The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

21.05.2014 21:53  Утечка базы пользователей eBay. SourceForge инициировал смену паролей

Интернет-аукцион eBay уведомил пользователей об утечке базы паролей и временно заблокировал возможность входа до выполнения процедуры смены пароля. Сообщается, что в результате атаки злоумышленники получили доступ к хэшам паролей пользователей и их персональным данным, таким как ФИО, email, дата рождения, номер телефона и адрес. Связанные с финансовыми операциями данные и параметры счетов в PayPal не пострадали, так как они размещены на отдельных изолированных серверах и хранятся в зашифрованном виде.

Проникновение было совершено приблизительно три месяца назад через аккаунты нескольких работников eBay, параметры доступа которых были перехвачены злоумышленниками. При помощи данных аккаунтов атакующие смогли проникнуть в корпоративную сеть eBay и получить доступ к некоторым серверам. Факт проникновения был обнаружен две недели назад. Сообщается, что eBay привлёк ведущих юристов и экспертов по безопасности для расследования инцидента и проведения модернизации, которая позволит предотвратить подобные атаки в будущем. В настоящее время уже точно известно к каким БД получили доступ атакующие. Пользователям, параметры которых могли попасть в руки атакующих, отправлены уведомления о необходимости смены пароля. Доказательств совершения неавторизированных действий с использованием параметров входа пользователей не найдено.

Почти сразу после заявления о взломе eBay, популярный хостинг открытых проектов SourceForge объявил о инициировании процесса смены паролей для всех пользователей. Поясняется, что смена паролей является следствием перехода на более надёжный метод хранения параметров доступа. При следующем входе на сайт пользователю будет предложено поменять свой пароль. Про какие-либо инциденты с безопасностью не сообщается. При этом непонятно, почему потребовалась обязательная смена паролей во время очередного входа, в то время как замену хэша пароля можно было организовать прозрачно для пользователя (базу хэшей нельзя преобразовать автоматически, но при входе в систему пользователь вводит пароль, который во время процедуры аутентификации виден системе в открытом виде, т.е. при успешном прохождении проверки можно было прозрачно сгенерировать и сохранить новый хэш).

Дополнение: представители SourceForge пояснили, что смена паролей для всех пользователей обусловлена изменением требований к минимальной длине пароля, переходом на новый движок аутентификации и изменением алгоритма хэширования. Кроме предложения сменить пароль при входе, сегодня осуществлена рассылка на email с предложением изменить пароль.

  1. Главная ссылка к новости (http://blog.ebay.com/ebay-inc-...)
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: security
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Аноним (-), 22:07, 21/05/2014 [ответить] [показать ветку] [···]     [к модератору]
  • –1 +/
    КО намекает, что, пока пользователь соберется зайти и сменить пароль, дабы прозр... весь текст скрыт [показать]
     
     
  • 2.2, Аноним (-), 22:11, 21/05/2014 [^] [ответить]    [к модератору]  
  • +10 +/
    глупый ты к.о.
    Оно и сейчас не мешает так сделать.
     
     
  • 3.18, Anonymus (?), 01:12, 22/05/2014 [^] [ответить]    [к модератору]  
  • +5 +/
    кажный анонимус мнит себя КО
     
  • 2.3, Аноним (-), 22:13, 21/05/2014 [^] [ответить]     [к модератору]  
  • +/
    В том то и суть, что SourceForge не блокировал аккаунты, но при попытке логина п... весь текст скрыт [показать]
     
     
  • 3.5, Пиу (ok), 22:40, 21/05/2014 [^] [ответить]    [к модератору]  
  • –2 +/
    >Зачем требовать ставить новый пароль, если можно обновить метод хранения хэша старого

    тогда можно ломать старый хеш

     
     
  • 4.8, Аноним (-), 23:03, 21/05/2014 [^] [ответить]     [к модератору]  
  • +1 +/
    Где взять старый хэш, если о взломе ничего не сказано Речь о том, чем новый хэ... весь текст скрыт [показать]
     
  • 3.20, Anonym2 (?), 01:37, 22/05/2014 [^] [ответить]     [к модератору]  
  • –2 +/
    Капитану Очевидность следовало бы сказать, что требование сменить пороль пороль... весь текст скрыт [показать]
     
  • 2.37, Аноним (-), 16:52, 22/05/2014 [^] [ответить]    [к модератору]  
  • +1 +/
    > HashCat на Tesla десять раз взломает хэши и раздолбает аккаунт вдребезги.

    А можно взять несколько стобаксовых радеонов и показать этим теслам где раки зимуют.

     
  • 1.4, sysstartd (ok), 22:30, 21/05/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    > SourceForge объявил о инициировании процесса смены паролей для всех пользователей.

    ключевое слово для всех
    дата публикации 21 мая

    вчера как раз зарегился на SourceForge, то есть 20 мая, сейчас зашёл ради интереса, по идее должно быть:
    > При следующем входе на сайт пользователю будет предложено поменять свой пароль.

    пароль сменить не предлагает, значит не для всех

     
     
  • 2.19, Anonymus (?), 01:14, 22/05/2014 [^] [ответить]    [к модератору]  
  • +/
    Мне прислали мыло, но я забил. Лет семь уже ничего там не делал, нефиг и продолжать.
     
     
  • 3.35, Аноним (-), 11:00, 22/05/2014 [^] [ответить]    [к модератору]  
  • +1 +/
    О, так вы - пропавший автор GQView?
     
  • 2.34, sysstartd (ok), 10:11, 22/05/2014 [^] [ответить]    [к модератору]  
  • +/
    хм, 22 мая ночью тоже пришло письмо, но как и раньше при входе на sourceforge так и не предлагает сменить пароль
     
  • 1.9, IMHO (?), 23:09, 21/05/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    срочно провести АТО
     
  • 1.10, Kodir (ok), 23:39, 21/05/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    FBI решило обновить анкеты? И тупее отмазы для eBay не придумало?
     
  • 1.12, Онанас (?), 00:33, 22/05/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    Вот что значит админить с Windows 8!
     
     
  • 2.16, Anonymus (?), 01:05, 22/05/2014 [^] [ответить]    [к модератору]  
  • –1 +/
    однака тебя минусуют одмины с этой самой пиндовс 8
     
     
  • 3.38, Аноним (-), 16:53, 22/05/2014 [^] [ответить]    [к модератору]  
  • +/
    > однака тебя минусуют одмины с этой самой пиндовс 8

    Тем хуже для них, перепись ламеров на опеннете :).

     
  • 2.23, Аноним (-), 06:21, 22/05/2014 [^] [ответить]    [к модератору]  
  • +1 +/
    Ты прав. Нельзя админить из-под Windows. Прешься от игр или разрабатываешь для Windows - держи вторую систему (лучше отдельный комп) под Linux для администрирования.
     
     
  • 3.31, Аноним (-), 10:00, 22/05/2014 [^] [ответить]    [к модератору]  
  • –1 +/
    Ну серьезно как админить Linux из под винды?
    chef, puppet работает но нужно заморочить, ansible не пашет.
    по ssh лазить неудобно.
     
     
  • 4.40, Аноним (-), 16:56, 22/05/2014 [^] [ответить]    [к модератору]  
  • +/
    > Ну серьезно как админить Linux из под винды?

    Xepoво. Честно-честно.

     
  • 1.15, Anonymus (?), 01:04, 22/05/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • –2 +/
    во всём виноват, разумеется, сноуден
     
  • 1.21, Аноним (-), 02:34, 22/05/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • –2 +/
    вот это нихрена себе!!!
     
  • 1.22, arisu (ok), 04:46, 22/05/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • –2 +/
    когда уже они все перестанут заниматься фигнёй и сделают системы входа по криптоключам?

    inb4: не надо вводить пароли чёрти-где «в гостях у друга в кафешечке». или генерируйте себе «выходные» ключи и берите на флэшине, подписывайте своим базовым ключом и ставьте ограниченый срок работы.

    XXI-й век на дворе, а до сих пор пароли вводят, йопта.

     
     
  • 2.30, rob pike (?), 09:55, 22/05/2014 [^] [ответить]     [к модератору]  
  • +1 +/
    Как только кто-нибудь сделает это таким же удобным и ненапряжным для пользовател... весь текст скрыт [показать]
     
  • 1.24, Apple (?), 07:47, 22/05/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • –4 +/
    Зашёл на eBay, не какого требования о смене пароля не увидел, вестимо не все пользователи пострадали.
     
     
  • 2.33, Аноним (-), 10:11, 22/05/2014 [^] [ответить]    [к модератору]  
  • +/
    > никакого
     
  • 1.27, Классический Анонимус (?), 08:26, 22/05/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • –2 +/
    Самое смешное, у меня paypal сегодня вдруг капчу начал спрашивать. Хотя, он якобы не постарадал. А вот там сколько интересных данных :((((( Причём, номер банковской карты так просто не сменишь, как пароль.

    Снимайте бабло со своих карт, господа!

     
     
  • 2.28, жабабыдлокодер (ok), 08:41, 22/05/2014 [^] [ответить]    [к модератору]  
  • +1 +/
    Умные люди для платежей через интернеты держат отдельную карту с отдельным счетом.
     
     
  • 3.32, Аноним (-), 10:03, 22/05/2014 [^] [ответить]    [к модератору]  
  • +/
    > Умные люди для платежей через интернеты держат отдельную карту с отдельным счетом.

    и это правильно


     
  • 3.41, Аноним (-), 17:06, 22/05/2014 [^] [ответить]     [к модератору]  
  • –1 +/
    Тем более что Qiwi Visa Virtual - заводится за 1 минуту А счет QIWI можно попол... весь текст скрыт [показать]
     
     
  • 4.44, umbr (ok), 22:52, 22/05/2014 [^] [ответить]    [к модератору]  
  • +2 +/
    на правах рекламы

    //fixed

     
  • 4.47, rob pike (?), 04:09, 24/05/2014 [^] [ответить]    [к модератору]  
  • +/
    Вы забыли рассказать об отсутствии возможности отозвать платеж.
    Для покупок у "всяких там китайцев" это очень неприятная особенность.
     
  • 2.42, Аноним (-), 17:08, 22/05/2014 [^] [ответить]     [к модератору]  
  • –1 +/
    Посмотрел на свой Visa Virtual, а там 0 и он через месяц истекает Транжирьте н... весь текст скрыт [показать]
     
  • 1.36, Аноним (-), 13:35, 22/05/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • –3 +/
    ребята используйте уже Git и github
     
     
  • 2.39, Аноним (-), 16:54, 22/05/2014 [^] [ответить]    [к модератору]  
  • +/
    > ребята используйте уже Git и github

    FYI, эту скрипткидятину на руби крупно ломали уже несколько раз.

     
  • 1.43, Аноним (-), 18:16, 22/05/2014 [ответить] [показать ветку] [···]     [к модератору]  
  • –1 +/
    eBay странные, и ребята и верхушка, до невменяемости Столько глюков, грабелек и... весь текст скрыт [показать]
     
     
  • 2.45, umbr (ok), 22:56, 22/05/2014 [^] [ответить]    [к модератору]  
  • +/
    >>перестали видеть берега

    Скорее всего они им сами сообщили, чтобы кто-нибудь другой не залез - негоже дверку открытой оставлять.

     
  • 1.46, Portnov (?), 23:30, 23/05/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    Когда пришло письмо от сорцефоржа, я подумал, что это очередной фишинг. Смотрю в заголовки письма — а там DKIM signature invalid. Догадайтесь, что я решил :)
     
  • 1.48, Аноним (-), 18:53, 29/05/2014 [ответить] [показать ветку] [···]     [к модератору]  
  • +/
    обьясняет, к примеру, как фэйковый раздел truecrypt там образовался с датой ге... весь текст скрыт [показать]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor