Sign up
September 26, 2012 at 05:16 PM

100 000 паролей ieee.org целый месяц лежали в открытом доступе

    По недосмотру администраторов логи веб-серверов ieee.org и spectrum.ieee.org, содержащие в том числе логины и пароли открытым текстом, по меньшей мере в течение месяца были доступны по адресу ftp.ieee.org/uploads/akamai (дыра закрыта 24 сентября). В логах хранилась информация о более чем 376 миллионах HTTP-запросов, 411 308 из которых содержали пары логин-пароль. 99 979 из них оказались уникальными. Среди пострадавших — множество сотрудников Apple, Google, IBM, Oracle, Samsung, NASA, Стэнфордского университета и многих других компаний и организаций, входящих в международную ассоциацию IEEE.

    Утечку обнаружил румынский хакер Раду Драгусин. Общий объём логов составил около 100 гигабайт. Он проанализировал файлы и сообщил IEEE об уязвимости. Он не публиковал и не собирается публиковать полученные пароли. Результаты анализа логов он обнародовал на сайте ieeelog.com, специально созданном для этой цели.

    Tags:
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More
    Ads

    Popular right now

    Share post
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More
    Ads

    Comments 36

      +26
      Самое позорное, что это IEEE.
        0
        Что в этом такого особенного?
          +1
          «The world's largest professional association for the advancement of technology» :(
      +1
      Среди пострадавших — множество сотрудников Apple, Google, IBM, Oracle, Samsung, NASA, Стэнфордского университета и многих других компаний и организаций, входящих в международную ассоциацию IEEE

      Казалось бы — сотрудники таких уважаемых компаний должны использовать нормальные, стойкие пароли. В то же время — я посмотрел график с самыми популярными паролями и взял ТОП6: пароли 123456, ieee2012, 12345678, 123456789 и password суммарно использовало 1118 человек!

      Румынский хакер, кстати, повел себя адекватно и обнародовал только анализ логов, а не сами логи
        +3
        Это не значит, что сотрудники перечисленных организаций использовали именно эти пароли.
          0
          Действительно, напрямую — нет, не значит. Здесь нет полного списка пострадавших. Сказано лишь, что среди множества пострадавших есть подмножество сотрудников уважаемых организаций и есть подмножество пользователей с, мягко говоря, не стойкими паролями (примерно — каждый сотый пользователь). Я рискнул предположить, что эти подмножества между собой где-то пересекаются.
            +6
            Как я понимаю, это просто пары логин-пароль, взятые из логов веб-сервера. Теперь вопрос — проверялась ли валидность этих пар логин-пароль?

            Т.е. кто-то мог просто пытаться подобрать пароль к конкретному аккаунту, и эта, введенная им пар логин-пароль, тоже попадет в логи, и попадет в статистику и т.д.
              0
              Спасибо за комментарий — я об этом не подумал
                0
                Вполне вероятно (не вчитывался), что невалидные пары можно было отсечь по коду ответа сервера.
            0
            Извиняюсь, опечатался — имелось в виду Топ5, а не Топ6
            • UFO just landed and posted this here
                +1
                Люди… Люди никогда не меняются… Почти (ц)
                  +5
                  Было бы смешно, кстати, если бы сперли базу паролейпользователей хабра — увидеть каково количество подобных паролей на данном высокоинформационном ресурсе…
                    +1
                    Давайте запилим голосование. Я прямо так и вижу варианты:
                    1. 12345
                    2. qwerty
                    3. другой (укажу в комментариях)
                      0
                      Я, как тот солдат из анекдота, который матчасть не учил, вообще, свои пароли не знаю :)
                        0
                        Я свои тоже ни один не знаю. Один пароль и тот, на keepassx базу. остальные я даже и не вижу. точно знаю что один из них по длине меньше чем остальные.
                  0
                  Топик о пользе хеширования.
                    +2
                    Да и по хешам бы значительную часть пробили.

                    Топик о пользе мозга (а был такой?).
                      +2
                      Если бы кто-то додумался кэшировать пароли на клиента, они бы наверняка их посолили. Либо забота о безопасности есть, либо ее нет.
                        0
                        На хабре куча топиков о правильном хэшировании после вот этого появилась: habrahabr.ru/post/145345/ Вы наверное пропустили
                      +5
                      Только если на стороне клиента.
                        0
                        Скорее уж о пользе сгенерированных уникальных паролей, чтобы, даже если рукожопые админы сольют базу паролей, не подвергнуть опасности остальные свои аккаунты.
                        0
                        Кто следующий? Instagram? Twitter?

                        Как вообще такие серьезные проекты хранят пароли в открытом виде?
                          +1
                          пароли не хранят, хранят логи веб-сервера, в которых содержатся введенные пользователем данные
                            0
                            Такие же логи я проверял на валидность тут habrahabr.ru/post/138726/
                            Примерно 25 000 валидных аккаунтов gmail (пропарсил далеко не всю базу, с прокси были проблемы).
                            С русскими ящиками вообще смешно. 80% паролей от mail.ru,yandex.ru валидны. И это всего лишь логи веб-сервера…
                          0
                          Похоже, что кто-то из разработчиков сделал себе удобный способ просматривать логи по принципу «все равно никто не знает, что они там лежат», но убрать забыл.
                            +1
                            На сайте одного из супермаркетов в открытом доступе лежат резюме людей (с паспортными данными и телефонами).
                            Как поступить если владельцы сайта не реагируют?
                              0
                              Подайте на них в суд: www.spets-proekt.spb.ru/pdn/info/law
                                +3
                                А можете разместить там своё резюме и стребовать компенсацию морального ущерба.
                                0
                                Я немного не понял.
                                У них логин+пасс через GET передаётся?
                                  0
                                  С чего вы взяли что логировались только GET?
                                    0
                                    С того, что логировать POST, как минимум, странно.
                                    Там вполне может быть загрузка файлов, большие текста, etc, и это всё будет попадать в логи и раздувать их
                                      0
                                      Скорее всего там дамп POST запросов как это было с youporn.
                                • UFO just landed and posted this here

                                  Only users with full accounts can post comments. Log in, please.

                                  Top discussions

                                  There's nothing here

                                  Top posts

                                  Your account

                                  Sections

                                  Info

                                  Services

                                  If you find a mistake in the post please select it and press Ctrl+Enter to send a report to the author.
                                  © 2006 – 2019 «TM»
                                  Language settings
                                  About
                                  Support
                                  Mobile version