Как известно, больше месяца назад компания Adobe сообщила о хакерской атаке на свои сервера, в результате которой была украдена база данных пользователей, включающая ФИО, зашифрованные пароли и номера банковских карт, а также исходники её главных продуктов. Изначально говорилось о 2.9 миллионах скомпрометированных учетных записей, но реальность оказалась намного страшнее.
Вскоре файл с 130 324 429 уникальными записями весом в 10GB был выложен в открытый доступ и любой желающий смог скачать и покопаться в нем.
![image](https://habrastorage.org/r/w1560/getpro/habr/post_images/656/f1c/8d9/656f1c8d9ecd495a5738b89166e9cc12.png)
Каждый зашифрованный пароль в дампе базы имеет длину 8, 16, 24, 32, 40 или 48 символов в шестнадцатеричной системе. Хотя Adobe заверяла, что данные надежно зашифрованы, при внимательном изучении базы паролей, оказалось, что использовался симметричный блочный шифр 3DES в режиме Electronic Code Book (ECB), при этом перед шифрованием к каждому паролю добавлялся ноль в конце (ASCII NUL).
![image](https://habrastorage.org/r/w1560/getpro/habr/post_images/63f/abb/a2b/63fabba2bc38004d4713dd64fd4f0b48.png)
Быстро был составлен Топ 100 самых популярных паролей в базе:
![](https://habrastorage.org/r/w1560/getpro/habr/post_images/295/180/982/295180982987622dc5492169ccf428eb.png)
Использование вместо хеширования с солью, довольно древнего механизма симметричного шифрования с единственным ключом, для такой солидной компании кажется невиданно глупостью. Большой размер базы упрощает нахождение мастер-ключа, а тот кто его вычислит, сможет полностью расшифровать весь дамп. Данный эпикфейл Adobe уже породил несметное количество грустных шуток среди безопасников:
![image](https://habrastorage.org/r/w1560/getpro/habr/post_images/a7d/cf3/f81/a7dcf3f81a6b0db22504c9cea2fd69c8.png)
Вдохновившись комиксом xkcd, ребята сделали на основе 1000 наиболее популярных пользовательских паролей целый кроссворд :)
![](https://habrastorage.org/r/w1560/getpro/habr/post_images/1fd/b8d/d92/1fdb8dd92c6e26f9886080633e913bfe.png)
В качестве вопросов предлагается зашифрованный вариант, для ответа надо вписать пароль в plaitext. При клике в белом блоке отображается до 50 самых популярных подсказок для этого пароля. Нескучных выходных!
Вскоре файл с 130 324 429 уникальными записями весом в 10GB был выложен в открытый доступ и любой желающий смог скачать и покопаться в нем.
![image](https://habrastorage.org/getpro/habr/post_images/656/f1c/8d9/656f1c8d9ecd495a5738b89166e9cc12.png)
Каждый зашифрованный пароль в дампе базы имеет длину 8, 16, 24, 32, 40 или 48 символов в шестнадцатеричной системе. Хотя Adobe заверяла, что данные надежно зашифрованы, при внимательном изучении базы паролей, оказалось, что использовался симметричный блочный шифр 3DES в режиме Electronic Code Book (ECB), при этом перед шифрованием к каждому паролю добавлялся ноль в конце (ASCII NUL).
![image](https://habrastorage.org/getpro/habr/post_images/63f/abb/a2b/63fabba2bc38004d4713dd64fd4f0b48.png)
Быстро был составлен Топ 100 самых популярных паролей в базе:
![](https://habrastorage.org/getpro/habr/post_images/295/180/982/295180982987622dc5492169ccf428eb.png)
Использование вместо хеширования с солью, довольно древнего механизма симметричного шифрования с единственным ключом, для такой солидной компании кажется невиданно глупостью. Большой размер базы упрощает нахождение мастер-ключа, а тот кто его вычислит, сможет полностью расшифровать весь дамп. Данный эпикфейл Adobe уже породил несметное количество грустных шуток среди безопасников:
![image](https://habrastorage.org/getpro/habr/post_images/a7d/cf3/f81/a7dcf3f81a6b0db22504c9cea2fd69c8.png)
Вдохновившись комиксом xkcd, ребята сделали на основе 1000 наиболее популярных пользовательских паролей целый кроссворд :)
![](https://habrastorage.org/getpro/habr/post_images/1fd/b8d/d92/1fdb8dd92c6e26f9886080633e913bfe.png)
В качестве вопросов предлагается зашифрованный вариант, для ответа надо вписать пароль в plaitext. При клике в белом блоке отображается до 50 самых популярных подсказок для этого пароля. Нескучных выходных!