The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

30.08.2016 09:36  Взлом инфраструктуры Opera привёл к утечке синхронизированных паролей

Компания Opera Software сообщила об инциденте, в результате которого атакующие могли получить доступ к серверам, используемым для хранения данных, синхронизируемых между устройствами пользователей, активировавших функцию Opera Sync. В том числе в руки атакующих могли попасть логины и пароли доступа к различным сайтам, сохранённые для автоматического заполнения форм входа. По предварительной оценке проблема затронула около 1.7 млн пользователей, применяющих сервис Opera Sync.

Утверждается, что синхронизированные данные хранились в зашифрованном виде, а пароли к учётным записям в Opera Sync хранились в виде хэшей с солью. В качестве упреждающей меры защиты, компания Opera Software приняла решение о блокировании всех учётных записей Opera Sync и инициировании операции смены паролей. Так как в случае успешного подбора пароля Opera Sync атакующие могут получить доступ к синхронизированным данным, пользователям также рекомендуется поменять пароли к сайтам, сохранённые в браузере. Пользователи браузера Opera не использующие функцию Opera Sync проблеме не подвержены.

Компания Opera Software не раскрывает информацию о методе шифрования синхронизированных паролей, но с большой долей вероятности в Opera применяется та же схема, что и в Google Chrome. В Chrome используется схема шифрования Nigori, которая использует PBKDF2 (Password-Based Key Derivation Function 2) для формирования ключей на основе заданного пользователем логина и пароля. На основе логина и пароля генерируется три ключа - для аутентификации клиента на сервере, для шифрования данных и для создания цифровой подписи. Ключи самодостаточны - получив один из ключей невозможно определить другие, т.е. на основе ключа аутентификации клиента невозможно подобрать ключ, применяемый для шифрования данных. Данные шифруются при помощи алгоритма AES-128 в режиме CBC с 16-байтовым вектором инициализации.

В Firefox Sync применяется схема, обеспечивающая хранение ключа на стороне пользователя и применения "end-to-end"-шифрования, подразумевающего вовлечение в процесс шифрования только конечных клиентских систем, без хранения расшифрованных данных или ключей на внешнем сервере. Ключ для шифрования задаётся на основе указанного для аккаунта пароля, сам аккаунт применяется только для транзитного хранения уже зашифрованных данных.



  1. Главная ссылка к новости (https://www.opera.com/blogs/se...)
  2. OpenNews: Выпуск браузера Opera 38
  3. OpenNews: Opera и ARM проданы китайским и японским компаниям
  4. OpenNews: Первый стабильный выпуск web-браузера Vivaldi, развиваемого одним из основателей Opera Software
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: opera
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Michael Shigorin, 09:49, 30/08/2016 [ответить] [смотреть все]
  • +32 +/
    "не смотрите вы, пожалуйста, свысока,
    а с паролем прокатите нас, облака"
     
     
  • 2.4, Аноним, 10:13, 30/08/2016 [^] [ответить] [смотреть все] [показать ветку]
  • –19 +/
    Хреновый ты поэт, Мишаня.
     
     
  • 3.13, Аноним, 11:10, 30/08/2016 [^] [ответить] [смотреть все]
  • +8 +/
    Такому великому знатоку как ты не составит труда продемонстрировать как надо?

    Или чукча не писатель - чукча читатель?

     
     
  • 4.24, freehck, 12:16, 30/08/2016 [^] [ответить] [смотреть все]
  • +4 +/
    Почему бы и нет Форум мой, я предлагаю тебе герб роутер с подоткнутым в него и... весь текст скрыт [показать]
     
  • 4.46, Аноним, 16:37, 30/08/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    Необязательно быть Маяковским, чтобы распознать плохую поэзию ... весь текст скрыт [показать]
     
     
  • 5.55, Michael Shigorin, 19:34, 30/08/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    Необязательно быть хотя бы мной, чтоб придерживаться невысокого мнения о творчес... весь текст скрыт [показать]
     
     
  • 6.59, Аноним, 21:36, 30/08/2016 [^] [ответить] [смотреть все]  
  • –5 +/
    Ты за моё детство не волнуйся, я им вполне доволен Что же касается 171 просте... весь текст скрыт [показать]
     
     
  • 7.69, Michael Shigorin, 14:33, 01/09/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    У Вас, похоже, нетрадиционное представление о рифме или что-то со зрением Впроч... весь текст скрыт [показать]
     
  • 2.9, iPony, 10:32, 30/08/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Там про лошадок было... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.15, Crazy Alex, 11:22, 30/08/2016 [^] [ответить] [смотреть все]  
  • +13 +/
    Дык, колбаса - это бывшие лошадки...
     
     
  • 4.42, _, 16:10, 30/08/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    А пони - бывшая колбаса ВО Теперь всё сходится ... весь текст скрыт [показать]
     
     
  • 5.77, Аноним, 17:54, 31/01/2017 [^] [ответить] [смотреть все]  
  • +/
    Мимо белого яблока луны, Мимо красного яблока заката Облака из неведомой страны ... весь текст скрыт [показать]
     
  • 1.2, КортоФан, 09:49, 30/08/2016 [ответить] [смотреть все]  
  • +3 +/
    Сильно они вляпались.
     
     
  • 2.7, iPony, 10:32, 30/08/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • –2 +/
    Ну по умолчанию синхронизация паролей отключена Если ты включишь синхронизацию,... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.29, Аноним84701, 13:08, 30/08/2016 [^] [ответить] [смотреть все]  
  • +/
    Не знаю, знакомый теперь уже окончательно бывший многолетний пользователь опер... весь текст скрыт [показать]
     
     
  • 4.32, iPony, 13:39, 30/08/2016 [^] [ответить] [смотреть все]  
  • +/
    А я знаю Синхронизация паролей не включается по умолчанию при включении опции с... весь текст скрыт [показать]
     
  • 4.65, mumu, 22:56, 31/08/2016 [^] [ответить] [смотреть все]  
  • +/
    Вот уж не думал что на этом скине для хрома будет сидеть кто-то, кто пользовался... весь текст скрыт [показать]
     
  • 1.3, Аноним, 10:09, 30/08/2016 [ответить] [смотреть все]  
  • +1 +/
    И кто-то еще доверял китайцам?
     
     
  • 2.14, Аноним, 11:12, 30/08/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +3 +/
    > И кто-то еще доверял китайцам?

    А причем тут таки национальный вопрос?

     
     
  • 3.23, Владимир, 12:14, 30/08/2016 [^] [ответить] [смотреть все]  
  • +/
    Потому что оперу продали китайцам... весь текст скрыт [показать]
     
     
  • 4.40, Конь, 15:54, 30/08/2016 [^] [ответить] [смотреть все]  
  • +5 +/
    Так скорее всего китайцы ни с алгоритмами не с серверами ничего еще не успели сд... весь текст скрыт [показать]
     
  • 2.31, KOT040188, 13:15, 30/08/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • –8 +/
    Китайцы хорошо могут делать только одну вещь Размножаться А всё, что они делаю... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.37, Аноним, 15:09, 30/08/2016 [^] [ответить] [смотреть все]  
  • +5 +/
    То есть все бытовые приборы в вашем доме настолько качественны? Бяда, бяда.
     
     
  • 4.61, brandy, 01:08, 31/08/2016 [^] [ответить] [смотреть все]  
  • –2 +/
    Вам же сказали - хорошо они умеют размножаться, в т ч размножать чужые разработ... весь текст скрыт [показать]
     
  • 3.44, _, 16:21, 30/08/2016 [^] [ответить] [смотреть все]  
  • +4 +/
    Вылазь из криокамеры Ибо твой фетиш ифоня к примеру - делается там же А - т... весь текст скрыт [показать]
     
     
  • 4.70, Аноним, 08:57, 02/09/2016 [^] [ответить] [смотреть все]  
  • +/
    в чем отличие плагиата от переосмысления и простого использования идей?
     
  • 1.6, maks4ks, 10:27, 30/08/2016 [ответить] [смотреть все]  
  • +6 +/
    Вот и началось.Синхронизация-все яйца в одной корзине.
     
     
  • 2.58, Led, 20:29, 30/08/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    > все яйца в одной корзине.

    Вот их одним махом в этой корзине и прищемили.

     
  • 1.8, Аноним, 10:32, 30/08/2016 [ответить] [смотреть все]  
  • –1 +/
    >Opera user base of 350 million people

    Да ладно? :)

     
     
  • 2.16, Аноним, 11:23, 30/08/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Мобильная версия
     
  • 1.10, Kodir, 10:52, 30/08/2016 [ответить] [смотреть все]  
  • +1 +/
    С каким тупым и бесстыжим лицом придётся теперь операстам говорить с юзерами? Сначала очень много трубить про "облака - это круто", а потом лажать на ровном месте, да ещё с такими конфиденциальными данными - пароли - они ж не только для вконтактегов, это ещё и банки, шопы, частные фото.... Вот сколько ещё нужно возить хомячков мусалом по асфальту, чтобы они не лезли в облака?!
     
     
  • 2.17, Аноним, 11:31, 30/08/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +3 +/
    Сколько не вози - всё мало.
     
  • 2.25, freehck, 12:20, 30/08/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +3 +/
    Это, между прочим, не только к опере применимо ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.45, _, 16:28, 30/08/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    Мужики тут есть хоть кто нибудь кто не понимал рисков И ещё - после этого с... весь текст скрыт [показать]
     
     
  • 4.71, Аноним, 09:00, 02/09/2016 [^] [ответить] [смотреть все]  
  • +/
    дело не в уровне интеллекта хотя это тоже как посмотреть , а уверенности в том,... весь текст скрыт [показать]
     
  • 1.12, Аноним, 11:03, 30/08/2016 [ответить] [смотреть все]  
  • +2 +/
    Веселое занятие ... весь текст скрыт [показать]
     
  • 1.20, Аноним, 11:38, 30/08/2016 [ответить] [смотреть все]  
  • –1 +/
    Ой да ладно Кому действительно важен доступ, хранят пароли в глове на бумажке в... весь текст скрыт [показать]
     
     
  • 2.38, Аноним, 15:12, 30/08/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    поправляя шапочку из фольги Можно долго пытать человека Если нужно Бумажку м... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.50, Аноним, 17:12, 30/08/2016 [^] [ответить] [смотреть все]  
  • +2 +/
    Если нужно, да Но на это нужно заморочиться, и сегодня это более редкий случай,... весь текст скрыт [показать]
     
  • 3.53, anonymous, 17:53, 30/08/2016 [^] [ответить] [смотреть все]  
  • +3 +/
    Зачем нужны замки, засовы, щеколды, когда всё это можно взломать ломиком или отм... весь текст скрыт [показать]
     
  • 3.72, Аноним, 09:02, 02/09/2016 [^] [ответить] [смотреть все]  
  • +/
    типичный студиоус 8230 есть такое понятие как целесообразность или или иначе с... весь текст скрыт [показать]
     
  • 1.26, Аноним, 12:21, 30/08/2016 [ответить] [смотреть все]  
  • +/
    А я то думаю, что у меня авторизация слетела Все я ухожу от них к Firefox ... весь текст скрыт [показать]
     
     
  • 2.34, Дмитрий, 14:18, 30/08/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    А почему Firefox?
     
     
  • 3.75, rvs2016, 17:05, 01/10/2016 [^] [ответить] [смотреть все]  
  • +/
    Во-во Дело не в китайцах и не в конкретных браузерах, а в привычке хранить свою... весь текст скрыт [показать]
     
  • 2.47, _, 16:39, 30/08/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    "К Птебирдюкову" же!!!!! :)
     
  • 2.54, Аноним, 19:04, 30/08/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Почему так долго? Давно пора уже было, после похорон 12-ой оперы...
     
  • 1.27, okmijn, 12:54, 30/08/2016 [ответить] [смотреть все]  
  • +2 +/
    пока гром не грянет, мужыг не перекрестится
     
     
  • 2.66, Аноним, 05:12, 01/09/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    и что изменится мужики - начнут обходить стороеной продукцию корпораций, подве... весь текст скрыт [показать] [показать ветку]
     
  • 1.28, Аноним, 12:54, 30/08/2016 [ответить] [смотреть все]  
  • –1 +/
    дык если пароли зашифрованы, то вроде как все более-менее ок, разве нет Сбрутит... весь текст скрыт [показать]
     
  • 1.33, HIMEM.SYS, 14:12, 30/08/2016 [ответить] [смотреть все]  
  • +/
    >> Although we only store encrypted (for synchronized passwords) or hashed and
    >> salted (for authentication) passwords in this system, we have reset all the
    >> Opera sync account passwords as a precaution.

    Гугл транслейт вам в помощь :)

     
  • 1.39, Аноним, 15:28, 30/08/2016 [ответить] [смотреть все]  
  • +/
    облака, типа кто то поменяет пароли, брут база пополнилась, облака
     
  • 1.52, Аноним, 17:51, 30/08/2016 [ответить] [смотреть все]  
  • –1 +/
    Возможно таким образом решили подчистить базу, а то накопилось старого хлама е... весь текст скрыт [показать]
     
  • 1.63, gni, 12:03, 31/08/2016 [ответить] [смотреть все]  
  • –1 +/
    Неприятно ужас. Третий день меняю везде пароли. Вообщем, полностью забиваю на функцию синхронизации хоть в какой браузере.
     
  • 1.64, РОСКОМУЗОР, 20:44, 31/08/2016 [ответить] [смотреть все]  
  • +/
    Пользователи не юзающие Оперу также не подвержены проблеме =))
     
     
  • 2.67, Аноним, 08:42, 01/09/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Твои юмористические способности глубоко впечатлили меня.
     
  • 1.68, Пахом, 10:09, 01/09/2016 [ответить] [смотреть все]  
  • +/
    Надо было шифровать эти данные, но что бы ключ хранился только у пользователей. Но нет, на это они не пойдут ведь тогда они не смогут следить за пользователями.
     
     
  • 2.73, Аноним, 10:14, 02/09/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    тут еще другой минус - овэрхэд и без того не маленький - взлетел бы в раза два-т... весь текст скрыт [показать] [показать ветку]
     
  • 1.74, Аноним, 21:02, 02/09/2016 [ответить] [смотреть все]  
  • –1 +/
    Мне вот непонятно, а если была установлена своя парольная фраза опциональная , ... весь текст скрыт [показать]
     
  • 1.76, rvs2016, 17:09, 01/10/2016 [ответить] [смотреть все]  
  • +/
    Ха-ха-ха! Вот, что значит отдавать свою информацию на хранение кому попало. Всяким там облакам, да снхронизаторам, работающим на чужих серверах. :-) Я пароли даже в своих браузерах не храню, ибо это небезопасно. А отдавать их на хранение ещё и на сторону... - уму не растяжимо! И как только юзера с этим оглашаются... :-)))
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor