У сервиса Formspring “увели” 420 тысяч паролей пользователей

image

Сегодня с утра обнаружил в почтовом ящике письмецо:

Dear Formspring user,

For security reasons, we have disabled your password and ask that you reset it. When you log back into Formspring, you will be prompted to change your password.

Thank you for taking the time to reset your password.

The Formspring Team


Как оказалось, это не просто «security reasons». Вслед за LinkedIn и last.fm, с формспринга слили почти пол миллиона паролей.



«Сегодня утром мы выявили нарушения безопасности, в результате которых некоторые пользовательские пароли, возможно, стали доступны злоумышленникам», написал в своем блоге генеральный директор Formspring Аде Олоно (Ade Olonoh). «В ответ на это мы отключили все пароли пользователей. Приносим свои извинения за причиненные неудобства, однако мы предпочитаем не рисковать и поэтому попросили всех подписчиков сбросить свои пароли. Пользователям будет предложено сменить свои пароли при повторном входе в Formspring».
В записи подчёркивается, что опубликованы были только хэши, — без какой-либо информации о пользователях.

Отвечая на вопросы ресурса TechGeek, представитель Formspring сказал, что они узнали о том, что 420 тыс. хэшей паролей были опубликованы. Проверка показала, что все они находились в базах данных сервиса. Компания подтвердила, что намерена модернизировать свои системы поддержки BCrypt.

На вопрос о том, каким образом злоумышленники получили доступ к данным, находящимся на сервере, представитель компании в электронном письме заявил: «Мы обнаружили, что кто-то посторонний проник в один из наших серверов и имел возможность извлечь информацию об учетных записях из базы данных».

«Мы смогли сразу же исправить брешь. Компания пересматривает свою внутреннюю политику безопасности и методы ее реализации, чтобы гарантировать, что подобное никогда не повторится».

KollinZ добавил скриншоты из админки FSpring.
Share post

Similar posts

Comments 30

    +17
    Удивительно, что для закрытия немецких АЭС достаточно аварии в Японии.
    Но для того, чтобы начать аудит безопасности, недостаточно случаев с LinkedIn и last.fm.
      +3
      Они их уже давно хотели закрыть.
        0
        Наверняка и на уязвимости давно хотели проверить.
          0
          Ага, тестировались на Иране? )
            +1
            Я про Formspring.
              +1
              Я думал вы откомментировали АЭС… ну ладно — ясно.
      +11
      Скриншоты из админки formspring.
        –13
        Щас меня жестоко заминусуют, но я не знаю что это за сервис и по мне — так это слегка попахивает пиаром: сначала LinkedIn, потом last.fm — ну об этих я кое-что знаю, а теперь пошёл какой-то второй эшелон чтоли… в тот же ряд пытаются встать? :)
          +5
          Фига-себе ПР… я на эти ресурсы не сунусь.
            +3
            Почему не сунетесь? Говорят же, что и защита там была лучше, чем, например, на LinkedIn, и отреагировали, на мой взгляд, более адекватно (на том же LinkedIn долгое время действовали старые пароли — может, и сейчас еще действуют), и озвучили планы по усилению защиты. Короче, заслуживающий уважения ресурс, судя по реакции.
            На всякий случай скажу, что в теорию пиара не верю.
              0
              Не сунусь потому что это инцидент, и я его запомнил. Сейчас хэши своровали, а завтра они взломают акк админа — дальше сами представьте — можно вместо хешей сделать прямую авторизацию…
                –5
                В подтверждение теории пиара могу сказать, что если бы не эта утечка, я бы об этом сервисе до сих пор не знал. (я и так не знаю толком ничего, но по ссылке ниже сходил и убедился, что кто-то туда ходит, да и некоторые хабрлюди там зарегены...)
                Вот вам и пиар.
                  –4
                  Какая… минусанула сюда и в карму и не ответила за что?
                    +2
                    Наверное вас пиарят )
                      0
                      О, точно! :)
              +1
              Вы не знаете, а многие знают www.alexa.com/siteinfo/formspring.me
              0
              Это субьективно.

              У меня, например, нет учётной записи на LinkedIn или на Last.fm, но есть на Formspring.
                0
                Зачем писали, если знали, что заминусуют?
                По-вашему, тогда в банковской сфере могут рассуждать примерно так: «Хм, в одном банке увели всю базу данных с инфой о кредитках их клиентов и об этом написали во всех газетах. Надо и нам так попробовать!»
                +4
                Моя кошка хочет посмотреть непосредственно всю базу хэшей. Может кто-нибудь укажет где ее можно найти?
                  +3
                  Только в отличие от LinkedIn у них были хэши «sha-256 with random salts», которые теперь с обязательной сменой всех паролей переводят на bcrypt.
                    –2
                    Ололох…
                      +2
                      formspring реально коряво сделан, по индусски
                        0
                        А что ценного в акках formspring-а?
                          +11
                          Пароли, которые у многих одни на все сайты, сам сайт не нужен.
                            +3
                            >> Пароли, которые у многих одни на все сайты, сам сайт не нужен.

                            Вам уже ответили, но в дополнение, они очень часто они подходят ещё и к paypal или e-bay аккаунтам, потому сами понимаете, что в них ценного.
                            0
                            Так я где говорите утекшую базу можно посмотреть, исключительно так сказать на наличие своего пароля в ней :D
                              +6
                              за вами уже выехали, исключительно для проведения лекции на тему компьютерных преступлений.
                              0
                              Да кто же эти хакеры, задаются все вопросом?)
                                0
                                У меня 5 паролей, но они повторяются.

                                Only users with full accounts can post comments. Log in, please.