-то :-\ Не надо тут плагиатить, убогай.

в чем отличие плагиата от переосмысления и простого использования идей?

Вот и началось.Синхронизация-все яйца в одной корзине.

> все яйца в одной корзине.

Вот их одним махом в этой корзине и прищемили.

>Opera user base of 350 million people

Да ладно? :)

Мобильная версия

С каким тупым и бесстыжим лицом придётся теперь операстам говорить с юзерами? Сначала очень много трубить про "облака - это круто", а потом лажать на ровном месте, да ещё с такими конфиденциальными данными - пароли - они ж не только для вконтактегов, это ещё и банки, шопы, частные фото.... Вот сколько ещё нужно возить хомячков мусалом по асфальту, чтобы они не лезли в облака?!

Сколько не вози - всё мало.

> С каким тупым и бесстыжим лицом придётся теперь операстам говорить с юзерами?
> Сначала очень много трубить про "облака - это круто", а потом...

Это, между прочим, не только к опере применимо. :)

Мужики ... тут есть хоть кто нибудь кто не понимал рисков?
И ещё - после этого случая - хоть что то изменится? :-\

Правильный ответ:
Ничего не изменится! (Суета сует, да :)
Те кто риски понимал - не пользовал где не надо.
Кому не дано ума для "оценить эффект" или просто болт ложащие - продолжают пользовать.

дело не в уровне интеллекта (хотя это тоже как посмотреть), а уверенности в том, что миллионы не могут ошибаться (это применимо хоть где, а не только в интернет-технологиях)

> пользователям также рекомендуется поменять пароли к сайтам,

Веселое занятие.

Ой да ладно. Кому действительно важен доступ, хранят пароли в глове/на бумажке/в файле, а не в браузерах/облаках/пароль-менеджерах, которые действуют на взломщиков как маяки "Пароли здесь".

*поправляя шапочку из фольги*

>> пароли в глове

Можно долго пытать человека. Если нужно.

>> на бумажке

Бумажку можно украсть.

>> в файле

Можно проникнуть на компьютер пользователя.

> Можно долго пытать человека. Если нужно.
> Бумажку можно украсть.

Если нужно, да. Но на это нужно заморочиться, и сегодня это более редкий случай, чем даже не заморачиваясь получить пароли миллионов пользователей. Довольно трудно "долго пытать миллион пользователей" или "украсть бумажки у миллиона пользователей".

> Можно проникнуть на компьютер пользователя.

Если у пользователя KeePass, то пароли он хранит в нём. Если у пользователя несколько миллионов файлов на диске, то в каком из них он хранит пароли?

Зачем нужны замки, засовы, щеколды, когда всё это можно взломать ломиком или отмычкой?

типичный студиоус…
есть такое понятие как целесообразность или или иначе соотношение прилагаемых усилий к полученному эффекту

> Opera Software приняла решение о блокировании всех учётных записей Opera Sync

А я то думаю, что у меня авторизация слетела.. Все я ухожу от них к Firefox!

А почему Firefox?

> А почему Firefox?

Во-во. Дело не в китайцах и не в конкретных браузерах, а в привычке хранить свою информацию где попало, когда никакой гарантии её сохранности при этом нет. С такой привычкой не спасёт ни переход к Файрфоксу, ни какие-нибудь другие методы спасения. :-)

"К Птебирдюкову" же!!!!! :)

Почему так долго? Давно пора уже было, после похорон 12-ой оперы...

пока гром не грянет, мужыг не перекрестится

и что изменится ? мужики - начнут обходить стороеной продукцию корпораций, подверженных "просьбам" зарубежного проавительства о доступе, то есть всех зарубежных ? маловероятно(как бы не легендировалось, кстати).

дык если пароли зашифрованы, то вроде как все более-менее ок, разве нет? Сбрутить не получится, т.к. ключом является не пароль пользователя вида "qwerty". Или не?

>> Although we only store encrypted (for synchronized passwords) or hashed and
>> salted (for authentication) passwords in this system, we have reset all the
>> Opera sync account passwords as a precaution.

Гугл транслейт вам в помощь :)

облака, типа кто то поменяет пароли, брут база пополнилась, облака

Возможно таким образом решили подчистить базу, а то накопилось "старого хлама" ещё с 11-й оперы вроде.

Неприятно ужас. Третий день меняю везде пароли. Вообщем, полностью забиваю на функцию синхронизации хоть в какой браузере.

Пользователи не юзающие Оперу также не подвержены проблеме =))

Твои юмористические способности глубоко впечатлили меня.

Надо было шифровать эти данные, но что бы ключ хранился только у пользователей. Но нет, на это они не пойдут ведь тогда они не смогут следить за пользователями.

тут еще другой минус - овэрхэд и без того не маленький - взлетел бы в раза два-три по пропускной каналов, да и проца - побольше отьело, несмотря на то что само крипто "клиент-сайд".

Мне вот непонятно, а если была установлена своя парольная фраза (опциональная), которой все данные от OperaSync шифровались, можно успокоиться или лучше пойти везде-везде по списку пароли поменять?
Есть тут в опере, где посмотреть на что именно в Sync у меня были сохранены пароли?

Ха-ха-ха! Вот, что значит отдавать свою информацию на хранение кому попало. Всяким там облакам, да снхронизаторам, работающим на чужих серверах. :-) Я пароли даже в своих браузерах не храню, ибо это небезопасно. А отдавать их на хранение ещё и на сторону... - уму не растяжимо! И как только юзера с этим оглашаются... :-)))