Comments 114
Я конечно не гуру в криптографии и безопасности, но мне всегда было интересно, почему всегда оказывается, что сливают только «хеши паролей всех зарегистрированных пользователей», а «личные данные пользователей и финансовая информация» остаются недоступными хакерам? Они не нужны хакерам? Не думаю. Они лучше защищены? Почему тогда не защищать хеши паролей таким же образом?
Хакеры получили доступ к базе данных, хранившей имена, хеши паролей, email, домашний адрес и телефон, а так же дату рождения.Имя, дата рождения, домашний адрес, телефон и электронная почта — чем не личные данные пользователей?
А финансовая информация вполне может храниться отдельно — на отдельном сервере, например. Возможно, это требуется для какой-нибудь сертификации, потому и получается, что этот сервер защищён лучше.
Мой комментарий был написан до обновления статьи.
Но все равно, вопрос остается открытым: Почему не хранить всю секретную информацию так же хорошо, как и финансовую информацию? Ну вернее вопрос переходит в разряд риторических, так как ответ понятен: это наверняка дороже, а процент взломов и утери паролей в пределах допустимого
Но все равно, вопрос остается открытым: Почему не хранить всю секретную информацию так же хорошо, как и финансовую информацию? Ну вернее вопрос переходит в разряд риторических, так как ответ понятен: это наверняка дороже, а процент взломов и утери паролей в пределах допустимого
А финансовая информация у них и не хранится, она хранится у процессинговых компаний — например тот же PayPal.
То есть фактически, eBay говорит, что, мол, «нас сломали и слили всё, но данные кредиток не угнаны, так как хранятся они у Пейпела, а Пейпел пока не сломали»?
Так и есть. Компании не имеют права хранить у себя данные карты, они хранятся у процессинговых компаний с сертификатом PCI DSS. Сертификация эта ставит довольно серьезные требования, например админов должно быть двое и у каждого по куску пароля; регулярное сканирование на уязвимости; аттестация сотрудников каждый год; физическая безопасность серверов; и т.п. Аудиторы, которые выдают этот сертификат, несут огромную финансовую ответственность, в случае взлома процессинга.
Когда говорят «данные карт не украдены», имеют ввиду «они не могли быть украдены, потому что хранятся не у нас».
Когда говорят «данные карт не украдены», имеют ввиду «они не могли быть украдены, потому что хранятся не у нас».
При этом нужно отдавать себе отчёт, что «не должны» и «не хранят» не всегда совпадают. В большинстве случаев, но бывали исключения. И сертификация не даёт 100% гарантии, что на следующий день после получения сертификата базу не расшифруют и не сохранят как excel файлик на рабочем столе. Идеальный вариант иметь везде уникальные login-password-email, но это мучительно.
Если таки хранят, то в случае взлома будут ой какие проблемы с Visa/MasterCard. Но конечно все могут наломать дров
> При этом нужно отдавать себе отчёт, что «не должны» и «не хранят» не всегда совпадают.
У вас сам eBay спрашивал данные кредиток?
У вас сам eBay спрашивал данные кредиток?
Почему все «заклиниваются» на кредитках? У меня на ebay еще с тех веков, когда PayPal был самостоятельной конторой, внесены данные о номере моего счета в банке, чтобы он снимал плату за аукционы. Тоже, как бы, немаловажно.
Не стоит забывать, что PayPal — дочернее предприятие eBay :) Они вполне могут в один момент и совместить все в одной БД, назвав ее «мега-защищенной».
UFO just landed and posted this here
Вопрос из серии «если черный ящик не разбивается при крушении самолета — почему самолет не делают из того же материала?»
UFO just landed and posted this here
Можно предположить, что предостережение могло быть опубликовано в связи с тем, что блог PayPal взломали и опубликовали новость в качестве шутки, либо у системы действительно возникли серьезные проблемы с безопасностью. В любом случае, сменить пароль в аккаунте eBay будет нелишним.
Отсюда
А тут и про утечку других данных говорят.
rusplt.ru/news/ebay-prosit-polzovateley-smenit-paroli-v-svyazi-s-kiberatakoy-136824.html
Очень грустно, что я не могу найти где пароль сменить
Я нашел: Там где «здравствуйте, юзернейм» — «Настройки учетной записи». Дальше слева «Личная информация» и там поле пароля «отредактировать». Можно вот по ссылке (если она работает). Собственно, вспомнить старый надо будет и вбить новый.
На странице логина всегда есть линк «Forgot password».
Спасибо за информацию
Ну, я почему-то не так боюсь хешей паролей — ведь их ещё расшифровать надо.
Но что же на счёт финансовой информации?
Но что же на счёт финансовой информации?
Подозреваю, что тоже не так страшно, процессинг же идёт через пейпал.
Так как помимо хешей паролей утекла часть личной информации, она может быть использована для того, чтобы завладеть аккаунтами пользователей на других ресурсах.
Опять небось окажется что это были несолёные MD5
Спасибо LastPass за возможность иметь стойкий пароль для каждого сайта и не помнить его.
Скажете спасибо, когда взломают LastPass :)
s|LastPass|KeePass|
да и черт с ним, 3 -4 пароля можно удержать в голове на всякие пейпалы и клиент-банки, все остальное лучше генерировать каждый раз заново, а не использовать 1 пароль на всех ресурсах.
Ну, при наличии стойкого мастер-пароля пользы хакерам от этого взлома не будет — если LastPass не врёт, конечно, и всё шифрование выполняет на клиенте, причём без скрытых супер-ключей которые дали бы ему доступ к паролям пользователей.
А вообще, как у LastPass с бэкапами? Т.е. если LastPass внезапно закроется, юзеры потеряют доступ ко всем своим паролям? Или есть возможность их регулярно бэкапить в локальный файлик/dropbox и при необходимости отконвертировать базу паролей в формат KeePass?
А вообще, как у LastPass с бэкапами? Т.е. если LastPass внезапно закроется, юзеры потеряют доступ ко всем своим паролям? Или есть возможность их регулярно бэкапить в локальный файлик/dropbox и при необходимости отконвертировать базу паролей в формат KeePass?
А что мешает использовать KeePassX+dropbox+Firefox с мастер-паролем или другой браузер? В Чем преимущество?
С поддержкой ios, android у KeePassX как?
У KeePassX с Android нормально.
Так и использую: KeePassX+dropbox
Так и использую: KeePassX+dropbox
Обратите внимание на Safe In Cloud. Облачная синхронизация, шифрование, клиенты под большинство ОС, плагин для браузеров. Заменил ею KeePass.
С поддержкой IOS тоже все хорошо.
Мне — ничего, я именно KeePass и использую. Просто когда выбирал между LastPass и KeePass я удивился, из каких соображений люди могут предпочесть LastPass — поэтому и продолжаю прояснять для себя этот вопрос.
Тут конечно же теперь есть слабая точка dropbox — что если его взламают, а БД вскроют беребором. :(
Тоже использую почти такой же набор, только недавно перебрался на платный 1Password.
Тоже использую почти такой же набор, только недавно перебрался на платный 1Password.
owncloud для особых параноиков. А вообще криптография тем и сильна, что можно зашифровать все государственные секреты и разослать вместе с фотографией своей задницы в конверте всем спецслужбам мира.
Можно дополнительно поместить файл с ключами в контейнер EncFS/Cryptonite (ROOT).
Клиент LastPass имеет локальную зашифрованную мастер-паролем базу, надо лишь иногда синхронизировать клиент с общим хранилищем.
Dropbox/owncloud/BTSync/google drive + keepassx аналогично. Я не придираюсь. Просто ищу причины использовать не gpl ПО.
helpdesk.lastpass.com/tools/exporting/
lastpass.com/support.php?cmd=getfeaturefaq&feature=feataure_16
Вот так у ластпасс с бэкапами
И специально для вас на
>Т.е. если LastPass внезапно закроется, юзеры потеряют доступ ко всем своим паролям?
lastpass.com/support.php?cmd=showfaq&id=956
lastpass.com/support.php?cmd=getfeaturefaq&feature=feataure_16
Вот так у ластпасс с бэкапами
И специально для вас на
>Т.е. если LastPass внезапно закроется, юзеры потеряют доступ ко всем своим паролям?
lastpass.com/support.php?cmd=showfaq&id=956
Зачем эти сложности? Почему нельзя забить в поле пароля длинную (десять-пятнадцать слов) фразу?
Вы не поверите, но существует довольно много ресурсов, имеющих ограничение на длину пароля…
У ebay ограничение 20 символов. Место для хешей экономят, не иначе.
С чего вы взяли? Я вчера, прочитав пост, 25 впендюрил.
Это там приписка такая, «рекомендуем пароли от 6 до 20 символов».
Это там приписка такая, «рекомендуем пароли от 6 до 20 символов».
Место для хешей экономят
— Это вы так шутить изволите?
— Это вы так шутить изволите?
Я возможно недопонимаю что-то. Но разве хеш не фиксированной длины? Независимо от того, что именно подали на вход.
Вот и я об этом. Другое дело, что некоторые реализации функций хеширования обрезают входные данные просто «из вредности».
Тоже читал где-то, но там довольно длинные строки можно было скармливать: до 64 что-ли символов…
Вот здесь, наверное: habrahabr.ru/post/211645/.
Все хорошо, но где ссылка на первоисточник?
Для тех, кому тоже интересно: Ebay Inc. to ask ebay users to change passwords
Для тех, кому тоже интересно: Ebay Inc. to ask ebay users to change passwords
А если всегда пользовался PayPal, то тогда из-за финаносовой информации можно не беспокоиться?
Хакеры получили доступ к базе данных, хранившей имена, хеши паролей, email, домашний адрес и телефон, а так же дату рождения.
Эта «секретная» личная информация лежит в открытом доступе в социальных сетях.
Это как трамвай угнать — круто, помпезно и никому не нужно.
Тут вопрос в другом. Почему я узнаю о проблеме здесь?? На ящике пусто. Мне кажется, они должны были сделать рассылку в первые часы.
Пользователей слишком много. Разослать 120 млн имейлов — нетривиальная задача. Сейчас, насколько я понимаю из пресс-релизов, они решают как именно будут уведомлять пользователей.
Решать, как именно — это шикарно. Но я вот только что залогинился со старым паролем, и ни одна, скажем так, eBay, не предупредила, что нужно этот самый пароль поменять. Ни одного, понимаешь, замызганного попапа со словами прости меня, дуру грешную.
Вероятно, они там или в шоке, или сурово пьют. Что, впрочем, с точки зрения юзера — одно и то же.
Вероятно, они там или в шоке, или сурово пьют. Что, впрочем, с точки зрения юзера — одно и то же.
Я думаю что изменения на таком сайте как eBay — не так уж и просто делаются, недостатки большой компании. Кроме того, там «приниматели решений» отдают себе отчет в том, что 90% их юзеров узнает об этом, в лучшем случае завтра, а то и вообще не узнает, так что они не особо торопятся. Взлом был почти два месяца назад, сейчас уже торопиться некуда.
Так тем более — уж за месяц могли бы неторопливо всех уведомить по почте. Как раз бы успели. Успевают же всякую рекламу рассылать между делом.
В общем, странная история. Похоже на наше типично русское раздолбайство. Интересно, не купили ли мы их, случаем, как LJ, например? Ну это так, в плане шутки, конечно.
В общем, странная история. Похоже на наше типично русское раздолбайство. Интересно, не купили ли мы их, случаем, как LJ, например? Ну это так, в плане шутки, конечно.
Так два месяца назад и могли бы предупредить.
Можно было сделать предупреждение при заходе на сайт.
Разослать 120 млн имейлов — нетривиальная задача.
Для сайта на Джумле.
Для энтерпрайза есть решения, которые разошлют этот объем за день (и быстрее).
Серьезно? 120 млн? Даже рассылая по 100 мейлов в секунду, это две недели.
Серьезно. 100 мейлов в секунду — я думаю у Ebay это слабенькая штатная нагрузка по уведомлениям. Не далее как вчера обсуждали похожую тему с другом. Они на PowerMTA поднимали 2 миллиона писем в час. Энтерпрайз-решения — это не свой Exim на VPS-ке Хецнера.
Я очень хорошо знаю что такое энтерпрайз решения для рассылок. Письмо явно не текстовое, в нем логотип, картинки, инструкции по смене пароля. Все это много трафика и SSL сессий, это все не происходит мгновенно. Я уже не говорю про DKIM и специфику рассылки в некоторых странах. Разослать такой объем практически нереально за короткий период времени.
В энтерпрайз рассылках клиенты сегментируются, и разные кампании рассылаются разным группам клиентов с разных рассылочных сервисов.
В энтерпрайз рассылках клиенты сегментируются, и разные кампании рассылаются разным группам клиентов с разных рассылочных сервисов.
Это если с одного сервера
Теперь понятно как мою учётку ломанули на PayPal (они нынче с ебеем тесно связаны). Слава богу я вовремя заметил и поменял пароль отменив транзакцию.
НЛО прилетело и опубликовало эту надпись здесь.
UFO just landed and posted this here
1. В оригинале по ссылке из статьи пароли зашифрованы а не захешированны, и то не факт, не надо к тому же забывать что eBay это старинная компания из 90ых.
2. Вы далеко не единственное уязвимое звено на пути к получению дополнительной личной/финансовой информации и взлому, есть десятки случаев типа habrahabr.ru/post/149179/ и наверняка во много раз больше не афишированных где простая социальная инженерия может свести на нет любые правила/политки/фаерволы/итд.
2. Вы далеко не единственное уязвимое звено на пути к получению дополнительной личной/финансовой информации и взлому, есть десятки случаев типа habrahabr.ru/post/149179/ и наверняка во много раз больше не афишированных где простая социальная инженерия может свести на нет любые правила/политки/фаерволы/итд.
UFO just landed and posted this here
Тем временем смена пароля не работает, или работает некорректно.
Ну нихрена себе!
«This email address isn't registered on eBay. Please enter a different email address or register to continue.»
Это после попытки сброса пароля, которую никак не обойти (принудительно требуют сбросить), которая закончилсь ловами, что мол простите-извините, наши сервера перегружены, попробуйте позже.
Попробовал позже, блин!
«This email address isn't registered on eBay. Please enter a different email address or register to continue.»
Это после попытки сброса пароля, которую никак не обойти (принудительно требуют сбросить), которая закончилсь ловами, что мол простите-извините, наши сервера перегружены, попробуйте позже.
Попробовал позже, блин!
Я правильно понимаю, что если я зарегистрировался в апреле/мае, то бояться нечего, ведь база слита в феврале/марте?
не дают сменить пароль
пишут:
upd
после логаут/логин все заработало
пишут:
Page not available
Ebay is asking its users to reset their passwords due to the unauthorized access to our corporate information network. This may result in a delay of service due to the high traffic volume. We ask for your patience and that you return to eBay soon.
upd
после логаут/логин все заработало
UFO just landed and posted this here
Только мне кажется странным, что ebay не разрешает вставлять пароль через Ctrl+V?
На двух браузерах попробовал — фича осталась.
Как они предлагают пару раз вбивать 20 символьный пароль с цифрами, буквами и спецсимволами и не ошибиться?
На двух браузерах попробовал — фича осталась.
Как они предлагают пару раз вбивать 20 символьный пароль с цифрами, буквами и спецсимволами и не ошибиться?
На самом деле произошло нечто, очень близкое к катастрофе (с точки зрения утечки личных данных). Все дело в том, что для идентификации (по телефону, в интернете) в США используется комбинация номер социального страхования — дата рождения — фамилия и имя — домашний адрес.
Еbay ухитрился сдать хакерам три из четырех параметров, причем абсолютно не ясно, зачем он хранил в незашифрованном виде дату рождения. Она нужна только в момент регистрации для подтверждения того, что пользователю больше 18 лет.
Еbay ухитрился сдать хакерам три из четырех параметров, причем абсолютно не ясно, зачем он хранил в незашифрованном виде дату рождения. Она нужна только в момент регистрации для подтверждения того, что пользователю больше 18 лет.
eBay прислал на почту уведомление поменять пароль)
Spaces and certain symbols (< >[ ]//) are not allowed in password.
Злобный ибей.
Злобный ибей.
Sign up to leave a comment.
eBay сообщает о взломе: меняйте пароли