The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

03.08.2014 00:29  Выявлена возможная утечка хэшей паролей разработчиков Mozilla

Сторми Питерс (Stormy Peters), директор по взаимодействию с разработчиками, сообщила об инциденте с безопасностью на одном из серверов Mozilla, в результате которого в публичном доступе появилась база данных, содержащая данные об около 76 тысячах e-mail адресов и 4 тысячах хэшей паролей участников сообщества Mozilla Developer Network. Данные появились 23 июня и оставались доступны примерно 30 дней. В качестве причины инцидента называется сбой процесса чистки БД, в результате которого в публично доступной директории остался coredump с отрывками БД сайта MDN.

В процессе анализа инцидента не были выявлены явные свидетельства доступа к данной информации сторонних лиц, но тем не менее вероятность утечки не исключается. Всем пользователям, аккаунты которых были затронуты инцидентом отправлены уведомления с просьбой установить новый пароль. Сообщается, что в настоящее время невозможно использовать подобранные по хэшам пароли для входа в Mozilla Developer Network, но злоумышленники могут попытаться подключиться к другим сервисам, в которых пользователь установил тот же пароль.

  1. Главная ссылка к новости (https://blog.mozilla.org/secur...)
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: mozilla, security
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Аноним, 00:47, 03/08/2014 [ответить] [смотреть все]
  • +7 +/
    Господа, а по логике то плевать, не? Участники подобных проектов используют криптостойкие пароли, на сам подбор которых уйдут годы, и глупо было бы отвергать то, что база хэширована sha512 - в таком случае прямой перебор идет лесом. Думаю, что для серьезных проектов подобного рода утечки хэшэй совершенно не критичны, а вот сам факт нарушения модели угрозы - да, косяк..
     
     
  • 2.3, Аноним, 00:48, 03/08/2014 [^] [ответить] [смотреть все] [показать ветку]
  • –2 +/
    Прямым перебором никто и не будет подбирать, радужные таблицы рулят ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.5, Crazy Alex, 00:56, 03/08/2014 [^] [ответить] [смотреть все]  
  • +/
    А под SHA512 радуга вообще бывает?
     
     
  • 4.7, Аноним, 01:07, 03/08/2014 [^] [ответить] [смотреть все]  
  • –1 +/
    Конечно, только занимает 864Гб Взять можно здесь http project-rainbowcrack co... весь текст скрыт [показать]
     
     
  • 5.9, Аноним, 01:52, 03/08/2014 [^] [ответить] [смотреть все]  
  • +/
    Вообще-то зависит от длины атакуемого пароля А так - производители винчей ра... весь текст скрыт [показать]
     
  • 5.11, Владимир, 04:29, 03/08/2014 [^] [ответить] [смотреть все]  
  • +/
    Там только sha1. sha512 более криптостойкий.
     
     
  • 6.13, BratSinot, 10:13, 03/08/2014 [^] [ответить] [смотреть все]  
  • +/
    А еще можно соли добавить.
     
     
  • 7.31, Аноним, 16:51, 04/08/2014 [^] [ответить] [смотреть все]  
  • +/
    > А еще можно соли добавить.

    Ты добавил? Покажь коммит!

     
  • 3.6, Аноним, 01:06, 03/08/2014 [^] [ответить] [смотреть все]  
  • +1 +/
    Но мой пароль должен бы в радужной таблице Или хотябы пободный И то алгос побо... весь текст скрыт [показать]
     
     
  • 4.10, ano, 02:27, 03/08/2014 [^] [ответить] [смотреть все]  
  • +1 +/
    Нет, не должен В таблице будет пароль, хэш которого совпадает с вашим Коллизия... весь текст скрыт [показать]
     
     
  • 5.25, SlZDO0OIU, 23:41, 03/08/2014 [^] [ответить] [смотреть все]  
  • +/
    Скорее нет, чем да Скажем, у радужной таблицы пространство ключей 10 17, скольк... весь текст скрыт [показать]
     
     
  • 6.26, Аноним, 02:07, 04/08/2014 [^] [ответить] [смотреть все]  
  • +/
    Не забывай про http://ru.wikipedia.org/wiki/Парадокс_дней_рождения
     
     
  • 7.28, Аноним, 15:03, 04/08/2014 [^] [ответить] [смотреть все]  
  • +/
    Парадокс дней рождения работает если вы ищете пару люыбх p1, p2, такую, что h p1... весь текст скрыт [показать]
     
  • 3.16, Алексей, 13:05, 03/08/2014 [^] [ответить] [смотреть все]  
  • +/
    Если к паролю добавляется соль, то радужные таблицы помогут не сильно Просто ги... весь текст скрыт [показать]
     
     
  • 4.17, Аноним, 13:52, 03/08/2014 [^] [ответить] [смотреть все]  
  • +/
    Если - хорошее слово ... весь текст скрыт [показать]
     
     
  • 5.20, Алексей, 14:33, 03/08/2014 [^] [ответить] [смотреть все]  
  • +/
    Я к тому, что радужные таблицы имеют достаточно ограниченную применимость
     
     
  • 6.23, Аноним, 16:54, 03/08/2014 [^] [ответить] [смотреть все]  
  • +/
    Ай, что ты, вихрь Расскажи это хэшкоту, а ... весь текст скрыт [показать]
     
     
  • 7.24, SlZDO0OIU, 23:20, 03/08/2014 [^] [ответить] [смотреть все]  
  • +/
    Hashcat не использует таблицы. Он брутит.
     
  • 5.22, casm, 15:16, 03/08/2014 [^] [ответить] [смотреть все]  
  • +/
    https blog mozilla org security 2014 08 01 mdn-database-disclosure comment-pag... весь текст скрыт [показать]
     
  • 1.4, Xasd, 00:55, 03/08/2014 [ответить] [смотреть все]  
  • +/
    > но злоумышленники могут попытаться подключиться к другим сервисам, в которых пользователь установил тот же пароль...

    ...и ту же соль :)

    мне на почту пришло уведомление об инцеденте -- в котором была ссылка на пост, в котором говорится:

    "... The encrypted passwords were salted hashes and they by themselves cannot be used to authenticate with the MDN website today. ..."

     
     
  • 2.29, Аноним, 15:09, 04/08/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    При чём тут соль Утек хеш с солью Злой дядя сбрутил пароль и пошёл на твою стр... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.34, Аноним, 16:53, 04/08/2014 [^] [ответить] [смотреть все]  
  • +/
    О дааааааа, соль Валшебная пуля Она-ж криптографически считается, соль-т... весь текст скрыт [показать]
     
     
  • 4.37, Аноним, 17:19, 04/08/2014 [^] [ответить] [смотреть все]  
  • +/
    Ты о чём вообще Я лишь сказал предыдущему оратору, что наличие соли на двух раз... весь текст скрыт [показать]
     
     
  • 5.38, Xasd, 18:38, 15/08/2014 [^] [ответить] [смотреть все]  
  • +/
    если был бы сбрутен, то да но как сбрутить хеш с солью это же неимоверные усил... весь текст скрыт [показать]
     
  • 1.12, Аноним, 09:55, 03/08/2014 [ответить] [смотреть все]  
  • +1 +/
    apache index забыли на папку дампа снять?
     
     
  • 2.14, Xasd, 10:19, 03/08/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    ты бы ещё сказал бы -- забыли поставить галочку Скрытый в свойствах файла в п... весь текст скрыт [показать] [показать ветку]
     
  • 1.15, Аноним, 10:52, 03/08/2014 [ответить] [смотреть все]  
  • –1 +/
    Я так и знал, что с 29-ой версии разработку Firefox а по-тихому угнали люди из Г... весь текст скрыт [показать]
     
  • 1.19, GArik, 14:17, 03/08/2014 [ответить] [смотреть все]  
  • +5 +/
    Это наш шанс наконец-то закоммитить поддержку webp в firefox!
     
  • 1.21, casm, 15:12, 03/08/2014 [ответить] [смотреть все]  
  • +/
    Это были старые пароли, тех, кто ещё не входил через Persona
    > Dave wrote on August 1, 2014 at 5:23 pm:
    > MDN currently requires a sign in with Persona. What was in the password fields that were leaked?
    > Stormy wrote on August 1, 2014 at 5:34 pm::
    > It was the old password, not the Persona password.

    https://blog.mozilla.org/security/2014/08/01/mdn-database-disclosure/comment-p

     
  • 1.27, Ан1110н1110м, 03:07, 04/08/2014 [ответить] [смотреть все]  
  • +/
    Шёл 2014й год, люди продолжали наступать на всё те же грабли:
    - используя быстрые хэш функции тпиа sha* для хранения паролей
    - используя во всех формах ограничения на длину пароля, что заставляет пользователей придумывать или простые пароли или те, которые не возможно запомнить (F!12fj-v1zxz).
    - продолжая использовать пароли вообще.
     
     
  • 2.30, Аноним, 15:14, 04/08/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Ага, и часто ограничивают не только длину, но и набор символов А есть реальная ... весь текст скрыт [показать] [показать ветку]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor TopList