Комментарии 27
Нам пора привыкать к новой реальности. Приватных данных нет, а есть только те, которые по какой-то непонятной причине пока не стали достоянием общественности.
Реальность надо формировать golos.io/p2p/@foxcool/spasenie-interneta
Бекап 11 летней давности содержащий все и находящийся для сотрудников в онлайн доступе это сильно.
Пора обновлять давно не меняемые пароли… и отказываться от SMS
Перехват SMS это сильная команда если вспомнить перехват из-за устаревшего протокола наземного сегмента сотовой связи.
В начале ссылка битая и как бы левый сайт, оригинал
https://www.reddit.com/r/announcements/comments/93qnm5/we_had_a_security_incident_heres_what_you_need_to/
Пользователям Reddit предложено сбросить пароль и настроить подтверждение входа в приложение с помощью кода, генерируемого специальным приложением, а не через SMS.
Наверное будет лучше как в оригинале
And, as in all things, a strong unique password and enabling 2FA (which we only provide via an authenticator app, not SMS) is recommended for all users, and be alert for potential phishing or scams.
Пользователям Reddit предложено сбросить пароль, использовать оригинальные пароли и использовать двухфакторную авторизацию с через приложение, а не через SMS.
Сколько там времени ГДПР даёт на обнародование? Сутки? Трое?
Дааа, ребята попали сразу после ввода этого закона в действие.
eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32016R0679&from=EN
В течение 72 часов они должны оповестить только свой надзорный орган. Если нет вероятности угрозы правам и свободам физическим лиц, или же были приняты меры из 34.3, то оповещение не обязательно.
В течение 72 часов они должны оповестить только свой надзорный орган. Если нет вероятности угрозы правам и свободам физическим лиц, или же были приняты меры из 34.3, то оповещение не обязательно.
Article 33
Notification of a personal data breach to the supervisory authority
In the case of a personal data breach, the controller shall without undue delay and, where feasible, not later than 72 hours after having become aware of it, notify the personal data breach to the supervisory authority competent in accordance with Article 55, unless the personal data breach is unlikely to result in a risk to the rights and freedoms of natural persons. Where the notification to the supervisory authority is not made within 72 hours, it shall be accompanied by reasons for the delay.
Article 34
Communication of a personal data breach to the data subject
1. When the personal data breach is likely to result in a high risk to the rights and freedoms of natural persons, the controller shall communicate the personal data breach to the data subject without undue delay.
…
3. The communication to the data subject referred to in paragraph 1 shall not be required if any of the following conditions are met(a)the controller has implemented appropriate technical and organisational protection measures, and those measures were applied to the personal data affected by the personal data breach, in particular those that render the personal data unintelligible to any person who is not authorised to access it, such as encryption;
(b)the controller has taken subsequent measures which ensure that the high risk to the rights and freedoms of data subjects referred to in paragraph 1 is no longer likely to materialise;
(с)it would involve disproportionate effort. In such a case, there shall instead be a public communication or similar measure whereby the data subjects are informed in an equally effective manner.
Никогда не любил пароли. Это типа кто узнал слово, тот и хозяин. Неужели нельзя было внедрить нечто лучшее?
например?
действительно, чтоже мб лучше пароля, который хранится только у тебя в памяти(если бекенд не дебилы и захешировали пароль миллион раз)?
— предлагаете проверку на днк каплей крови? вот вам фейковое направление на сдачу крови.
— смс? фейковая АТС его перехватит.
— хешированная осциллограмма головного мозга? да легко, через пару минут в допросной фбр, из вас его вынут при надобности. да и не факт что вы сами зайти сможете, будучи в не том состоянии, в котором осциллограмму снимали.
— отпечатки пальцев… да… ну вы уже поняли в чем подвох)
— предлагаете проверку на днк каплей крови? вот вам фейковое направление на сдачу крови.
— смс? фейковая АТС его перехватит.
— хешированная осциллограмма головного мозга? да легко, через пару минут в допросной фбр, из вас его вынут при надобности. да и не факт что вы сами зайти сможете, будучи в не том состоянии, в котором осциллограмму снимали.
— отпечатки пальцев… да… ну вы уже поняли в чем подвох)
Никакая альтернатива не будет работать на 100% надёжно. По определению, для надёжной проверки необходимо следить не только за результатом проверки, но и за порядком её прохождения. Грубо говоря, пока за посетителем, прикладывающим палец к турникету, не наблюдает живой охранник и не контролирует, что человек прикладывает именно свой палец, а не палочку с резинкой — этот турникет защищает только от честных людей и дураков.
Абсолютно всё, что можно выдать дистанционному пользователю, может быть так или иначе подделано таким же дистанционным злоумышленником. Пароли ничем не лучше и ничем не хуже всех имеющихся альтернатив, зато совершенно бесплатны в плане реализации и требуют минимальный уровень подготовки пользователя.
Абсолютно всё, что можно выдать дистанционному пользователю, может быть так или иначе подделано таким же дистанционным злоумышленником. Пароли ничем не лучше и ничем не хуже всех имеющихся альтернатив, зато совершенно бесплатны в плане реализации и требуют минимальный уровень подготовки пользователя.
Дааа, минимальный. Как ставили люди 1234, так и будут ставить, и ничто их не научит. Пароли были ок для 80х, но сегодня они попросту нелепы
> Абсолютно всё, что можно выдать дистанционному пользователю, может быть так или иначе подделано таким же дистанционным злоумышленником.
Смарткарты с сильноймагиейкриптографией, никогда не покидающей пределы чипа? Ну, например, как банковские карты с чипом.
Смарткарты с сильной
бэкап БД содержал всю информацию за два года работы сайта, в том числе весь его контент и сообщения пользователей (включая личные), а также хешированные пароли и соли для хэшей, актуальные на момент создания бэкапа
Так пароли утекли или хеши от паролей? Измените заголовок на менее желтый.
В 2005 году там вероятно было хеширование MD5, а если еще известная соль и способ формирования хеша, то таки да — можно считать, что утекли прям пароли.
В 2005 году (и до ~2008) там не было даже MD5, а просто plaintext.
github.com/reddit-archive/reddit1.0/blob/bb4fbdb5871a32709df30540685cf44c637bf203/data.lisp#L56-L70
web.archive.org/web/20070109023445/http://reddit.com/blog/theft
web.archive.org/web/20070301110630/http://reddit.com:80/info/usqe/comments/cuugl
www.reddit.com/r/announcements/comments/93qnm5/we_had_a_security_incident_heres_what_you_need_to/e3f8og0
github.com/reddit-archive/reddit/commit/4778b17e939e119417cc5ec25b82c4e9a65621b2#diff-d709ed735cfce3d0adca229fc5ec46cbR244
С октября 2011 они начали использовать bcrypt (но rehash получили только те пользователи, которые залогинились после этой даты)
www.reddit.com/r/changelog/comments/lj0cb/reddit_change_passwords_are_now_hashed_with_bcrypt/?st=jkam4z3h&sh=cb669415
github.com/reddit-archive/reddit/blob/ea8f0b72c50f1f174a26e3ba66a4f784e4462f2e/r2/r2/models/account.py#L885-L889
github.com/reddit-archive/reddit1.0/blob/bb4fbdb5871a32709df30540685cf44c637bf203/data.lisp#L56-L70
web.archive.org/web/20070109023445/http://reddit.com/blog/theft
web.archive.org/web/20070301110630/http://reddit.com:80/info/usqe/comments/cuugl
Not hashing was a design decision we made in the beginning, and it didn't stem from irresponsibility-- it stemmed from a decision to provide functionality that I liked.С 2008 (до 2011) там был SHA1+соль в три байта
www.reddit.com/r/announcements/comments/93qnm5/we_had_a_security_incident_heres_what_you_need_to/e3f8og0
github.com/reddit-archive/reddit/commit/4778b17e939e119417cc5ec25b82c4e9a65621b2#diff-d709ed735cfce3d0adca229fc5ec46cbR244
С октября 2011 они начали использовать bcrypt (но rehash получили только те пользователи, которые залогинились после этой даты)
www.reddit.com/r/changelog/comments/lj0cb/reddit_change_passwords_are_now_hashed_with_bcrypt/?st=jkam4z3h&sh=cb669415
github.com/reddit-archive/reddit/blob/ea8f0b72c50f1f174a26e3ba66a4f784e4462f2e/r2/r2/models/account.py#L885-L889
Серьезно? Сначала что-то у вас вероятно, а потом на основе своей вероятности вы считаете, что утекли прям пароли? Там, в вашей ссылке на оригинал, прямым текстом написано в первом предложении: old salted and hashed passwords. И это вообще ниразу не «хешированные пароли и соли для хэшей». У вас заголовок не отражает действительность.
del (не туда)
Все это предсказуемо. В 2007 году некто поимел базу данных паролей реддит за 2005-2007 год а 2018 (или ранее) некто поломал того самого хакера который эти пароли увел в 2007. Ну и решил выложить эти уже устаревшие и никому уже не нужные данные. Ну и ради прикола их взял и выложил. Как то так.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Reddit взломан, утекла база с паролями и email за 2005-2007 годы