У сервиса Formspring “увели” 420 тысяч паролей пользователей

[javascript]

Удивительно, что для закрытия немецких АЭС достаточно аварии в Японии.
Но для того, чтобы начать аудит безопасности, недостаточно случаев с LinkedIn и last.fm.

[ComputerPers]

Они их уже давно хотели закрыть.

[javascript]

Наверняка и на уязвимости давно хотели проверить.

[ComputerPers]

Ага, тестировались на Иране? )

[javascript]

Я про Formspring.

[ComputerPers]

Я думал вы откомментировали АЭС… ну ладно — ясно.

[KollinZ]

Скриншоты из админки formspring.

[EGlaz]

Щас меня жестоко заминусуют, но я не знаю что это за сервис и по мне — так это слегка попахивает пиаром: сначала LinkedIn, потом last.fm — ну об этих я кое-что знаю, а теперь пошёл какой-то второй эшелон чтоли… в тот же ряд пытаются встать? :)

[ComputerPers]

Фига-себе ПР… я на эти ресурсы не сунусь.

[vatuma]

Почему не сунетесь? Говорят же, что и защита там была лучше, чем, например, на LinkedIn, и отреагировали, на мой взгляд, более адекватно (на том же LinkedIn долгое время действовали старые пароли — может, и сейчас еще действуют), и озвучили планы по усилению защиты. Короче, заслуживающий уважения ресурс, судя по реакции.
На всякий случай скажу, что в теорию пиара не верю.

[ComputerPers]

Не сунусь потому что это инцидент, и я его запомнил. Сейчас хэши своровали, а завтра они взломают акк админа — дальше сами представьте — можно вместо хешей сделать прямую авторизацию…

[EGlaz]

В подтверждение теории пиара могу сказать, что если бы не эта утечка, я бы об этом сервисе до сих пор не знал. (я и так не знаю толком ничего, но по ссылке ниже сходил и убедился, что кто-то туда ходит, да и некоторые хабрлюди там зарегены...)
Вот вам и пиар.

[EGlaz]

Какая… минусанула сюда и в карму и не ответила за что?

[MaxF]

Наверное вас пиарят )

[EGlaz]

О, точно! :)

[f1int]

Вы не знаете, а многие знают www.alexa.com/siteinfo/formspring.me

[esc]

Знали: i.fs.ua/img/3/7/374164cd121bee7774273245cadaa173.png

[Mithgol]

Это субьективно.

У меня, например, нет учётной записи на LinkedIn или на Last.fm, но есть на Formspring.

[minduser]

Зачем писали, если знали, что заминусуют?
По-вашему, тогда в банковской сфере могут рассуждать примерно так: «Хм, в одном банке увели всю базу данных с инфой о кредитках их клиентов и об этом написали во всех газетах. Надо и нам так попробовать!»

[Ice_venom]

Моя кошка хочет посмотреть непосредственно всю базу хэшей. Может кто-нибудь укажет где ее можно найти?

[ProRunner]

Только в отличие от LinkedIn у них были хэши «sha-256 with random salts», которые теперь с обязательной сменой всех паролей переводят на bcrypt.

[alexxxst]

Ололох…

[Homakov]

formspring реально коряво сделан, по индусски

[shambho]

А что ценного в акках formspring-а?

[ComputerPers]

Пароли, которые у многих одни на все сайты, сам сайт не нужен.

[AndreyKu]

Так я где говорите утекшую базу можно посмотреть, исключительно так сказать на наличие своего пароля в ней :D

[JustLuckyGuy]

за вами уже выехали, исключительно для проведения лекции на тему компьютерных преступлений.

[Roler]

Да кто же эти хакеры, задаются все вопросом?)

[gasyoun]

У меня 5 паролей, но они повторяются.