Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 114
Я конечно не гуру в криптографии и безопасности, но мне всегда было интересно, почему всегда оказывается, что сливают только «хеши паролей всех зарегистрированных пользователей», а «личные данные пользователей и финансовая информация» остаются недоступными хакерам? Они не нужны хакерам? Не думаю. Они лучше защищены? Почему тогда не защищать хеши паролей таким же образом?
Хакеры получили доступ к базе данных, хранившей имена, хеши паролей, email, домашний адрес и телефон, а так же дату рождения.Имя, дата рождения, домашний адрес, телефон и электронная почта — чем не личные данные пользователей?
А финансовая информация вполне может храниться отдельно — на отдельном сервере, например. Возможно, это требуется для какой-нибудь сертификации, потому и получается, что этот сервер защищён лучше.
Мой комментарий был написан до обновления статьи.
Но все равно, вопрос остается открытым: Почему не хранить всю секретную информацию так же хорошо, как и финансовую информацию? Ну вернее вопрос переходит в разряд риторических, так как ответ понятен: это наверняка дороже, а процент взломов и утери паролей в пределах допустимого
Но все равно, вопрос остается открытым: Почему не хранить всю секретную информацию так же хорошо, как и финансовую информацию? Ну вернее вопрос переходит в разряд риторических, так как ответ понятен: это наверняка дороже, а процент взломов и утери паролей в пределах допустимого
А финансовая информация у них и не хранится, она хранится у процессинговых компаний — например тот же PayPal.
То есть фактически, eBay говорит, что, мол, «нас сломали и слили всё, но данные кредиток не угнаны, так как хранятся они у Пейпела, а Пейпел пока не сломали»?
Так и есть. Компании не имеют права хранить у себя данные карты, они хранятся у процессинговых компаний с сертификатом PCI DSS. Сертификация эта ставит довольно серьезные требования, например админов должно быть двое и у каждого по куску пароля; регулярное сканирование на уязвимости; аттестация сотрудников каждый год; физическая безопасность серверов; и т.п. Аудиторы, которые выдают этот сертификат, несут огромную финансовую ответственность, в случае взлома процессинга.
Когда говорят «данные карт не украдены», имеют ввиду «они не могли быть украдены, потому что хранятся не у нас».
Когда говорят «данные карт не украдены», имеют ввиду «они не могли быть украдены, потому что хранятся не у нас».
При этом нужно отдавать себе отчёт, что «не должны» и «не хранят» не всегда совпадают. В большинстве случаев, но бывали исключения. И сертификация не даёт 100% гарантии, что на следующий день после получения сертификата базу не расшифруют и не сохранят как excel файлик на рабочем столе. Идеальный вариант иметь везде уникальные login-password-email, но это мучительно.
Если таки хранят, то в случае взлома будут ой какие проблемы с Visa/MasterCard. Но конечно все могут наломать дров
> При этом нужно отдавать себе отчёт, что «не должны» и «не хранят» не всегда совпадают.
У вас сам eBay спрашивал данные кредиток?
У вас сам eBay спрашивал данные кредиток?
Не стоит забывать, что PayPal — дочернее предприятие eBay :) Они вполне могут в один момент и совместить все в одной БД, назвав ее «мега-защищенной».
Вопрос из серии «если черный ящик не разбивается при крушении самолета — почему самолет не делают из того же материала?»
Можно предположить, что предостережение могло быть опубликовано в связи с тем, что блог PayPal взломали и опубликовали новость в качестве шутки, либо у системы действительно возникли серьезные проблемы с безопасностью. В любом случае, сменить пароль в аккаунте eBay будет нелишним.
Отсюда
А тут и про утечку других данных говорят.
rusplt.ru/news/ebay-prosit-polzovateley-smenit-paroli-v-svyazi-s-kiberatakoy-136824.html
Очень грустно, что я не могу найти где пароль сменить
Я нашел: Там где «здравствуйте, юзернейм» — «Настройки учетной записи». Дальше слева «Личная информация» и там поле пароля «отредактировать». Можно вот по ссылке (если она работает). Собственно, вспомнить старый надо будет и вбить новый.
На странице логина всегда есть линк «Forgot password».
Спасибо за информацию
Ну, я почему-то не так боюсь хешей паролей — ведь их ещё расшифровать надо.
Но что же на счёт финансовой информации?
Но что же на счёт финансовой информации?
Спасибо LastPass за возможность иметь стойкий пароль для каждого сайта и не помнить его.
Скажете спасибо, когда взломают LastPass :)
s|LastPass|KeePass|
да и черт с ним, 3 -4 пароля можно удержать в голове на всякие пейпалы и клиент-банки, все остальное лучше генерировать каждый раз заново, а не использовать 1 пароль на всех ресурсах.
Ну, при наличии стойкого мастер-пароля пользы хакерам от этого взлома не будет — если LastPass не врёт, конечно, и всё шифрование выполняет на клиенте, причём без скрытых супер-ключей которые дали бы ему доступ к паролям пользователей.
А вообще, как у LastPass с бэкапами? Т.е. если LastPass внезапно закроется, юзеры потеряют доступ ко всем своим паролям? Или есть возможность их регулярно бэкапить в локальный файлик/dropbox и при необходимости отконвертировать базу паролей в формат KeePass?
А вообще, как у LastPass с бэкапами? Т.е. если LastPass внезапно закроется, юзеры потеряют доступ ко всем своим паролям? Или есть возможность их регулярно бэкапить в локальный файлик/dropbox и при необходимости отконвертировать базу паролей в формат KeePass?
А что мешает использовать KeePassX+dropbox+Firefox с мастер-паролем или другой браузер? В Чем преимущество?
С поддержкой ios, android у KeePassX как?
У KeePassX с Android нормально.
Так и использую: KeePassX+dropbox
Так и использую: KeePassX+dropbox
Обратите внимание на Safe In Cloud. Облачная синхронизация, шифрование, клиенты под большинство ОС, плагин для браузеров. Заменил ею KeePass.
С поддержкой IOS тоже все хорошо.
Мне — ничего, я именно KeePass и использую. Просто когда выбирал между LastPass и KeePass я удивился, из каких соображений люди могут предпочесть LastPass — поэтому и продолжаю прояснять для себя этот вопрос.
Тут конечно же теперь есть слабая точка dropbox — что если его взламают, а БД вскроют беребором. :(
Тоже использую почти такой же набор, только недавно перебрался на платный 1Password.
Тоже использую почти такой же набор, только недавно перебрался на платный 1Password.
owncloud для особых параноиков. А вообще криптография тем и сильна, что можно зашифровать все государственные секреты и разослать вместе с фотографией своей задницы в конверте всем спецслужбам мира.
Можно дополнительно поместить файл с ключами в контейнер EncFS/Cryptonite (ROOT).
Клиент LastPass имеет локальную зашифрованную мастер-паролем базу, надо лишь иногда синхронизировать клиент с общим хранилищем.
Dropbox/owncloud/BTSync/google drive + keepassx аналогично. Я не придираюсь. Просто ищу причины использовать не gpl ПО.
> owncloud
Немного оффтопика, если позволите.
Я теперь всем рекомендую вместо OC использовать вот это — pyd.io/.
Намного круче в плане фич. Ну и шустрее работает. Единственный минус — десктопный клиент не очень гут, но его сейчас переделывают уже.
Немного оффтопика, если позволите.
Я теперь всем рекомендую вместо OC использовать вот это — pyd.io/.
Намного круче в плане фич. Ну и шустрее работает. Единственный минус — десктопный клиент не очень гут, но его сейчас переделывают уже.
helpdesk.lastpass.com/tools/exporting/
lastpass.com/support.php?cmd=getfeaturefaq&feature=feataure_16
Вот так у ластпасс с бэкапами
И специально для вас на
>Т.е. если LastPass внезапно закроется, юзеры потеряют доступ ко всем своим паролям?
lastpass.com/support.php?cmd=showfaq&id=956
lastpass.com/support.php?cmd=getfeaturefaq&feature=feataure_16
Вот так у ластпасс с бэкапами
И специально для вас на
>Т.е. если LastPass внезапно закроется, юзеры потеряют доступ ко всем своим паролям?
lastpass.com/support.php?cmd=showfaq&id=956
Зачем эти сложности? Почему нельзя забить в поле пароля длинную (десять-пятнадцать слов) фразу?
Вы не поверите, но существует довольно много ресурсов, имеющих ограничение на длину пароля…
У ebay ограничение 20 символов. Место для хешей экономят, не иначе.
С чего вы взяли? Я вчера, прочитав пост, 25 впендюрил.
Это там приписка такая, «рекомендуем пароли от 6 до 20 символов».
Это там приписка такая, «рекомендуем пароли от 6 до 20 символов».
Место для хешей экономят
— Это вы так шутить изволите?
— Это вы так шутить изволите?
Я возможно недопонимаю что-то. Но разве хеш не фиксированной длины? Независимо от того, что именно подали на вход.
Вот и я об этом. Другое дело, что некоторые реализации функций хеширования обрезают входные данные просто «из вредности».
Тоже читал где-то, но там довольно длинные строки можно было скармливать: до 64 что-ли символов…
Вот здесь, наверное: habrahabr.ru/post/211645/.
Все хорошо, но где ссылка на первоисточник?
Для тех, кому тоже интересно: Ebay Inc. to ask ebay users to change passwords
Для тех, кому тоже интересно: Ebay Inc. to ask ebay users to change passwords
А если всегда пользовался PayPal, то тогда из-за финаносовой информации можно не беспокоиться?
Хакеры получили доступ к базе данных, хранившей имена, хеши паролей, email, домашний адрес и телефон, а так же дату рождения.
Эта «секретная» личная информация лежит в открытом доступе в социальных сетях.
Это как трамвай угнать — круто, помпезно и никому не нужно.
Тут вопрос в другом. Почему я узнаю о проблеме здесь?? На ящике пусто. Мне кажется, они должны были сделать рассылку в первые часы.
Пользователей слишком много. Разослать 120 млн имейлов — нетривиальная задача. Сейчас, насколько я понимаю из пресс-релизов, они решают как именно будут уведомлять пользователей.
Решать, как именно — это шикарно. Но я вот только что залогинился со старым паролем, и ни одна, скажем так, eBay, не предупредила, что нужно этот самый пароль поменять. Ни одного, понимаешь, замызганного попапа со словами прости меня, дуру грешную.
Вероятно, они там или в шоке, или сурово пьют. Что, впрочем, с точки зрения юзера — одно и то же.
Вероятно, они там или в шоке, или сурово пьют. Что, впрочем, с точки зрения юзера — одно и то же.
Я думаю что изменения на таком сайте как eBay — не так уж и просто делаются, недостатки большой компании. Кроме того, там «приниматели решений» отдают себе отчет в том, что 90% их юзеров узнает об этом, в лучшем случае завтра, а то и вообще не узнает, так что они не особо торопятся. Взлом был почти два месяца назад, сейчас уже торопиться некуда.
Так тем более — уж за месяц могли бы неторопливо всех уведомить по почте. Как раз бы успели. Успевают же всякую рекламу рассылать между делом.
В общем, странная история. Похоже на наше типично русское раздолбайство. Интересно, не купили ли мы их, случаем, как LJ, например? Ну это так, в плане шутки, конечно.
В общем, странная история. Похоже на наше типично русское раздолбайство. Интересно, не купили ли мы их, случаем, как LJ, например? Ну это так, в плане шутки, конечно.
Так два месяца назад и могли бы предупредить.
Можно было сделать предупреждение при заходе на сайт.
Разослать 120 млн имейлов — нетривиальная задача.
Для сайта на Джумле.
Для энтерпрайза есть решения, которые разошлют этот объем за день (и быстрее).
Серьезно? 120 млн? Даже рассылая по 100 мейлов в секунду, это две недели.
Серьезно. 100 мейлов в секунду — я думаю у Ebay это слабенькая штатная нагрузка по уведомлениям. Не далее как вчера обсуждали похожую тему с другом. Они на PowerMTA поднимали 2 миллиона писем в час. Энтерпрайз-решения — это не свой Exim на VPS-ке Хецнера.
Я очень хорошо знаю что такое энтерпрайз решения для рассылок. Письмо явно не текстовое, в нем логотип, картинки, инструкции по смене пароля. Все это много трафика и SSL сессий, это все не происходит мгновенно. Я уже не говорю про DKIM и специфику рассылки в некоторых странах. Разослать такой объем практически нереально за короткий период времени.
В энтерпрайз рассылках клиенты сегментируются, и разные кампании рассылаются разным группам клиентов с разных рассылочных сервисов.
В энтерпрайз рассылках клиенты сегментируются, и разные кампании рассылаются разным группам клиентов с разных рассылочных сервисов.
Это если с одного сервера
Теперь понятно как мою учётку ломанули на PayPal (они нынче с ебеем тесно связаны). Слава богу я вовремя заметил и поменял пароль отменив транзакцию.
НЛО прилетело и опубликовало эту надпись здесь.
1. В оригинале по ссылке из статьи пароли зашифрованы а не захешированны, и то не факт, не надо к тому же забывать что eBay это старинная компания из 90ых.
2. Вы далеко не единственное уязвимое звено на пути к получению дополнительной личной/финансовой информации и взлому, есть десятки случаев типа habrahabr.ru/post/149179/ и наверняка во много раз больше не афишированных где простая социальная инженерия может свести на нет любые правила/политки/фаерволы/итд.
2. Вы далеко не единственное уязвимое звено на пути к получению дополнительной личной/финансовой информации и взлому, есть десятки случаев типа habrahabr.ru/post/149179/ и наверняка во много раз больше не афишированных где простая социальная инженерия может свести на нет любые правила/политки/фаерволы/итд.
Тем временем смена пароля не работает, или работает некорректно.
Ну нихрена себе!
«This email address isn't registered on eBay. Please enter a different email address or register to continue.»
Это после попытки сброса пароля, которую никак не обойти (принудительно требуют сбросить), которая закончилсь ловами, что мол простите-извините, наши сервера перегружены, попробуйте позже.
Попробовал позже, блин!
«This email address isn't registered on eBay. Please enter a different email address or register to continue.»
Это после попытки сброса пароля, которую никак не обойти (принудительно требуют сбросить), которая закончилсь ловами, что мол простите-извините, наши сервера перегружены, попробуйте позже.
Попробовал позже, блин!
Я правильно понимаю, что если я зарегистрировался в апреле/мае, то бояться нечего, ведь база слита в феврале/марте?
не дают сменить пароль
пишут:
upd
после логаут/логин все заработало
пишут:
Page not available
Ebay is asking its users to reset their passwords due to the unauthorized access to our corporate information network. This may result in a delay of service due to the high traffic volume. We ask for your patience and that you return to eBay soon.
upd
после логаут/логин все заработало
Только мне кажется странным, что ebay не разрешает вставлять пароль через Ctrl+V?
На двух браузерах попробовал — фича осталась.
Как они предлагают пару раз вбивать 20 символьный пароль с цифрами, буквами и спецсимволами и не ошибиться?
На двух браузерах попробовал — фича осталась.
Как они предлагают пару раз вбивать 20 символьный пароль с цифрами, буквами и спецсимволами и не ошибиться?
На самом деле произошло нечто, очень близкое к катастрофе (с точки зрения утечки личных данных). Все дело в том, что для идентификации (по телефону, в интернете) в США используется комбинация номер социального страхования — дата рождения — фамилия и имя — домашний адрес.
Еbay ухитрился сдать хакерам три из четырех параметров, причем абсолютно не ясно, зачем он хранил в незашифрованном виде дату рождения. Она нужна только в момент регистрации для подтверждения того, что пользователю больше 18 лет.
Еbay ухитрился сдать хакерам три из четырех параметров, причем абсолютно не ясно, зачем он хранил в незашифрованном виде дату рождения. Она нужна только в момент регистрации для подтверждения того, что пользователю больше 18 лет.
eBay прислал на почту уведомление поменять пароль)
Spaces and certain symbols (< >[ ]//) are not allowed in password.
Злобный ибей.
Злобный ибей.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
eBay сообщает о взломе: меняйте пароли