Тотальный взлом Gawker Media: украдено 1.5 млн аккаунтов

http://www.theregister.co.uk/2010/12/13/gawker_hacked/
  • Перевод
Группа анонимных хакеров внедрилась в сервера Gawker Media и «вынесла сор из избы» на половину гигабайта – поменявшись ролями с одним из наиболее безжалостных интернет-изданий, специализирующихся на сплетнях и скандалах.

Известная под названием Gnosis, группа оказывала поддержку 4chan и операции Payback, которая имела место на прошлой неделе и была направлена против PayPal, MasterCard, Visa и других компаний, которые обрубили связи с WikiLeaks. Статья, которая была выложена на этих выходных на BitTorrent, содержала данные регистрации электронной почты и Твиттера Ника Дентона и других шишек Gawker, а также логины тысяч зарегистрированных читателей Gawker (это сам сайт Gawker, крупнейшие блоги Gizmodo, Kotaku, Lifehacker).

В ней также содержался резкий упрек по поводу системы безопасности Gawker.

«Можно было бы подумать, что сайт, который любит высмеивать других людей, должен иметь лучшую систему безопасности и действительно понимать, что они делают», написали авторы, которые неоднократно ссылались на предыдущие перепалки между этим сайтом и группой Anonymous.

«Вы бы могли подумать, что такой человек как Ник Дентон, любящий трепать языком и дразнить таких непростых людей как Anonymous, будет использовать такой „надежный“ пароль, как '24862486,'?», — они написали в другом месте. «Печально то, что он, вероятно, полагает, что его пароль „надежен“, так как он использует его повсюду!».

На первой странице Gawker вечером в воскресенье находилось предупреждение: «Вероятно, что база данных наших пользователей была взломана». В сообщении читателям рекомендовалось считать все свои аккаунты во всех сайтах, принадлежащих Gawker, взломанными и немедленно поменять пароли.

«Мы чрезвычайно обеспокоены этим взломом», — сообщалось в рекомендации. «Не нам полагаться на добрую волю хакеров, которые нашли слабое место в наших системах. И тем не менее ирония нам не изменяет».

Утверждается, что в файле размером 486 Мб находится 1,5 миллиона паролей, защищеных DES — это достаточно слабый алгоритм хеширования, чтобы достойно противостоять подбору.

Хакеры заявляют, что даже после того, как Дентон обнаружил, что один из его онлайн-аккаунтов, возможно, был взломан, он продолжал использовать тот же самый слабый пароль на других аккаунтах. В загруженном файле также находилось то, что считается исходным кодом Gawker, предварительная версия с новым дизайном сайта Gawker, и, как говорят, пароли к дюжине административных аккаунтов Gawker.

Gawker и Anonymous конфликтуют с июля, когда злоумышленники начали веб-атаки, которые периодически выводили сайт в оффлайн.
Поделиться публикацией
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Реклама
Комментарии 68
  • 0
    Хеши в DES… Феерический идиотизм…
    • +3
      Идиотизм не в том, что они в DES, а в том что на ТАКИХ сайтах они в DES :)
      • +5
        да нет, идиотизм в том, что DES — алгоритм шифрования, а не хеширования…
        • 0
          DES вполне применяем для хеширования. Другое дело, что уже лет пятнадцать-двадцать, как простой DES не считается криптостойким к прямому перебору — слишком быстро отрабатывает функция на современно технике.

          Но применительно к чисто чистовому паролю, наподобие упомянутого тут — никакой алгоритм шифрования или хеширования не спасает от лени юзера.
          • 0
            ммм. а можно пруф насчет хеширования десом? возможно есть хеш-функции на его основе, но в чистом виде одно из требований к хеш-функции, а именно не зависимость длинны результата от длинны сообщения, не выполняется.
            • 0
              Набираем в гугле:
              хеширование DES
              и получаем несколько ссылок.

              В частности в FreeBSD он какое-то время использовался для хеширования системной /etc/passwd, что меня лично когда-то давно стукнуло и почему меня и не смутило упоминание симметричного алгоритма в контексте хешей.
      • +4
        угу, непонятно, чем им не угодил тот же засоленный SHA1
      • 0
        Красиво.
        • –5
          Конфликты конфликтами, а всё-таки ломать нехорошо.
          • +5
            Является ли взломом проникновение через технологическое отверстие?
            • +1
              +1, если есть дыры, то почему бы их не поюзать?
              • +22
                «Всемирная история. Происхождение анального и орального секса.»
              • +11
                Т.е. если вы шли, увидели дом, открытую дверь, зашли, в открытом ящике стола увидели деньги, взяли их то потом в участке будете рассказывать что нашли клад и хотели получить свои 25%?
                • +1
                  Отличайте кражу от кражи со взломом :) Взлом — отягчающее обстоятельство.
                • 0
                  А как еще можно без спросу проникнуть на сайт, как не использовав дыру в системе?
                  • 0
                    Пресловутая социальная инженерия, хотя классово это все та же дыра, да ;)
                    • 0
                      А, ну да…
                      Но социальная инженерия — это дыры в голове у людей. А люди — это часть системы :)
                  • 0
                    я считаю, что да. вы можете украсть в магазины Сникерс, засунув его себе в рукав. камеры и охрана скорее всего не заметят (так утверждает знакомый, баловавшийся в детстве). является ли это дырой? и хорошо ли так делать?
                  • 0
                    А если бы они сломали сайт, а потом тихо сообщили бы администрации об уязвимости — это тоже по-вашему нехорошо? Ну-ну…
                    • 0
                      А вы за меня не додмывайте.
                  • +1
                    Тот самый архив goo.gl/s8MQR
                    • НЛО прилетело и опубликовало эту надпись здесь
                      • 0
                        с торрентов качается
                        • 0
                          Кстати, пароли тупые аля qwerty, и их очень много.
                          • +2
                            У меня много подобных паролей. Поясняю почему. Бывает немало случаев, когда я ищу какую-то программу, а она находится только на каком-то сайте, где нужна рега. Но кроме этой программы, мне не нужно на этом сайте ничего. Т.о., вбиваем простой пароль, быстро подтверждаем регистрацию с помощью мыла с таким же дебильным паролем, скачиваем. Далее забываем и о сайте, и о мыле, потому что туда сыплется спам

                            Как Вам такой подход?
                            • 0
                              подход не очень.
                              я пользуюсь lastpass или подобным сабжем к каждому сайту 20+ рандомных символов.
                              мыло gmail, также для реги в gmail можно добавлять префиксы то есть если мыло habr@gmail.com можно получать письма и на mail.habr@gmail.com или любой вам понравившийся префикс.
                              • 0
                                А где эти префиксы прописывать надо? В настройках не нашел.
                                • +1
                                  вот, посмотрите ниже! мне кажется, вариант ниже еще лучше)

                                  а насчет префиксов забыл уже давно как-то, благодарствую))
                                • +5
                                  при чем я использую одноразовую почту на mailinator.com в таких случаях.
                                  регистрироваться на сайте не надо. просто вводишь имя ящика — и смотришь письма на нем. )
                                  • 0
                                    спасибо, запомню этот сайт))
                                    • –3
                                      спасибо, забаню этот сайт у себя.
                                    • +2
                                      на будущее
                                      bugmenot.com
                                      • 0
                                        Используй логин qweqwe и пароль qweqwe или qweqwe1. На многих сайтах такие юзеры уже есть
                                        • 0
                                          И что мне это даст?
                                          • 0
                                            Если такой юзер уже есть, не придется регистрироваться
                                            Если такого юзера нет, зарегистрируешь и следующему не придется регистрироваться
                                  • 0
                                    Только с Бухты. Остальные торренты живы.
                                    • 0
                                      Будет жить до последнего сида ;)
                                  • +3
                                    перефразируя Булгакова: «разруха не в сайтай, а в головах...»
                                    • 0
                                      «Gawker Media — гавкнем в медию ваши логины!»
                                      • +1
                                        «будет использовать такой „надежный“ пароль, как '24862486,'?»
                                        что же значат эти цифры?.. вес-рост-возраст не подходит… пошел думать =)
                                        • +1
                                          24 августа родился. А 86 непонятно. Может в этом году он этот пароль придумал =)
                                          • +1
                                            может 24 — 8(августа) — 64 года он родился? )
                                            • +1
                                              62го. ошибся
                                              • 0
                                                Не,
                                                он наверное 24862486-й в рейтинге хабралюдей
                                            • +1
                                              24 — это день рождения. 86 — ?
                                              • +35
                                                Гляньте на расположение клавиш с этими цифрами на numpad'e.
                                                • 0
                                                  Только цифры
                                                  • +21
                                                    2 4 8 16 32 64 128 256
                                                    • +6
                                                      да это просто два круга на нумпаде по часовой стрелке
                                                      • +2
                                                        во-первых 2486 повторяется 2 раза
                                                        во-вторых это ромб на нампаде, удобно набирать :)
                                                        • 0
                                                          «квадрат» по часовой стрелке на цифровой клавиатуре, два раза
                                                          • 0
                                                            крестик, кружочек или цветочек (не знаю, кому как нравится) на калькуляторе клавиатуры, 2 оборота по часовой стрелке
                                                            • 0
                                                              может, серийный номер его доски для сноуборда))
                                                              • +1
                                                                Комментарии не читай, а сразу отвечай!
                                                              • 0
                                                                Да ничего они не значат, просто набирать удобно — цифры по кругу.
                                                              • +3
                                                                наверное, просто заикается человек… поэтому два раза 2486 2486
                                                                • 0
                                                                  А запятая?
                                                                  • +2
                                                                    усложнил
                                                                    • 0
                                                                      Для секурности, «спецсимвол» же. Или как финальный аккорд идиотизма :)
                                                                      • +1
                                                                        тож на нумпаде)
                                                                        хотя там точка… но может быть на каких-то раскладках — это запятая
                                                                    • 0
                                                                      С одной стороны — хочется сказать спасибо хакерам за то, что они устраивают нам тут естественный отбор и тренируют систему безопасности. И хочется сказать, что авторы взломанного сервиса сами виноваты, что хранили всё в открытом виде и в легко доступном месте.
                                                                      Но я сам в своё время попадал в похожую ситуацию, когда из моего проекта увели данные с паролями ~32 000 пользователей. Хочу выразить сочувствие и понимаю, какая это ответственность и головная боль перед аудиторией сервиса, и насколько это бьет по репутации сервиса.

                                                                      Так что коллеги-стартаперы, ханите пароли за семью256-битными печатями и в хороших сундуках. Чем вы становитесь популярнее — тем чаще вас начинают пробовать на прочность.
                                                                      • +4
                                                                        Объясните мне пожалуйста вот на какой такой интересно случай хранить пароли пользователей в незашифрованном виде? В базе должен хранить только хэш и ни как иначе.
                                                                        • 0
                                                                          Теперь-то я с вами согласен :)
                                                                          «Военные лучше всего готовы к уже прошедшей войне»
                                                                          • 0
                                                                            Так там и так хеш был.
                                                                            DES
                                                                            56 бит
                                                                            Мой пароль (13 символов с верхним регистром и пробелами) в таком хеше, стянутый с /etc/passwd фрибсдшного сервера, ломали прямым перебором на средненьком сервере ещё в году этак 98-м. Две недели ломали, правда, но мощности с тех пор выросли несоизмеримо.

                                                                            Потому я и говорю, что использование DES хешей паролей в наше время — идиотизм категорический. И может иметь только одно разумное обоснование — владельцы ресурса и сами были не прочь получить доступ к паролям пользователей.
                                                                        • 0
                                                                          А у меня там логин через Facebook был, и моего пароля в базе данных просто нет.
                                                                          • 0
                                                                            На самом деле Анонимус пытается научить нас использовать OpenID
                                                                            • 0
                                                                              Не плохо, не плохо.
                                                                              • 0
                                                                                Лайфхакер старательно удаляет отрицательные отзывы о той фигне, которую рекламирует.
                                                                                Так что туда им и дорога.

                                                                                Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.