neprihlásený Nedeľa, 22. októbra 2017, dnes má meniny Sergej   DonaskaKvetov.sk - donáška kvetov v SR a zahraničí Pošli kvety
Diskusiám Disqus použitým na mnohých weboch unikli dáta o užívateľoch

Značky: bezpečnosťweb

DSL.sk, 9.10.2017


Službe Disqus, ktorá poskytuje webom možnosť namiesto implementácie vlastných diskusií použiť diskusie od tejto služby, unikli dáta o miliónov koncových užívateľov.

Disqus je pritom použitá aj na viacerých slovenských weboch.

Služba na únik upozorňuje v tomto oznámení. Dozvedela sa o ňom, keď ju na existenciu takejto uniknutej databázy upozornil známy bezpečnostný expert Troy Hunt.

V databáze sú informácie o 17.5 miliónoch užívateľov od vzniku služby v 2007 do júla 2012. Databáza tak pochádza zrejme z tohto času.

V uniknutých informáciách majú byť emailová adresa užívateľa, jeho užívateľské meno v Disqus, dátum registrácie a dátum posledného prihlásenia zrejme do júla 2012. Pre približne tretinu užívateľov je v dátach aj hash hesla, vytvorená SHA-1 s tzv. saltovaním. Neskôr, na konci roku 2012, prešla služba namiesto SHA-1 na bcrypt.

Podľa oznámenia dáta zatiaľ neboli široko distribuované a služba podľa svojho tvrdenia nezaznamenala zneužitie prístupov na účty súvisiace s týmito uniknutými dátami. Preventívne všetkým účtom, pre ktoré sa v úniku nachádzali hashe hesiel, heslá resetla.

Ako každá iná metóda hashovania umožňuje použitá metóda útočníkom samozrejme individuálne hľadať heslá užívateľov a ľahké časté heslá umožňuje nájsť pomerne efektívne. Vďaka saltovaniu to ale nie je možné efektívne naraz hromadne.

Ak útočníci heslo užívateľa získajú, rizikom by bol nielen prístup na účet služby Disqus ale prípadné prístupy na iné služby, kde má užívateľ použité rovnaké heslo. Ak tak používatelia mali vytvorený účet na Disqus do roku 2012 a rovnaké heslo použili aj inde, odporúčané je im zmeniť si heslo aj na týchto iných službách.

Keďže služba sa o úniku dozvedela na základe dostupnosti tejto databázy, zatiaľ nie je jasné či už identifikovala spôsob úniku. A teda ani či vie potvrdiť, že viac dát ako je v tomto úniku zo služby neuniklo.


      Zdieľaj na Twitteri



Najnovšie články:

Ďalšie IT zlyhanie na MV, na webe sprístupňovalo citlivé dáta
Na Mesiaci je zrejme 50 km jaskyňa, môže byť vhodná na základňu
Cena Bitcoinu dosiahla 6 000 dolárov
V Česku začali voľby, pirátska strana má šancu na parlament
Vydané Ubuntu 17.10, s mnohými zásadnými zmenami
Už aj bezpečnostní experti vyzvali ohľadne eID ministerstvo na adekvátnu reakciu
Predaj SK-NIC-u bol odložený
Výskumníci prelomili aj reálny 2048-bitový kľúč aký je na eID. 24-krát
Microsoft si zgustol na Google, rozpitval zraniteľnosť v Chrome a upozornil na fatálne zlyhanie
Zo Samsung Galaxy plnohodnotný PC, oficiálne umožní beh linuxových distribúcií


Diskusia:
                               
 

1000 iteracii SHA512 + heslo cez hexdump + salt a som zvedavy ako dlho by im to trvalo. A ESTE!!! by som tie hesla v DB zasifroval verejnym PGP klucom a aplikacia by ich desifrovala sukromnym klucom ktory by bol ulozeny v HSM module!
Odpovedať Známka: -6.8 Hodnotiť:
 

ak by si solil hashom odtlacku svojho ftaka, tak by to desifrovala tvoja milenka
Odpovedať Známka: 6.8 Hodnotiť:
 

nesol hashom odtlacku andulky, inak by to mohla desifrovat upratovacka
Odpovedať Známka: 7.1 Hodnotiť:
 

Trolovia budú spaľovať.
Odpovedať Hodnotiť:
 


...unikli dáta o miliónov koncových užívateľov.

Odpovedať Hodnotiť:
 

Hmmm.... 10 000 zabudnutých identít zrazu ožije.
Odpovedať Hodnotiť:
 


Milý Pa3k.

Už ma naučili, že správne je "do tankov",
ale zároveň aj "o miliónoch".

Skús sa to naučiť aj Ty!

Tvoj Kapitáň.


Odpovedať Hodnotiť:
 

A preto žiadny profesionálny ITčkár nemá milenku.
Odpovedať Známka: 6.4 Hodnotiť:
 

... ku ktorej sa neda pripojit myska.
Odpovedať Známka: 5.7 Hodnotiť:
 

mozes tak pripojit externy tablet, trackpoint, trackpad ci rovno stareho serioveho siveho patkana, s kazdym zacnes zvlast tukat a vyberat prediktivne slova, toto vygooglis ako sifrovaci hash. das dalsiu rekurziu, gegel ti prelozi opat slova, z hashu a saltu dostane prisady ku tequile a budes za SPITAKA!
Odpovedať Známka: 2.0 Hodnotiť:
 

KAMO ty si sa prepol uz neviem kam... skus si veci pamatat svojim mozgom a ziadne shaprdcicoviny ti nebudu treba....
Odpovedať Hodnotiť:
 

Pri kazdom zadavani hesla do weboveho formulara treba este nasadit ciapku z alobalu, inak moze byt heslo telepaticky vysielane do priestoru a ProfesorX by ho vedel odpocut.

Implementacia "address space layout randomization" vo vlastnom mozgu je samozrejmostou.
Odpovedať Známka: 4.5 Hodnotiť:
 

ked nevies co je mozgovy ASLR tak chod dopice.sk/kkn
Odpovedať Hodnotiť:
 

najhorsi diskusny system aky som kedy videl...

sa cudujem ze to vobec pouzivaju, pomale, vyzaduje registraciu (naco preboha?) atd..
Odpovedať Známka: 4.6 Hodnotiť:
 

Lebo su lenivy. Proste vlozis modul a hotovo. Tipujem tiez ze je zadarmo, mozno dokonca plati za pouzivanie.
Odpovedať Známka: 4.4 Hodnotiť:
 

A co je este horsie. Rozsiruje sa to jak mor. Zbiera info a predava ho tretej strane aj bez pristupu do diskusie.
Odpovedať Známka: 5.3 Hodnotiť:
 

Alebo najlepší.
Je to určite lepšie než zásuvník Facebooku.


Ktorá dobrá besedná sústava nevyžaduje zápis?

(Ktorý dobrý diskusný systém nevyžaduje registráciu?)

Odpovedať Známka: 3.3 Hodnotiť:
 

dsl.sk ;)

Odpovedať Známka: 10.0 Hodnotiť:
 

Už je povolené nostalgicky spomínať na minulé desaťročie? Keď každý mal svoje phpbb fórum, ktoré dobre nezabezpečil a zas*ali mu ich ad boti. A tie marne snahy prechodu warez for na slušné fóra, ktoré skapali od nezáujmu. 2000s forever!
Odpovedať Známka: 7.5 Hodnotiť:
 

http://dopice.sk/dgc
Odpovedať Hodnotiť:
 

war4u. sk, lamky. net, hornywhores .net
Odpovedať Známka: 6.0 Hodnotiť:
 

Zlaté časy bez sociálnych sietí a mobilov bez foťáku. Som tak rád že som vyrastal koncom 90s.
Odpovedať Známka: 0.0 Hodnotiť:
 

Generacia od teba vyssie zase hovori: zlate casy bez pocitacov a stupidnychg PC hier, od nich starsia generacia zlate casy bez TV a sprostych filmov, od nich generacia zlate casy komunistov, dalsi zlate casy prvej republiky a dostaneme sa do praveku...

Doba sa meni, stari zabudaju, ze neboli ini od mladych, len doba bola ina a tak sa aj prisposobili aktualnej vlne.V globale je vsetko rovnake, len sprostost sa presuva.
Odpovedať Hodnotiť:
 

Kto ešte nepozná, skontrolujte sa na haveibeenpwned.com
Možno budete prekvapení.
Odpovedať Hodnotiť:

Pridať komentár