denis-1928 ноя 2019 в 15:20

Данные 500 тыс. пользователей портала поиска работы «Job in Moscow Ru», включая пароли в открытом виде, утекли в сеть

2 мин

7.1K

IT-компанииИнформационная безопасность * Карьера в IT-индустрии

Комментарии 23

lamerok 28 ноя 2019 в 16:03

Директор, как это обычно принято, скорее всего воспользовался http://otmazka.info/

vlivyur 29 ноя 2019 в 07:39

Там почти слово в слово есть эта отмазка.

vadim_kudr 28 ноя 2019 в 16:13

Наверное, телефонные спамеры обрадуются новым телефонным номерам

halted 28 ноя 2019 в 17:10

имея доступ к резюме соискателей через их аккаунт на портале, злоумышленники могут получить достаточно чувствительную информацию о бывших работодателях, что дает возможность подмены резюме или вакансий определенной компании для нанесения ущерба ее деловой репутации.

это как?
вот известно, что человек работал в фирме, и как это может повредить той фирме?

filkt 29 ноя 2019 в 06:45

Позвонят, представятся HR/Бкхгалтер/Расчетчик со старого места работы, скажут что чего то недоплатили, давайте кинем на карту, только дайте данные карты — это как один из примеров.
(Это не призыв к действию. Просто пример)

halted 29 ноя 2019 в 21:09

Речь идет о том, что имея на руках резюме сотрудника можно как-то навредить бывшему месту работы. Серьезно, не понимаю, вот известно что человек работал в ООО «Ромашка». Как зная эту информацию можно навредить ООО «Ромашка»?

Alexander_Tamirov 28 ноя 2019 в 19:00

… выгрузка с утечкой данных содержала логины (адреса электронной почты пользователей) и пароли к аккаунтам (в открытом текстовом виде)

Знаете… Если честно я не верю в такую наивность разработчиков системы.
Правило Не хранить пароли в открытом виде, а только хэшированные лет 10 обсасывается на всех обучающих ресурсах.
По-моему только умышленно можно хранить пароли в открытом виде для своих не очень благонамеренных нужд. Так же, ни для кого не секрет, что много людей используют везде один и тот же пароль… Вот для чего могут собираться пароли в открытом виде.
И точно не сообщается, что за базу взломали. Никто не вникает, а может это была вот такая серая база, не для работы сайта нужная, а для вышеописанного.

porn 28 ноя 2019 в 20:09

не верю в такую наивность разработчиков

Ну, не знаю, за несколько лет мне два раза ставили задачу по переходу с одного алгоритма хэширования на другой. При этом указывали, что нужно всем-всем сбросить пароли и промежуточно хранить их в plaintext. Оба раза приходилось разжёвывать, что так делать нехорошо, нельзя и, вообще, можно даже не сбрасывая пароли обновить алгоритм хэширования. Во втором случае моё решение отвергли, т.к. не поняли.

Groramar 28 ноя 2019 в 21:38

Как, к слову, не сбрасывая пароли поменять алгоритм? Хотим от md5 отказаться в пользу чего-то другого.

Maksclub 28 ноя 2019 в 22:09

Хэшировать уже данные хэши :)?
А новые пароли просто с новым хэшем

Alexander_Tamirov 28 ноя 2019 в 22:44

Нормальная практика, если старый алгоритм хэширования был прост и быстр, например,
$old_hash = md5($salt.$password);
Новый можно сделать:
$new_hash = md5(md5($salt.$password));
Т. е.
$new_hash = md5($old_hash);

pyrk2142 28 ноя 2019 в 22:50

Как вариант, можно при успешной авторизации хешировать пришедший пароль новым алгоритмом, а рядом хранить информацию о том, менялся ли алгоритм для этого пользователя.

myz0ne 29 ноя 2019 в 01:01

Либо при логине перехешировать (когда известен plaintext), либо брать хеш от хеша, других вариантов вроде нет.

tommyangelo27 29 ноя 2019 в 08:29

Хранить тип алгоритма как часть самого хеша.

Пример на php:

$dbRecord = 'somehash:1';
list($hash, $algType) = explode(':', $dbRecord);
Теперь, зная тип алгоритма мы можем аутентифицировать пользователя, сравнив его ввод с хешом.
Если аутентификация успешна, генерим новый хеш и добавляем в конец :2 и все последущие разы используем новый алгоритм.

InChaos 29 ноя 2019 в 10:41

Добавляем поле признак алгоритма хэша, по умолчанию 0 — текущий (md5)
При входе — если признак 0, то проверяем правильность старым хешем, если совпал, то хешируем пароль новым, обновляем хэш, ставим признак нового — 1. Если же признак уже = 1, то просто проверяем новым хэшем.

Groramar 2 дек 2019 в 06:31

Всем спасибо! Мне больше всего этот вариант нравится.

Lexxnech 29 ноя 2019 в 07:48

Ну, несколько лет назад тот же Superjob имел восхитительную привычку при смене пароля отправлять его на почту открытым текстом. В формате «Вы поменяли свои учетные данные, вот они, логин username@email.org, пароль qwerty». Причем я тогда так и не нашел, как это отключить. Сейчас, похоже, исправили.

tmin10 29 ноя 2019 в 08:46

Такая логина реализована в Amazon Cognito, при регистрации нового пользователя ему на почту приходит временный пароль, который он сменит при первом входе. Чем плоха такая тактика? По сути нет разницы между временным паролем и ссылкой, по которой можно выставить новый пароль.

Lexxnech 29 ноя 2019 в 09:01

Не временный. Именно после ручной смены приходит сообщение, «Вы изменили пароль, ваши данные для входа: логин такой-то, пароль такой-то». Ну вернее приходило в 2016 году, сейчас не приходит, поправили.

denisshabr 29 ноя 2019 в 06:15

Поздняя новость, лежит с 11 октября t.me/baselink/225

devalone 30 ноя 2019 в 17:48

Так там запароленный архив

porn 30 ноя 2019 в 21:54

Не у всех есть телега.

denisshabr 2 дек 2019 в 10:58

Да. И по ссылке тоже не скачать без телеги, просто не качается и всё.
Но речь о том, что утечка была не сейчас, а ещё почти два месяца назад. Поэтому фраза «Дамп с утекшей базой данных портала работы был датирован 23-им ноября 2019 года.» как минимум ошибочна, утечка была ранее 11 октября. Кто именно ступил — Коммерсант или denis-19 — решайте сами. Журналистика любит факт-чекинг, которого здесь не было.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий