Pertama, "1,3 juta password" angka adalah sedikit keliru. Ada sekelompok file mengambang di sekitar situs torrent, salah satunya adalah, memang, sebuah "penuh" dump database nama pengguna, kata sandi terenkripsi, dan alamat e-mail. Berkas tersebut adalah 1.247.894 baris. Masalahnya, data mentah tidak normal sama sekali, dan sehingga sebenarnya ada hak sekitar setengah juta alamat e-mail, dan sesuatu yang dekat dengan nama pengguna ~ menyelesaikan 200k + password + e-mail kredensial alamat. Itu semua kata, data kebanyakan orang benar-benar melihat hari ini adalah 188.281 mandat yang kuat, yang daftar pra-retak kredensial didistribusikan dengan drop (satu pengecualian adalah orang di Duo Security, yang retak kata sandi terenkripsi DES-mandiri ).
Kedua, password tersebut, pada umumnya, tidak nilai yang sangat tinggi, yang pasti salah satu alasan mengapa mereka dibebaskan. Dalam yurisdiksi sangat modern seperti California dan Uni Eropa, kebocoran alamat e-mail jauh lebih serius. Kata sandi ini hanya tidak bahwa masalah besar, karena mereka digunakan oleh orang untuk mengomentari gosip selebriti, jadi ini jenis kredensial sekali pakai cukup umum untuk blog publik.
Hal ini mengingatkan saya pada sesuatu yang seorang sahabat pena-test pernah berkata - sementara "password" dan "123456" adalah token cukup umum di Internet - hanya melihat daftar SkullSecurity. Namun, Anda menemukan mereka jauh kurang pada intranet, karena administrator perusahaan Anda mungkin menegakkan semacam kompleksitas dan kebijakan rotasi. Untuk jaringan internal, Anda menemukan tanggal dan hari dalam seminggu jauh lebih sering sebagai password, karena sesuatu seperti "Desember-13-2010" memenuhi persyaratan kompleksitas yang paling dan sangat mudah untuk berputar pada jadwal.
Tentu saja, beberapa di antaranya (adalah) password legit yang akan (tidak) bekerja melawan Twitter, Facebook, dan account e-mail dengan username yang sama, tapi aku tidak akan mendapat penyakit apopleksia semua atas mereka. Yakinlah, dari password yang juga bekerja (bekerja) untuk alamat e-mail telah hampir pasti sudah dikompromikan. Dua ratus ribu kredensial tidak semua yang sulit untuk churn melalui bahkan dengan sumber daya kuliah-anak.
Akhirnya, dump password itu sendiri, sementara judul-grabbing, kurang menarik untuk respon insiden dan forensik komputer Dorks daripada petunjuk dalam file agunan untuk bagaimana penyerang mendapatkan akses di tempat pertama. Sepertinya ini adalah vektor PHP serangan cantik khas, dan, sebagai Egyp7 pernah mengatakan, "PHP adalah mesin virtual untuk shellcode." Jelas, beberapa tingkat audit sumber kode keamanan akan pergi jauh untuk membantu Gawker menghindari berita utama hari ini. Selain itu, ada cerita sekunder keseluruhan bahwa penyerang juga memperoleh akses ke sistem manajemen konten Gawker's (CMS). Ini adalah kesepakatan besar - seperti kebanyakan bisnis murni online, Gawker mengambil kerahasiaan kode mereka cukup serius.
Pada tingkat apapun, pembuangan publik password yang sebenarnya seperti ini selalu menarik dari perspektif penelitian - itu baik untuk memiliki kesempatan untuk check-in pada keadaan saat ini rekening sekali pakai. Sementara ini semua menyebalkan untuk Gawker, manfaat komunitas keamanan dari dataset besar-ish seperti ini, karena makalah mendapatkan tertulis dan ada diperbaharui mendorong untuk enkripsi password yang disimpan tepat dan skema otentikasi passwordless. Mudah-mudahan, postur keamanan secara keseluruhan dari Internet akhirnya membaik.
0 komentar:
Posting Komentar