Французский телеканал был взломан после интервью сотрудника на фоне стикеров с паролями

    Вот уже несколько дней развивается история со взломом внутренней сети и аккаунтов в социальных сетях французского телеканала TV5Monde, работа которого на некоторое время была просто парализована в результате деятельности хакеров, причисляющих себя к сторонникам Исламского государства. Были выведены из строя служебные серверы, отвечающие за обработку электронной почты, видеомонтаж, трансляцию сигнала.
    Нападение на ресурсы TV5 Monde анонимные взломщики начали в среду вечером около 22:00 по Парижу(/23:00 мск), вскрыв защиту официального сайта телеканала и его страниц в социальных сетях. Ближе к полуночи было прервано и телевещание — канал пропал из эфира, вместо изображения на несколько часов на частотах TV5 Monde был черный экран без звука, изредка переключавшийся на заставку с логотипом канала.
    Некоторое время в аккаунте TV5 Monde в Facebook можно было наблюдать фотографии людей в черной одежде и арабских платках с подписью «Киберхалифат» и «Я — ИГ». Среди сообщений были опубликованы угрозы в адрес французских военнослужащих, участвующих в операциях против исламистов в Африке и на Ближнем Востоке.
    Как признал генеральный директор компании Ив Биго, в течение нескольких часов специалисты были «не в состоянии передавать сигнал ни по одному из каналов». «Постепенно мы начинаем восстанавливать вещание в ряде регионов, — сообщил он агентству France-Presse. — Наши системы крайне серьезно пострадали, речь идет об атаке невиданной мощности. На полное восстановление уйдут многие часы, если не дни». ТАСС
    Чуть позднее стали выяснятся интересные подробности, свидетельствующие о том, что отправной точкой для атаки на TV5Monde могло стать интервью с репортером Дэвидом Делосом, где невольно засветили по крайней мере один пароль компании в социальных сетях. Дело в том, что он был снят на фоне стола сотрудника бюро, который буквально утопал в стикерах с паролями к учетным записям канала в популярных социалках.



    В сюжет попали имена пользователя и пароли для официальных аккаунтов Twitter и Instagram телеканала, но их было слишком трудно разобрать на записи в официальном архиве передач. Однако, на YouTube качество видео оказалось лучше, что, судя по всему, и позволило злоумышленникам подобрать верный пароль. Пользователь Twitter pent0thal подтвердил, что выведенный на экран пароль учетной записи был «lemotdepassedeyoutube», который можно перевести с французского как «пароль от YouTube».
    Поделиться публикацией
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 104

      +38
      Пароли на стикерах это как иконки в автомобиле: безопасность конечно не безупречная, но она ведь есть!
        +2
        Расшифруйте про иконки плз, не понял)
          +9
          Иконки буквальные
            +2
            Смысл в том что каким бы сложным и длинным не был бы пароль, он не имеет абсолютно никакого смысла, так как хранится в открытом виде на стикерах. Так же с иконками в автомобиле: существует определенная категория людей, которые считают, что можно обвешать ими весь салон и полностью наплевать как на элементарные правила безопасности ( ремень ) так и на пдд в целом ( скорость и т.п. )
              +5
              Надо выпускать специальные иконки для наклейки на ремни безопасности. Икона спасает при аварии только если тесно прижата к телу посредством специальных ремней для крепления иконы к телу.

              Вот тогда они начнут спасать жизни.
                0
                Можно пропустить ремень за спиной и прижаться к нему крепко.
                Что говорите? Обязательно к груди? Это маркетинговый ход и обман чтобы набрать классы.
                  +4
                  Нательный ремень безопасности.
                  Для патриотов — в цветах георгиевской ленты! Кто не пристегнулся — тот хохол!!!
              +9
              — У нас дыра в безопасности.
              — Ну хоть что-то у нас в безопасности.
              –38
              Кто бы сломал первый канал и россию и пустил в прайм тайм фильм Срок или что-то подобное
                +17
                Напуркуа? Кому это проплаченное поделие нужно?
                И вроде бы Хабр был вне политики?
                  0
                  ИГИЛ проникло на хабр?
                    +1
                    Пацаны, вы чего, нормально же общались…
                    +1
                    До кучи.
                    +18
                    С начала пытался ругать, когда сотрудники пароли хранили где то на стикерах, потом сделал проще — пусть хранят, но «шифруют» их там для себя. Метод шифрования подходил, если я не мог подобрать пароль имея стикер)
                      +37
                      Стикеры надо хранить под клавиатурой, мы всегда так делаем.
                      • НЛО прилетело и опубликовало эту надпись здесь
                          +25
                          Да, один.
                            +32
                            Да, один пароль.
                              +3
                              Когда помнишь такие пароли, то начинаются проблемы запомнить простой логин.
                            +6
                            И сколькл паролей Вы вообще помните? Несколько сотен таких запомните?
                              +2
                              На а какие проблемы-то?

                              [a@o]# modprobe petrosyan
                              ПарольОтГмэйла — GfhjkmJnUv'qkf
                              ИпатьСложныйПарольОтХабраХабра — BgfnmCkj;ysqGfhjkmJn{f,hf{f,hf
                              Ну1ДалееВТакомЖеДухе — Ye1LfkttDNfrjv:tLe[t
                                +8
                                Без клавиатуры с кириллицей набор такого пароля (с тач-смартфона) превращается в пытку…
                                  –1
                                  Угу, с телефона например.
                                    0
                                    А для телефона и прочих планшетов крайне рекомендую сразу же ставить Hacker's keyboard с 4pda. Именно на такой случай, у нее есть мод с двуязычной раскладкой.
                                    +2
                                    Мне мама сломала мозг придумав пароль от вайфая, как номер моего телефона наоборот. Для меня ввести его оказывается крайне сложно, а ей легко запоминается.
                                0
                                Интересно, а чем отличается пароль на стикере от пароля на аппаратном токене?

                                Кстати, хорошая идея. Keepass с аппаратной реализацией.
                                  0
                                  По мне так лучше на сертификатах с открытым и закрытым ключом работать.
                                    0
                                    Вы знаете, но нет. Если малваря на компьютере, то она спокойно подпишет себе всё, что нужно. В отличие от этого ручной перенос пароля из одного устройства в другое — совершенно неавтоматизируемая процедура и каждый пароль придётся тырить с большим оверхедом. И даже до идиота дойдёт, что если компьютер спрашивает все пароли по-очереди, то тут что-то не так.

                                    А вот выписать себе сертификатов пока пользователь PIN на железке вводит (если там вообще есть PIN, а не просто кнопка «подписать») — как нефиг делать.
                              +8
                              Вот она, квинтэссенция современной безопасности!
                              Это как пароль от почты вроде Xy17Hso938Hdnla, но с секретным вопросом про кошку =\
                                +5
                                К слову, я обычно делаю ответ на секретный вопрос аналогичный паролю, т. е. rsekt7b6aKYBwveriIA465wKjssdgd54 например (не те же самые символы, что и в пароле, но именно что-то сложное для взлома). Так вот, как-то надо было то-ли на mail.ru зарегистрироваться, или еще где-то в подобном месте, так вот, там было ограничение на ответ на секретный вопрос 10 символов, даже сам пароль мог быть длиннее.
                                  +1
                                  Аналогично, я ещё и текст самих вопросов пишу в стиле qVdbR1d&#i0sUux0.
                                  Это же секретный вопрос. Если вопрос известен, он перестает быть секретным :)
                                • НЛО прилетело и опубликовало эту надпись здесь
                                    0
                                    А какой тогда секретный вопрос для восстановления имени кошки? Что-то вроде:
                                    Ответьте на вопрос и имя Вашей кошки снова станет «Барсик»
                                      +2
                                      Последние 8 символов вашего первого в жизни uuid'а (6f540a575fc1).
                                      +2
                                      По статистике эта кличка стоит на втором месте по популярности после «Барсик».
                                    +6
                                    Все продвинутые перцы давно уже пишут на стикерах хеши паролей.
                                      –3
                                      Зачем? Их там обычно пишут чтобы не забыть. Ну вот забыли вы пароль, и чего вы с хэшем сделаете?
                                        +13
                                        Крутые перцы хеши всех своих паролей знают наизусть
                                        MD5 («123456») = e10adc3949ba59abbe56e057f20f883e
                                        MD5 («pupkin») = 5c18188325b1bc0e708c09086e5394c3
                                        MD5 («pupkinpupkin») = c7788fbd3aef87b5893a5ddcf83b758a

                                          –1
                                          Так если перцы хэши паролей знают наизусть, они и пароли очевидно знают наизусть? Зачем в таком случае вообще что-то печатать и считать?
                                            +2
                                            так забываешь какой пароль к какому ресурсу, а таблицу умножения не забываешь никогда.
                                            +1
                                            Зачем засветил все мои пароли?
                                            +3
                                            Do you even joke, brah?
                                        • НЛО прилетело и опубликовало эту надпись здесь
                                            +3
                                            Этот способ дурно влияет на отношения в коллективе.

                                            Вышел человек по звонку не залочив комп и юркий сосед уже нагадил.
                                              +27
                                              А какое он имеет право оставлять комп с рабочей информацией не заблокированным?
                                                +7
                                                Так то оно так. Но какое право сосед имеет лезть в чужой комп а посторонних на закрытой территории не бывает.
                                                  +5
                                                  Пожалуй, в некоторой степени правы и вы, к тому-же на столах могут быть рабочие бумажные документы, их что, тоже постоянно запирать в сейф? В любом случае, вопрос информационной безопасности — тема обширная, и человеческий фактор — один из основных ее разделов. Вариант, описанный выше — просто идея, как с этим можно работать.
                                                    +4
                                                    Вы не поверите, но еще Жеглов делал такие приколы.
                                                    А есть один банк (с зеленым логотипом), так там норма. Выходишь — документы в сейф. Все в сейф. И блокировка системы. И начальники воруют документы у растяп-подчиненных, а потом имеют их во все возможности за профуканные документы.
                                                      0
                                                      А что за банк такой? С зелёным логотипом вспомнил только Сбербанк, но он не может быть, там сотрудникам начхать сто раз на безопасность.
                                                        0
                                                        Уральский банк Сбербанка России, Екатеринбург.
                                                  • НЛО прилетело и опубликовало эту надпись здесь
                                                0
                                                Таки пустое или с именем?)
                                                • НЛО прилетело и опубликовало эту надпись здесь
                                                  0
                                                  По-моему, довольно очевидным является соображение, что вся эта порнография с паролями попросту не работает. Когда один сайт требует не менее 10 символов, другой не более 9, третий хочет спецсимволы, четвёртый их не переваривает и так далее, то человеку ничего не остаётся делать, кроме как записывать туда, где никто ему таких ограничений ставить не будет.

                                                  У кого-то пароли на стикере, у кого-то три пароля на всё, у кого-то KeePass и куча других неудобств, и я вот, хоть и программист, тоже не могу придумать никакого хорошего решения. Да, давайте палкой бить, может, летать научатся.
                                                    0
                                                    В качестве некоего щадящего режима, можно придумать себе одну, сколь угодно сложную основу, которая по условиям будет подходить на большую часть обычных требований к паролю и добавлять к ней какой-то ваш способ идентификации сайта. Например:
                                                    Основа: V3b1n2
                                                    Пароль для хабра: habrV3b1n2
                                                    Пароль для фейсбука: faceV3b1n2
                                                      +1
                                                      Достаточно пару утекших баз с паролями и можно получить доступ ко всем остальным.
                                                        0
                                                        Для этого надо целенаправленно знать, к кому мы получаем доступ. А для целенаправленной атаки, ясно дело, этот способ не спасает, никто и не спорит. Как я и написал, это щадящий режим — который обеспечивает какую-то приемлемую защиту, но не заставляет пользователя взрывать мозг в попытке запомнить незапоминающееся.
                                                        0
                                                        Я понимаю, что вы предлагаете решение для реального мира как он есть, но согласитесь, порочна сама идея того, что надо заставлять человека выдумывать какие-то безумные комбинации с ограничениями, а потом ещё наказывать за то, что не у всех это получается.
                                                          0
                                                          Увы, да. Альтернативы конечно есть, но они все имеют свои изъяны и пока ничего лучше паролей, не придумано. Ну или я (и большая часть народа) про это не знаю :) Но жить-то как-то надо, вот и крутимся
                                                          0
                                                          А потом внезапно найдется сайт/сервис, которому ваш пароль не понравится, и система начинает рушится как карточный домик.
                                                          Пример: ваша основа, ваши пароли для хабра и фейсбука, и тут вы регаетесь, предположим, на гмыле, и там, внезапно, просят спецсимвол. Приплыли. Со временем таких сайтов-исключений становится всё больше. Одному не нравится, что ваш пароль уже был (внезапно), другому, что там есть "(хоть и требуют спецсимвол), третьему еще что-то.
                                                            0
                                                            Честно говоря, я этой системой пользуюсь последние пять лет (за исключением сервисов связанных с деньгами) и ни разу мне такого не попадалось.
                                                              0
                                                              Мне вот попадается регулярно.
                                                              Забил на запоминание паролей, голова не резиновая все запоминать.
                                                              Как забыл, так делаю восстановление с высылкой «инструкции» на почту.
                                                                0
                                                                Обидно, но далеко не везде восстановление пароля — работает. В одном малобюджетном интернет-магазине игр, восстановление пароля оказалось сломано, и на запрос «что делать и когда заработает восстановление пароля» мне не ответили. Прошло около двух месяцев, прежде чем я снова смог залогиниться на том сервисе путем высылки «инструкций» на почту.
                                                            0
                                                            0
                                                            у кого-то KeePass и куча других неудобств
                                                            Неудобства не уменьшают безопасность.
                                                            Это из оперы «шашечки или ехать».
                                                              0
                                                              Особенно глупо выглядят все эти ограничения, когда знаешь, что хранится все равно хеш, длина у которого одинакова, блин.
                                                              0
                                                              у нас добрее немного :)
                                                              никакой премии, конечно, не лишают
                                                              но зато если увидел у кого-то открытый комп − грех не послать приглашение всему зданию приходить за халявными пончиками :)
                                                              ну или ещё что-то такое прикольное
                                                              0
                                                              Да ну, постанова какая-то
                                                                +3
                                                                А уж какие возможности дают методы Super-resolution! Даже если стикер с паролем так попал в кадр, что ничего разобрать вроде бы невозможно — информацию из нескольких кадров можно особым образом совместить и получить изображение с более высоким разрешением.
                                                                  0
                                                                  Как раз недавно читал, что отношение сигнал-шум при этом увеличивается как корень из количества совмещаемых кадров. Иными словами, снять и совместить текущей матрицей 100 кадров будет аналогично снятию одного кадра с матрицей, имеющей в 10 раз лучшие характеристики.
                                                                    0
                                                                    Это только в том случае, если шум имеет нормальное распределение. В данном случае мы натыкаемся на законы оптики и дискртизации.
                                                                  +4
                                                                  Вечная проблема прокладки между клавиатурой и стулом.
                                                                      +5
                                                                      Вчера Пархоменко на «Эхе», кстати, про этот взлом рассказывал:
                                                                      Одновременно, в один и тот же момент, погасли все экраны TV5, прекратилось вещание, просто черный экран, что называется, все 11 телеканалов выключились. Одновременно был перехвачен контроль злоумышленниками над сайтом TV5, [...] Одновременно был перехвачен контроль над аккаунтами TV5 в Фейсбуке, в Твиттере и в других социальных сетях. Все это произошло в одну секунду, все это потом продолжалось почти сутки.
                                                                      Если это всё так (а у меня нет причин не верить Сергею), то одними бумажками с паролями от соцсетей тут явно не обошлось; интересны остальные подробности атаки, в частности, как именно злоумышленники получили управление телеэфиром?
                                                                        0
                                                                        Ну, теоретически в личках социалок могла быть критичная переписка. Да и затроянить внутреннюю сеть компании через их же собственные аккаунты легче — сотрудники ткнут в любую присланную фишинговую ссылку.
                                                                          –7
                                                                          > Вчера Пархоменко на «Эхе», кстати, про этот взлом рассказывал:…
                                                                          >… Если это всё так (а у меня нет причин не верить Сергею)…

                                                                          Верить Эйхе Мацы… это мягко говоря признак незрелости или хуже — признак низкого интеллекта…
                                                                          Пора взрослеть пока не поздно.
                                                                            0
                                                                            Если бы они (те, кто предполагается захватил эккаунты) получили управление эфиром, на экранах появились бы неприятные бородатые типы в простынях и с калашами. Я за то, что руководство канала запаниковало и на всякий случай повелело отключить трансляцию.
                                                                              0
                                                                              Добровольное отключение «на всякий случай» плохо соотносится с этой фразой: Как признал генеральный директор компании Ив Биго, в течение нескольких часов специалисты были «не в состоянии передавать сигнал ни по одному из каналов».
                                                                                0
                                                                                Но точно так же с трудом верится, что те чуваки упустили бы такой замечательный шанс попасть на ТВ.
                                                                              0
                                                                              «A trust is its weakest point,» said Jeff Peters.…

                                                                              … The only way to break up a trust is from the inside.…
                                                                              0
                                                                              Я конечно согласен, что хранить на общедоступных стикерах, да еще и показывать в интервью — это идиотский поступок. Но тем не менее, проблема хранения паролей все еще качественно не решена. Кто-то запоминает, кто-то делает везде одинаковые, кто-то записывает, но все это неудобно. А если в прфессиональных целях регулярно нужны десятки паролей (как в сабже)?

                                                                              Мне кажется это потенциальная ниша для инноваций.
                                                                              • НЛО прилетело и опубликовало эту надпись здесь
                                                                                  0
                                                                                  У вашей схемы есть еще один недостаток. Вернее два.
                                                                                  1. Потеряется / сломается телефон — и все.
                                                                                  2. Навернется файл в дропбоксе (подобное уже было, дропбокс, к слову, ничего не гарантирует, см. EULA/ToS) / не будет доступа к файлам (по разным причинам) — тоже все.

                                                                                  Я по этой причине храню копии важных данных еще и в AWS S3 и на двух локальных накопителях.
                                                                                  • НЛО прилетело и опубликовало эту надпись здесь
                                                                                      0
                                                                                      lastpass?
                                                                                        +1
                                                                                        Я, конечно, тот еще параноик, но хранить пароли на третьестороннем сервисе, это как-то уж слишком.
                                                                                        Шифрованные базы keepass/1password в дропбоксе (а в идеале еще и в шифрованном контейнере) еще ладно, но вот так…
                                                                                          0
                                                                                          Расскажите прямо сейчас, чем шифрованная база в дропбоксе отличается от шифрованных паролей в ластпассе, в смысле паранойи.
                                                                                            +4
                                                                                            Да легко. В дропбоксе лежит контейнер, который я сам зашифровал как мне нужно и туда положил. А в ластпассе я хрен его знает как они там хранят базу и кто имеет к ней доступ.
                                                                                              +1
                                                                                              Зашифрованная БД Keepass хранится в зашифрованном контейнере который синхронизируется с Dropbox. Такой вариант явно надежнее чем сторонний lastpass.
                                                                                                0
                                                                                                Не вижу разницы. Ластпасс хранит базу, зашифрованную вашим мастер-паролём, который никогда не передаётся. «Как нужно» вам может и правильно, а может и нет. Я вот, к примеру, не считаю себя криптографически более образованным, чем специализированная фирма вроде Ластпасс, и если они говорят AES-256 плюс PBKDF2 это хорошо, то я склонен им верить больше, чем себе, ибо как я бы хотел заниматься тем, чем я хочу заниматься, а не думать о шифровании.

                                                                                                И это не говоря о том, что дропбоксный контейнер явно получше экспонирован пытливому взору, чем ластпассная база, которая в теории доступна только сотрудникам. А дропбокс на вашем диске, а может и не одном хосте ещё.
                                                                                                  0
                                                                                                  который никогда не передаётся
                                                                                                  Слабое место.
                                                                                          0
                                                                                          Потеряется телефон — останется на локальной машине(нах).
                                                                                            0
                                                                                            Теперь, я понял историю с anekdot.ru, о том как телефон уронили в дырку общественного сортира…
                                                                                              0
                                                                                              Идея хранения паролей на телефоне, навела меня на мысль, что нужно отдельное устройство хранения, вроде когда-то популярных Электронных Записных Книжек, постоянное находящееся в OFF-Line, что исключило бы вероятность взлома через Wi-Fi, java в браузере телефона и тому подобное — чтобы к устройству было бы физически невозможно подключиться без желания владельца. А на случай крайней надобности можно и USB-порт иметь. Само же электронная записная книжка для паролей, помимо ввода паролей, должно иметь и биометрическую аутентификацию, на случай случайной потери (от преднамеренного похищения записной книжки и отпечатка — конечно это не спасёт, но если случайно потерять...). На случай потери, так же должно иметься отдельное подключаемое напрямую через USB мини-устройство для бэк-апа, которое надлежит хранить отдельно в надёжном сейфе.
                                                                                            0
                                                                                            А если кейлогер схватите? Мастер пароль улетит, а с ним и все остальные…
                                                                                              0
                                                                                              >Храню пароли в Keepass все пароли не менее 16 символов

                                                                                              Я так тоже однажды придумал. А потом потребовалось ввести такой пароль с телефона. В таймаут сервиса не уложился.
                                                                                                0
                                                                                                Есть же KeePass для телефонов
                                                                                                  0
                                                                                                  Ну да, есть. Его самого надо запустить и руками ввести ему сложный пароль.
                                                                                              0
                                                                                              Про Keepass или Password погуглите.
                                                                                              0
                                                                                              Вот как-то не ожидаешь на хабре таких формулировок: кто-то воспользовался паролями из открытого источника и это, блин, взлом! Что ломали — пиксели в Youtube? Ладно там на ленте, если так напишут, но здесь-то можно различать такие понятия.
                                                                                                +2
                                                                                                Помню свой первый пароль в далёком прошлом (да да это была почта на mail.ru). Это казалось каким то таинственным и загадочным. Сразу представил себя агентом спецслужб. Круто, подумал я. Ведь теперь у меня есть свой пароль, который я никому не должен говорить и это должна быть моя тайна, которую я должен хранить. Сейчас это не кажется таким крутым:) Теперь я использую менеджер паролей для запоминая логинов и паролей от сотни сайтов, сервисов и админок с такими цифрами и буквами что запомнить их все для меня невозможно :)
                                                                                                  0
                                                                                                  Сколько было утечек с этими паролями, то человек уволился и забрал все пароли, то чья-нибудь подруга увидела и передала куда не надо. Ну смешно уже. Серьезные компании. А со стороны популярных сервисов twitter, youtube и тд. — ну сделали бы для корпоративных клиентов авторизацию по токену + логин/пароль + одноразовая смс, согласен это не панацея, но хотя бы от таких курьезов избавила бы мир.
                                                                                                    0
                                                                                                    Не совсем улавливаю каким образом имея пароль к аккам в соц. сетях ( и даже допустим, к оф. сайту) можно было взломать систему трансляций.
                                                                                                    Какая-то криворукая система у них там в этом случае.

                                                                                                    Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                                                                    Самое читаемое