exeditor 26 сен 2012 в 13:16

100 000 паролей ieee.org целый месяц лежали в открытом доступе

1 мин

20K

Информационная безопасность *

+53

Комментарии 36

dzeban 26 сен 2012 в 13:40

Самое позорное, что это IEEE.

ComodoHacker 27 сен 2012 в 07:16

Что в этом такого особенного?

spacediver 27 сен 2012 в 14:10

«The world's largest professional association for the advancement of technology» :(

ComodoHacker 27 сен 2012 в 15:13

И?

spacediver 27 сен 2012 в 16:13

Cetic 26 сен 2012 в 13:42

Среди пострадавших — множество сотрудников Apple, Google, IBM, Oracle, Samsung, NASA, Стэнфордского университета и многих других компаний и организаций, входящих в международную ассоциацию IEEE

Казалось бы — сотрудники таких уважаемых компаний должны использовать нормальные, стойкие пароли. В то же время — я посмотрел график с самыми популярными паролями и взял ТОП6: пароли 123456, ieee2012, 12345678, 123456789 и password суммарно использовало 1118 человек!

Румынский хакер, кстати, повел себя адекватно и обнародовал только анализ логов, а не сами логи

Ockonal 26 сен 2012 в 13:43

Это не значит, что сотрудники перечисленных организаций использовали именно эти пароли.

Cetic 26 сен 2012 в 13:51

Действительно, напрямую — нет, не значит. Здесь нет полного списка пострадавших. Сказано лишь, что среди множества пострадавших есть подмножество сотрудников уважаемых организаций и есть подмножество пользователей с, мягко говоря, не стойкими паролями (примерно — каждый сотый пользователь). Я рискнул предположить, что эти подмножества между собой где-то пересекаются.

rednaxi 26 сен 2012 в 14:09

Как я понимаю, это просто пары логин-пароль, взятые из логов веб-сервера. Теперь вопрос — проверялась ли валидность этих пар логин-пароль?

Т.е. кто-то мог просто пытаться подобрать пароль к конкретному аккаунту, и эта, введенная им пар логин-пароль, тоже попадет в логи, и попадет в статистику и т.д.

Cetic 26 сен 2012 в 14:10

Спасибо за комментарий — я об этом не подумал

spacediver 27 сен 2012 в 14:12

Вполне вероятно (не вчитывался), что невалидные пары можно было отсечь по коду ответа сервера.

Cetic 26 сен 2012 в 13:43

Извиняюсь, опечатался — имелось в виду Топ5, а не Топ6

НЛО прилетело и опубликовало эту надпись здесь

nerudo 26 сен 2012 в 14:45

Люди… Люди никогда не меняются… Почти (ц)

nerudo 26 сен 2012 в 14:48

Было бы смешно, кстати, если бы сперли базу паролейпользователей хабра — увидеть каково количество подобных паролей на данном высокоинформационном ресурсе…

sledopit 27 сен 2012 в 08:49

Давайте запилим голосование. Я прямо так и вижу варианты:
1. 12345
2. qwerty
3. другой (укажу в комментариях)

leMar 27 сен 2012 в 20:44

Я, как тот солдат из анекдота, который матчасть не учил, вообще, свои пароли не знаю :)

foxmuldercp 1 окт 2012 в 09:03

Я свои тоже ни один не знаю. Один пароль и тот, на keepassx базу. остальные я даже и не вижу. точно знаю что один из них по длине меньше чем остальные.

artemlight 26 сен 2012 в 13:47

Топик о пользе хеширования.

sic 26 сен 2012 в 13:52

Да и по хешам бы значительную часть пробили.

Топик о пользе мозга (а был такой?).

celen 26 сен 2012 в 14:02

Если бы кто-то додумался кэшировать пароли на клиента, они бы наверняка их посолили. Либо забота о безопасности есть, либо ее нет.

ProRunner 26 сен 2012 в 16:32

На хабре куча топиков о правильном хэшировании после вот этого появилась: habrahabr.ru/post/145345/ Вы наверное пропустили

TIgorA 26 сен 2012 в 13:52

Только если на стороне клиента.

Goodkat 26 сен 2012 в 16:01

Скорее уж о пользе сгенерированных уникальных паролей, чтобы, даже если рукожопые админы сольют базу паролей, не подвергнуть опасности остальные свои аккаунты.

L3n1n 26 сен 2012 в 14:03

Кто следующий? Instagram? Twitter?

Как вообще такие серьезные проекты хранят пароли в открытом виде?

rednaxi 26 сен 2012 в 14:11

пароли не хранят, хранят логи веб-сервера, в которых содержатся введенные пользователем данные

L3n1n 26 сен 2012 в 14:20

Такие же логи я проверял на валидность тут habrahabr.ru/post/138726/
Примерно 25 000 валидных аккаунтов gmail (пропарсил далеко не всю базу, с прокси были проблемы).
С русскими ящиками вообще смешно. 80% паролей от mail.ru,yandex.ru валидны. И это всего лишь логи веб-сервера…

gaelpa 26 сен 2012 в 14:16

Похоже, что кто-то из разработчиков сделал себе удобный способ просматривать логи по принципу «все равно никто не знает, что они там лежат», но убрать забыл.

pyatin 26 сен 2012 в 14:50

На сайте одного из супермаркетов в открытом доступе лежат резюме людей (с паспортными данными и телефонами).
Как поступить если владельцы сайта не реагируют?

Goodkat 26 сен 2012 в 16:07

Подайте на них в суд: www.spets-proekt.spb.ru/pdn/info/law

Goodkat 26 сен 2012 в 16:08

А можете разместить там своё резюме и стребовать компенсацию морального ущерба.

Dzen_Marketing 26 сен 2012 в 15:56

Я немного не понял.
У них логин+пасс через GET передаётся?

L3n1n 26 сен 2012 в 15:57

С чего вы взяли что логировались только GET?

Dzen_Marketing 26 сен 2012 в 15:59

С того, что логировать POST, как минимум, странно.
Там вполне может быть загрузка файлов, большие текста, etc, и это всё будет попадать в логи и раздувать их

L3n1n 26 сен 2012 в 16:03

Скорее всего там дамп POST запросов как это было с youporn.

НЛО прилетело и опубликовало эту надпись здесь

Зарегистрируйтесь на Хабре, чтобы оставить комментарий