2010-12-15, 11:50
#25
Citat:
Jag är analfabet när det gäller datorsäkerhet, hashar, MD5 och allt vad det heter, men vad säger ni som är lite mer kunniga? Stämmer det personen ovan hävdar? Och hur skulle man cracka de hashar som kommit ut, med brute force eller?
Ja det stämmer (detta stod väl även i readme.txt som följde med torrenten?). Som vanligt så har de med bra lösenord klarat sig undan relativt smärtfritt. Hasharna kan crackas med bruteforce, dictionary attacks, rainbow tables m.m. av flertalet program som kan laddas ner lite här och var på internet.
Ursprungligen postat av of lot 49
Gawkers hantering av det här är ju så pinsam. Inte nog med att de har krypterat lösenorden så illa, och därmed satt sina användares säkerhet på spel, i hacket finns också IM-konversationer mellan Gawker-anställda som öppet konstaterar att de skiter i om några konton har hamnat på drift. De har skickat ut ett mejl till samtliga användare med en varning nu, men detta var först efter några dagar, och efter att en annan grupp (hint.io) på eget bevåg mejlade alla vars lösenord läckt ut och varnade.
Jag har kollat igenom torrenten nu, och det finns gott om både .gov-adresser och svenska användare, både i parsed_db.txt, som innehåller lösenord i klartext, och i full_db.log, som innehåller samtliga lösenord, men hashade.
En diskussion om hacket pågår också på XKCD:s forum, och enligt dessa ska inte hela lösenord ha läckt ut om ens lösenord var längre än åtta bokstäver:
Jag har kollat igenom torrenten nu, och det finns gott om både .gov-adresser och svenska användare, både i parsed_db.txt, som innehåller lösenord i klartext, och i full_db.log, som innehåller samtliga lösenord, men hashade.
En diskussion om hacket pågår också på XKCD:s forum, och enligt dessa ska inte hela lösenord ha läckt ut om ens lösenord var längre än åtta bokstäver:
Även om man inte kan få ut mer än lösenordets åtta första bokstäver är det ändå ganska integritetskränkande, man kan ju t.ex. via e-postadresserna, som lagrats i klartext, enkelt koppla samman en person med ett Gawker-konto. Byt bara ut username i länken här mot användarnamnet från torrenten . . .
http://gawker.com/people/username/
. . . så får man se alla kommentarer kopplade till en viss e-postadress. Det har redan gett en del intressanta resultat för mig - folk på stora skivbolag, reklambyråer, myndigheter och så vidare som skamlöst, och under alias, har pluggat sina egna verksamheter.
http://gawker.com/people/username/
. . . så får man se alla kommentarer kopplade till en viss e-postadress. Det har redan gett en del intressanta resultat för mig - folk på stora skivbolag, reklambyråer, myndigheter och så vidare som skamlöst, och under alias, har pluggat sina egna verksamheter.
