The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

30.08.2016 09:36  Взлом инфраструктуры Opera привёл к утечке синхронизированных паролей

Компания Opera Software сообщила об инциденте, в результате которого атакующие могли получить доступ к серверам, используемым для хранения данных, синхронизируемых между устройствами пользователей, активировавших функцию Opera Sync. В том числе в руки атакующих могли попасть логины и пароли доступа к различным сайтам, сохранённые для автоматического заполнения форм входа. По предварительной оценке проблема затронула около 1.7 млн пользователей, применяющих сервис Opera Sync.

Утверждается, что синхронизированные данные хранились в зашифрованном виде, а пароли к учётным записям в Opera Sync хранились в виде хэшей с солью. В качестве упреждающей меры защиты, компания Opera Software приняла решение о блокировании всех учётных записей Opera Sync и инициировании операции смены паролей. Так как в случае успешного подбора пароля Opera Sync атакующие могут получить доступ к синхронизированным данным, пользователям также рекомендуется поменять пароли к сайтам, сохранённые в браузере. Пользователи браузера Opera не использующие функцию Opera Sync проблеме не подвержены.

Компания Opera Software не раскрывает информацию о методе шифрования синхронизированных паролей, но с большой долей вероятности в Opera применяется та же схема, что и в Google Chrome. В Chrome используется схема шифрования Nigori, которая использует PBKDF2 (Password-Based Key Derivation Function 2) для формирования ключей на основе заданного пользователем логина и пароля. На основе логина и пароля генерируется три ключа - для аутентификации клиента на сервере, для шифрования данных и для создания цифровой подписи. Ключи самодостаточны - получив один из ключей невозможно определить другие, т.е. на основе ключа аутентификации клиента невозможно подобрать ключ, применяемый для шифрования данных. Данные шифруются при помощи алгоритма AES-128 в режиме CBC с 16-байтовым вектором инициализации.

В Firefox Sync применяется схема, обеспечивающая хранение ключа на стороне пользователя и применения "end-to-end"-шифрования, подразумевающего вовлечение в процесс шифрования только конечных клиентских систем, без хранения расшифрованных данных или ключей на внешнем сервере. Ключ для шифрования задаётся на основе указанного для аккаунта пароля, сам аккаунт применяется только для транзитного хранения уже зашифрованных данных.



  1. Главная ссылка к новости (https://www.opera.com/blogs/se...)
  2. OpenNews: Выпуск браузера Opera 38
  3. OpenNews: Opera и ARM проданы китайским и японским компаниям
  4. OpenNews: Первый стабильный выпуск web-браузера Vivaldi, развиваемого одним из основателей Opera Software
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: opera
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Michael Shigorin (ok), 09:49, 30/08/2016 [ответить] [показать ветку] [···]    [к модератору]
  • +32 +/
    "не смотрите вы, пожалуйста, свысока,
    а с паролем прокатите нас, облака"
     
     
  • 2.4, Аноним (-), 10:13, 30/08/2016 [^] [ответить]    [к модератору]
  • –19 +/
    Хреновый ты поэт, Мишаня.
     
     
  • 3.13, Аноним (-), 11:10, 30/08/2016 [^] [ответить]    [к модератору]
  • +8 +/
    Такому великому знатоку как ты не составит труда продемонстрировать как надо?

    Или чукча не писатель - чукча читатель?

     
     
  • 4.24, freehck (ok), 12:16, 30/08/2016 [^] [ответить]     [к модератору]
  • +4 +/
    Почему бы и нет Форум мой, я предлагаю тебе герб роутер с подоткнутым в него и... весь текст скрыт [показать]
     
  • 4.46, Аноним (-), 16:37, 30/08/2016 [^] [ответить]    [к модератору]  
  • +1 +/
    > Такому великому знатоку как ты не составит труда продемонстрировать как надо?
    > Или чукча не писатель - чукча читатель?

    Необязательно быть Маяковским, чтобы распознать плохую поэзию.

     
     
  • 5.55, Michael Shigorin (ok), 19:34, 30/08/2016 [^] [ответить]     [к модератору]  
  • +1 +/
    Необязательно быть хотя бы мной, чтоб придерживаться невысокого мнения о творчес... весь текст скрыт [показать]
     
     
  • 6.59, Аноним (-), 21:36, 30/08/2016 [^] [ответить]     [к модератору]  
  • –5 +/
    Ты за моё детство не волнуйся, я им вполне доволен Что же касается 171 просте... весь текст скрыт [показать]
     
     
  • 7.69, Michael Shigorin (ok), 14:33, 01/09/2016 [^] [ответить]     [к модератору]  
  • –1 +/
    У Вас, похоже, нетрадиционное представление о рифме или что-то со зрением Впроч... весь текст скрыт [показать]
     
  • 2.9, iPony (?), 10:32, 30/08/2016 [^] [ответить]    [к модератору]  
  • –1 +/
    > "не смотрите вы, пожалуйста, свысока,
    > а с паролем прокатите нас, облака"

    Там про лошадок было

     
     
  • 3.15, Crazy Alex (ok), 11:22, 30/08/2016 [^] [ответить]    [к модератору]  
  • +13 +/
    Дык, колбаса - это бывшие лошадки...
     
     
  • 4.42, _ (??), 16:10, 30/08/2016 [^] [ответить]    [к модератору]  
  • +1 +/
    >>Дык, колбаса - это бывшие лошадки...

    А пони - бывшая колбаса! ВО! Теперь всё сходится :))))

      

     
     
  • 5.77, Аноним (-), 17:54, 31/01/2017 [^] [ответить]     [к модератору]  
  • +/
    Мимо белого яблока луны, Мимо красного яблока заката Облака из неведомой страны ... весь текст скрыт [показать]
     
  • 1.2, КортоФан (?), 09:49, 30/08/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +3 +/
    Сильно они вляпались.
     
     
  • 2.7, iPony (?), 10:32, 30/08/2016 [^] [ответить]     [к модератору]  
  • –2 +/
    Ну по умолчанию синхронизация паролей отключена Если ты включишь синхронизацию,... весь текст скрыт [показать]
     
     
  • 3.29, Аноним84701 (?), 13:08, 30/08/2016 [^] [ответить]     [к модератору]  
  • +/
    Не знаю, знакомый теперь уже окончательно бывший многолетний пользователь опер... весь текст скрыт [показать]
     
     
  • 4.32, iPony (?), 13:39, 30/08/2016 [^] [ответить]    [к модератору]  
  • +/
    > Не знаю

    А я знаю. Синхронизация паролей не включается по умолчанию при включении опции синхронизации.
    Видать не зря :D

     
  • 4.65, mumu (??), 22:56, 31/08/2016 [^] [ответить]    [к модератору]  
  • +/
    Вот уж не думал что на этом скине для хрома будет сидеть кто-то, кто пользовался оригинальной оперой. Удивили
     
  • 1.3, Аноним (-), 10:09, 30/08/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    И кто-то еще доверял китайцам?
     
     
  • 2.14, Аноним (-), 11:12, 30/08/2016 [^] [ответить]    [к модератору]  
  • +3 +/
    > И кто-то еще доверял китайцам?

    А причем тут таки национальный вопрос?

     
     
  • 3.23, Владимир (??), 12:14, 30/08/2016 [^] [ответить]    [к модератору]  
  • +/
    >> И кто-то еще доверял китайцам?
    > А причем тут таки национальный вопрос?

    Потому что оперу продали китайцам

     
     
  • 4.40, Конь (?), 15:54, 30/08/2016 [^] [ответить]    [к модератору]  
  • +5 +/
    Так скорее всего китайцы ни с алгоритмами не с серверами ничего еще не успели сделать
     
  • 2.31, KOT040188 (ok), 13:15, 30/08/2016 [^] [ответить]    [к модератору]  
  • –8 +/
    Китайцы хорошо могут делать только одну вещь! Размножаться! А всё, что они делают руками — выходит плохо!
     
     
  • 3.37, Аноним (-), 15:09, 30/08/2016 [^] [ответить]    [к модератору]  
  • +5 +/
    То есть все бытовые приборы в вашем доме настолько качественны? Бяда, бяда.
     
     
  • 4.61, brandy (ok), 01:08, 31/08/2016 [^] [ответить]    [к модератору]  
  • –2 +/
    Вам же сказали - хорошо они умеют размножаться, в т.ч. размножать чужые разработки.
     
  • 3.44, _ (??), 16:21, 30/08/2016 [^] [ответить]     [к модератору]  
  • +4 +/
    Вылазь из криокамеры Ибо твой фетиш ифоня к примеру - делается там же А - т... весь текст скрыт [показать]
     
     
  • 4.70, Аноним (-), 08:57, 02/09/2016 [^] [ответить]    [к модератору]  
  • +/
    в чем отличие плагиата от переосмысления и простого использования идей?
     
  • 1.6, maks4ks (ok), 10:27, 30/08/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +6 +/
    Вот и началось.Синхронизация-все яйца в одной корзине.
     
     
  • 2.58, Led (ok), 20:29, 30/08/2016 [^] [ответить]    [к модератору]  
  • +1 +/
    > все яйца в одной корзине.

    Вот их одним махом в этой корзине и прищемили.

     
  • 1.8, Аноним (-), 10:32, 30/08/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    >Opera user base of 350 million people

    Да ладно? :)

     
     
  • 2.16, Аноним (-), 11:23, 30/08/2016 [^] [ответить]    [к модератору]  
  • +/
    Мобильная версия
     
  • 1.10, Kodir (ok), 10:52, 30/08/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    С каким тупым и бесстыжим лицом придётся теперь операстам говорить с юзерами? Сначала очень много трубить про "облака - это круто", а потом лажать на ровном месте, да ещё с такими конфиденциальными данными - пароли - они ж не только для вконтактегов, это ещё и банки, шопы, частные фото.... Вот сколько ещё нужно возить хомячков мусалом по асфальту, чтобы они не лезли в облака?!
     
     
  • 2.17, Аноним (-), 11:31, 30/08/2016 [^] [ответить]    [к модератору]  
  • +3 +/
    Сколько не вози - всё мало.
     
  • 2.25, freehck (ok), 12:20, 30/08/2016 [^] [ответить]     [к модератору]  
  • +3 +/
    Это, между прочим, не только к опере применимо ... весь текст скрыт [показать]
     
     
  • 3.45, _ (??), 16:28, 30/08/2016 [^] [ответить]     [к модератору]  
  • +1 +/
    Мужики тут есть хоть кто нибудь кто не понимал рисков И ещё - после этого с... весь текст скрыт [показать]
     
     
  • 4.71, Аноним (-), 09:00, 02/09/2016 [^] [ответить]    [к модератору]  
  • +/
    дело не в уровне интеллекта (хотя это тоже как посмотреть), а уверенности в том, что миллионы не могут ошибаться (это применимо хоть где, а не только в интернет-технологиях)
     
  • 1.12, Аноним (-), 11:03, 30/08/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    > пользователям также рекомендуется поменять пароли к сайтам,

    Веселое занятие.

     
  • 1.20, Аноним (-), 11:38, 30/08/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    Ой да ладно. Кому действительно важен доступ, хранят пароли в глове/на бумажке/в файле, а не в браузерах/облаках/пароль-менеджерах, которые действуют на взломщиков как маяки "Пароли здесь".
     
     
  • 2.38, Аноним (-), 15:12, 30/08/2016 [^] [ответить]    [к модератору]  
  • +1 +/
    *поправляя шапочку из фольги*

    >> пароли в глове

    Можно долго пытать человека. Если нужно.

    >> на бумажке

    Бумажку можно украсть.

    >> в файле

    Можно проникнуть на компьютер пользователя.

     
     
  • 3.50, Аноним (-), 17:12, 30/08/2016 [^] [ответить]     [к модератору]  
  • +2 +/
    Если нужно, да Но на это нужно заморочиться, и сегодня это более редкий случай,... весь текст скрыт [показать]
     
  • 3.53, anonymous (??), 17:53, 30/08/2016 [^] [ответить]    [к модератору]  
  • +3 +/
    Зачем нужны замки, засовы, щеколды, когда всё это можно взломать ломиком или отмычкой?
     
  • 3.72, Аноним (-), 09:02, 02/09/2016 [^] [ответить]    [к модератору]  
  • +/
    типичный студиоус…
    есть такое понятие как целесообразность или или иначе соотношение прилагаемых усилий к полученному эффекту
     
  • 1.26, Аноним (-), 12:21, 30/08/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    > Opera Software приняла решение о блокировании всех учётных записей Opera Sync

    А я то думаю, что у меня авторизация слетела.. Все я ухожу от них к Firefox!

     
     
  • 2.34, Дмитрий (??), 14:18, 30/08/2016 [^] [ответить]    [к модератору]  
  • +/
    А почему Firefox?
     
     
  • 3.75, rvs2016 (ok), 17:05, 01/10/2016 [^] [ответить]     [к модератору]  
  • +/
    Во-во Дело не в китайцах и не в конкретных браузерах, а в привычке хранить свою... весь текст скрыт [показать]
     
  • 2.47, _ (??), 16:39, 30/08/2016 [^] [ответить]    [к модератору]  
  • +1 +/
    "К Птебирдюкову" же!!!!! :)
     
  • 2.54, Аноним (-), 19:04, 30/08/2016 [^] [ответить]    [к модератору]  
  • +/
    Почему так долго? Давно пора уже было, после похорон 12-ой оперы...
     
  • 1.27, okmijn (?), 12:54, 30/08/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    пока гром не грянет, мужыг не перекрестится
     
     
  • 2.66, Аноним (-), 05:12, 01/09/2016 [^] [ответить]     [к модератору]  
  • +/
    и что изменится мужики - начнут обходить стороеной продукцию корпораций, подве... весь текст скрыт [показать]
     
  • 1.28, Аноним (-), 12:54, 30/08/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    дык если пароли зашифрованы, то вроде как все более-менее ок, разве нет? Сбрутить не получится, т.к. ключом является не пароль пользователя вида "qwerty". Или не?
     
  • 1.33, HIMEM.SYS (?), 14:12, 30/08/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    >> Although we only store encrypted (for synchronized passwords) or hashed and
    >> salted (for authentication) passwords in this system, we have reset all the
    >> Opera sync account passwords as a precaution.

    Гугл транслейт вам в помощь :)

     
  • 1.39, Аноним (-), 15:28, 30/08/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    облака, типа кто то поменяет пароли, брут база пополнилась, облака
     
  • 1.52, Аноним (-), 17:51, 30/08/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    Возможно таким образом решили подчистить базу, а то накопилось "старого хлама" ещё с 11-й оперы вроде.
     
  • 1.63, gni (ok), 12:03, 31/08/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    Неприятно ужас. Третий день меняю везде пароли. Вообщем, полностью забиваю на функцию синхронизации хоть в какой браузере.
     
  • 1.64, РОСКОМУЗОР (?), 20:44, 31/08/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Пользователи не юзающие Оперу также не подвержены проблеме =))
     
     
  • 2.67, Аноним (-), 08:42, 01/09/2016 [^] [ответить]    [к модератору]  
  • +/
    Твои юмористические способности глубоко впечатлили меня.
     
  • 1.68, Пахом (?), 10:09, 01/09/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Надо было шифровать эти данные, но что бы ключ хранился только у пользователей. Но нет, на это они не пойдут ведь тогда они не смогут следить за пользователями.
     
     
  • 2.73, Аноним (-), 10:14, 02/09/2016 [^] [ответить]    [к модератору]  
  • +/
    тут еще другой минус - овэрхэд и без того не маленький - взлетел бы в раза два-три по пропускной каналов, да и проца - побольше отьело, несмотря на то что само крипто "клиент-сайд".
     
  • 1.74, Аноним (-), 21:02, 02/09/2016 [ответить] [показать ветку] [···]     [к модератору]  
  • –1 +/
    Мне вот непонятно, а если была установлена своя парольная фраза опциональная , ... весь текст скрыт [показать]
     
  • 1.76, rvs2016 (ok), 17:09, 01/10/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Ха-ха-ха! Вот, что значит отдавать свою информацию на хранение кому попало. Всяким там облакам, да снхронизаторам, работающим на чужих серверах. :-) Я пароли даже в своих браузерах не храню, ибо это небезопасно. А отдавать их на хранение ещё и на сторону... - уму не растяжимо! И как только юзера с этим оглашаются... :-)))
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor