Comments 36
Самое позорное, что это IEEE.
+26
Среди пострадавших — множество сотрудников Apple, Google, IBM, Oracle, Samsung, NASA, Стэнфордского университета и многих других компаний и организаций, входящих в международную ассоциацию IEEE
Казалось бы — сотрудники таких уважаемых компаний должны использовать нормальные, стойкие пароли. В то же время — я посмотрел график с самыми популярными паролями и взял ТОП6: пароли 123456, ieee2012, 12345678, 123456789 и password суммарно использовало 1118 человек!
Румынский хакер, кстати, повел себя адекватно и обнародовал только анализ логов, а не сами логи
Казалось бы — сотрудники таких уважаемых компаний должны использовать нормальные, стойкие пароли. В то же время — я посмотрел график с самыми популярными паролями и взял ТОП6: пароли 123456, ieee2012, 12345678, 123456789 и password суммарно использовало 1118 человек!
Румынский хакер, кстати, повел себя адекватно и обнародовал только анализ логов, а не сами логи
+1
Это не значит, что сотрудники перечисленных организаций использовали именно эти пароли.
+3
Действительно, напрямую — нет, не значит. Здесь нет полного списка пострадавших. Сказано лишь, что среди множества пострадавших есть подмножество сотрудников уважаемых организаций и есть подмножество пользователей с, мягко говоря, не стойкими паролями (примерно — каждый сотый пользователь). Я рискнул предположить, что эти подмножества между собой где-то пересекаются.
0
Как я понимаю, это просто пары логин-пароль, взятые из логов веб-сервера. Теперь вопрос — проверялась ли валидность этих пар логин-пароль?
Т.е. кто-то мог просто пытаться подобрать пароль к конкретному аккаунту, и эта, введенная им пар логин-пароль, тоже попадет в логи, и попадет в статистику и т.д.
Т.е. кто-то мог просто пытаться подобрать пароль к конкретному аккаунту, и эта, введенная им пар логин-пароль, тоже попадет в логи, и попадет в статистику и т.д.
+6
Извиняюсь, опечатался — имелось в виду Топ5, а не Топ6
0
UFO just landed and posted this here
Люди… Люди никогда не меняются… Почти (ц)
+1
Было бы смешно, кстати, если бы сперли базу паролейпользователей хабра — увидеть каково количество подобных паролей на данном высокоинформационном ресурсе…
+5
Давайте запилим голосование. Я прямо так и вижу варианты:
1. 12345
2. qwerty
3. другой (укажу в комментариях)
1. 12345
2. qwerty
3. другой (укажу в комментариях)
+1
Топик о пользе хеширования.
0
Да и по хешам бы значительную часть пробили.
Топик о пользе мозга (а был такой?).
Топик о пользе мозга (а был такой?).
+2
Если бы кто-то додумался кэшировать пароли на клиента, они бы наверняка их посолили. Либо забота о безопасности есть, либо ее нет.
+2
На хабре куча топиков о правильном хэшировании после вот этого появилась: habrahabr.ru/post/145345/ Вы наверное пропустили
0
Только если на стороне клиента.
+5
Скорее уж о пользе сгенерированных уникальных паролей, чтобы, даже если рукожопые админы сольют базу паролей, не подвергнуть опасности остальные свои аккаунты.
0
Кто следующий? Instagram? Twitter?
Как вообще такие серьезные проекты хранят пароли в открытом виде?
Как вообще такие серьезные проекты хранят пароли в открытом виде?
0
пароли не хранят, хранят логи веб-сервера, в которых содержатся введенные пользователем данные
+1
Такие же логи я проверял на валидность тут habrahabr.ru/post/138726/
Примерно 25 000 валидных аккаунтов gmail (пропарсил далеко не всю базу, с прокси были проблемы).
С русскими ящиками вообще смешно. 80% паролей от mail.ru,yandex.ru валидны. И это всего лишь логи веб-сервера…
Примерно 25 000 валидных аккаунтов gmail (пропарсил далеко не всю базу, с прокси были проблемы).
С русскими ящиками вообще смешно. 80% паролей от mail.ru,yandex.ru валидны. И это всего лишь логи веб-сервера…
0
Похоже, что кто-то из разработчиков сделал себе удобный способ просматривать логи по принципу «все равно никто не знает, что они там лежат», но убрать забыл.
0
На сайте одного из супермаркетов в открытом доступе лежат резюме людей (с паспортными данными и телефонами).
Как поступить если владельцы сайта не реагируют?
Как поступить если владельцы сайта не реагируют?
+1
Подайте на них в суд: www.spets-proekt.spb.ru/pdn/info/law
0
А можете разместить там своё резюме и стребовать компенсацию морального ущерба.
+3
Я немного не понял.
У них логин+пасс через GET передаётся?
У них логин+пасс через GET передаётся?
0
UFO just landed and posted this here
Sign up to leave a comment.
100 000 паролей ieee.org целый месяц лежали в открытом доступе