100 000 паролей ieee.org целый месяц лежали в открытом доступе

    По недосмотру администраторов логи веб-серверов ieee.org и spectrum.ieee.org, содержащие в том числе логины и пароли открытым текстом, по меньшей мере в течение месяца были доступны по адресу ftp.ieee.org/uploads/akamai (дыра закрыта 24 сентября). В логах хранилась информация о более чем 376 миллионах HTTP-запросов, 411 308 из которых содержали пары логин-пароль. 99 979 из них оказались уникальными. Среди пострадавших — множество сотрудников Apple, Google, IBM, Oracle, Samsung, NASA, Стэнфордского университета и многих других компаний и организаций, входящих в международную ассоциацию IEEE.

    Утечку обнаружил румынский хакер Раду Драгусин. Общий объём логов составил около 100 гигабайт. Он проанализировал файлы и сообщил IEEE об уязвимости. Он не публиковал и не собирается публиковать полученные пароли. Результаты анализа логов он обнародовал на сайте ieeelog.com, специально созданном для этой цели.

    Поделиться публикацией

    Похожие публикации

    Комментарии 36
      +26
      Самое позорное, что это IEEE.
        0
        Что в этом такого особенного?
          +1
          «The world's largest professional association for the advancement of technology» :(
      +1
      Среди пострадавших — множество сотрудников Apple, Google, IBM, Oracle, Samsung, NASA, Стэнфордского университета и многих других компаний и организаций, входящих в международную ассоциацию IEEE

      Казалось бы — сотрудники таких уважаемых компаний должны использовать нормальные, стойкие пароли. В то же время — я посмотрел график с самыми популярными паролями и взял ТОП6: пароли 123456, ieee2012, 12345678, 123456789 и password суммарно использовало 1118 человек!

      Румынский хакер, кстати, повел себя адекватно и обнародовал только анализ логов, а не сами логи
        +3
        Это не значит, что сотрудники перечисленных организаций использовали именно эти пароли.
          0
          Действительно, напрямую — нет, не значит. Здесь нет полного списка пострадавших. Сказано лишь, что среди множества пострадавших есть подмножество сотрудников уважаемых организаций и есть подмножество пользователей с, мягко говоря, не стойкими паролями (примерно — каждый сотый пользователь). Я рискнул предположить, что эти подмножества между собой где-то пересекаются.
            +6
            Как я понимаю, это просто пары логин-пароль, взятые из логов веб-сервера. Теперь вопрос — проверялась ли валидность этих пар логин-пароль?

            Т.е. кто-то мог просто пытаться подобрать пароль к конкретному аккаунту, и эта, введенная им пар логин-пароль, тоже попадет в логи, и попадет в статистику и т.д.
              0
              Спасибо за комментарий — я об этом не подумал
                0
                Вполне вероятно (не вчитывался), что невалидные пары можно было отсечь по коду ответа сервера.
            0
            Извиняюсь, опечатался — имелось в виду Топ5, а не Топ6
            • НЛО прилетело и опубликовало эту надпись здесь
                +1
                Люди… Люди никогда не меняются… Почти (ц)
                  +5
                  Было бы смешно, кстати, если бы сперли базу паролейпользователей хабра — увидеть каково количество подобных паролей на данном высокоинформационном ресурсе…
                    +1
                    Давайте запилим голосование. Я прямо так и вижу варианты:
                    1. 12345
                    2. qwerty
                    3. другой (укажу в комментариях)
                      0
                      Я, как тот солдат из анекдота, который матчасть не учил, вообще, свои пароли не знаю :)
                        0
                        Я свои тоже ни один не знаю. Один пароль и тот, на keepassx базу. остальные я даже и не вижу. точно знаю что один из них по длине меньше чем остальные.
                  0
                  Топик о пользе хеширования.
                    +2
                    Да и по хешам бы значительную часть пробили.

                    Топик о пользе мозга (а был такой?).
                      +2
                      Если бы кто-то додумался кэшировать пароли на клиента, они бы наверняка их посолили. Либо забота о безопасности есть, либо ее нет.
                        0
                        На хабре куча топиков о правильном хэшировании после вот этого появилась: habrahabr.ru/post/145345/ Вы наверное пропустили
                      +5
                      Только если на стороне клиента.
                        0
                        Скорее уж о пользе сгенерированных уникальных паролей, чтобы, даже если рукожопые админы сольют базу паролей, не подвергнуть опасности остальные свои аккаунты.
                        0
                        Кто следующий? Instagram? Twitter?

                        Как вообще такие серьезные проекты хранят пароли в открытом виде?
                          +1
                          пароли не хранят, хранят логи веб-сервера, в которых содержатся введенные пользователем данные
                            0
                            Такие же логи я проверял на валидность тут habrahabr.ru/post/138726/
                            Примерно 25 000 валидных аккаунтов gmail (пропарсил далеко не всю базу, с прокси были проблемы).
                            С русскими ящиками вообще смешно. 80% паролей от mail.ru,yandex.ru валидны. И это всего лишь логи веб-сервера…
                          0
                          Похоже, что кто-то из разработчиков сделал себе удобный способ просматривать логи по принципу «все равно никто не знает, что они там лежат», но убрать забыл.
                            +1
                            На сайте одного из супермаркетов в открытом доступе лежат резюме людей (с паспортными данными и телефонами).
                            Как поступить если владельцы сайта не реагируют?
                              0
                              Подайте на них в суд: www.spets-proekt.spb.ru/pdn/info/law
                                +3
                                А можете разместить там своё резюме и стребовать компенсацию морального ущерба.
                                0
                                Я немного не понял.
                                У них логин+пасс через GET передаётся?
                                  0
                                  С чего вы взяли что логировались только GET?
                                    0
                                    С того, что логировать POST, как минимум, странно.
                                    Там вполне может быть загрузка файлов, большие текста, etc, и это всё будет попадать в логи и раздувать их
                                      0
                                      Скорее всего там дамп POST запросов как это было с youporn.
                                • НЛО прилетело и опубликовало эту надпись здесь

                                  Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                  Самое читаемое