Επιπλέον της χθεσινής είδησης για την μετάδοση ευαίσθητων δεδομένων από το LinkedIn, σαν βόμβα σκάει η διαρροή από χάκερ ολόκληρης της βάσης δεδομένων των hashed κωδικών των χρηστών της. Η ίδια η εταιρεία επιβεβαιώνει (http://blog.linkedin.com/2012/06/06/linkedin-member-passwords-compromised/) ότι κάποιοι κωδικοί των χρηστών, εκλάπησαν.

Μερικοί χρήστες στο Twitter ισχυρίζονται ότι έχουν στα χέρια τους ένα αρχείο 256MB το οποίο περιέχει τα hashes των κωδικών των λογαριασμών του LinkedIn, οι οποίοι μάλιστα έχουν ήδη εντοπίσει τα δικά τους hashes μέσα σε αυτό. Πράγμα που επιβεβαιώνει την γνησιότητά του γιατί τα hashes είναι μία σειρά από αριθμούς και χαρακτήρες, οι οποίοι παράγονται από τον ίδιο τον κωδικό με έναν ειδικό αλγόριθμο και είναι μοναδικοί.

Το πρόβλημα γίνεται εξαιρετικά μεγάλο λόγω του ότι το LinkedIn δεν προσθέτει το λεγόμενο "salt" στους κωδικούς προτού τους κάνει hash, καθιστώντας το "σπάσιμο" τους εξαιρετικά εύκολο.

Η LinkedIn στην ανακοίνωσή της (http://blog.linkedin.com/2012/06/06/linkedin-member-passwords-compromised/) αναφέρει πως όσοι κωδικοί λογαριασμών έχουν κλαπεί, θα ενημερωθούν οι χρήστες τους κατά την επόμενή τους είσοδο. Επίσης η εταιρεία αναφέρει ότι πρόσφατα έχουν αρχίσει και χρησιμοποιούν την τεχνική του "salt" για τους κωδικούς.

Το αρχείο με τα unsalted hashes έχει ήδη δημοσιευθεί υποτίθεται σε κάποιο ρώσικο site και συνεπώς θα υπάρχει πλέον στα χέρια πάρα πολλών κακόβουλων. Για το λόγο αυτό, όσοι είναι χρήστες του LinkedIn θα πρέπει άμεσα να αλλάξουν τους κωδικούς τους, άσχετα εάν ο λογαριασμός τους εκλάπησε ή όχι.

Επίσης ο Chris Shiflett (http://shiflett.org) έχει φτιάξει ένα website, το http://www.leakedin.org όπου μπορεί κανείς βάζοντας τον κωδικό του να δοκιμάσει εάν ο κωδικός του υπάρχει ή όχι μέσα στο αρχείο που έχει κλαπεί. Περισσότερες πληροφορίες μπορείτε να βρείτε στο blog post του (http://shiflett.org/blog/2012/jun/leakedin).

Πηγή: Techspot (http://www.techspot.com/news/48905-linkedin-password-database-leaked-company-confirms-intrusion.html)

unsalted hashes? Στην σημερινη εποχή; Σε sites επιπέδου linkedin? Mε εκατομμυρια μέλη;
TRAGICK

:vava: :vava:

Έψαξα στο αρχείο το δικό μου hash και δε το βρήκα.

unsalted hashes? Στην σημερινη εποχή; Σε sites επιπέδου linkedin? Mε εκατομμυρια μέλη;
TRAGICK

:vava: :vava:

E, και μόνο το salt δεν αρκεί. Ένα pass sha1 δεν είναι κατάλληλος τρόπος αποθήκευσης κωδικών....

Εμένα είχε ήδη κλαπεί!

Πραγματικά αστείο. Εμένα μου έβγαλε secure το password αλλά το αλλάζω καλού/κακού.

E, και μόνο το salt δεν αρκεί. Ένα pass sha1 δεν είναι κατάλληλος τρόπος αποθήκευσης κωδικών....

Aνεβαζει εκθετικα την πολυπλοκοτητα ωστοσο.
Δεν δικαιολογειτε unshalted hash.-

Kαλά εγώ τον άλλαξα καλού κακού..

Ούτε εμένα έγινε leaked απ ότι λέει (σε αντίθεση με το 123456 που δοκίμασα τυχαία) αλλά το άλλαξα χτες για καλό και για κακό!

Είναι ασφαλες αυτό το site για δοκιμή.

αλαξτε τα password καλου κακου...

Ξέρω εγώ ένα καλό password, όποιος θέλει μπορώ να του το πω.

:p

Kάτι ήξερα και έσβησα τον λογαριασμό μου στο Linkedin προχθές! Αλλά ακόμα μου έρχονται ενημερώσεις στο μέιλ μου! :down:
Κάτι πρέπει να κάνω γι'αυτό!

Είναι ασφαλες αυτό το site για δοκιμή.

ποιός ξέρει...:hmm:
τον αλλάζεις χωρίς δοκιμή και εχεις πιθανότητες να μην τον εχει σκεφτει κάποιος άλλος...

Δεν έχει κλαπεί ούτε το δικό μου αλλά θα το αλλάξω καλού κακού.

Απαράδεκτοι! Υπάρχουν χιλιάδες κόσμος που πληρώνει στο συγκεκριμένο site..δηλαδή αν εγώ είχα το ίδιο pass με κάποιον άλλον θα είχαμε και το ίδιο hash string!!

Πως ξέρετε αν έχει κλαπεί ή όχι; Το άλλαξα, αλλά έχω το ίδιο και σε άλλες δυο υπηρεσίες (όχι email ή αγορών).

δεν το ξέρουμε, δεν το δοκίμασα αλλά δεν το ρισκάρω...

δεν το ξέρουμε, δεν το δοκίμασα αλλά δεν το ρισκάρω...

Αναφερόμουν στο παρακάτω:


Δεν έχει κλαπεί ούτε το δικό μου αλλά θα το αλλάξω καλού κακού.

Το άλλαξα, αλλά βαριέμαι να αλλάζω και στα άλλα, πριν μια εβδομάδα τα άλλαξα ρε γμτ.

Πως ξέρετε αν έχει κλαπεί ή όχι; Το άλλαξα, αλλά έχω το ίδιο και σε άλλες δυο υπηρεσίες (όχι email ή αγορών).

Από εδώ:



Επίσης ο Chris Shiflett (http://shiflett.org) έχει φτιάξει ένα website, το http://www.leakedin.org όπου μπορεί κανείς βάζοντας τον κωδικό του να δοκιμάσει εάν ο κωδικός του υπάρχει ή όχι μέσα στο αρχείο που έχει κλαπεί. Περισσότερες πληροφορίες μπορείτε να βρείτε στο blog post του (http://shiflett.org/blog/2012/jun/leakedin).

Εγώ το (παλιό) δικό μου το δοκίμασα στο παραπάνω site αφού το άλλαξα (αρνητικό αποτέλεσμα).

Δεν μου το έβγαλε ως κλεμμένο, οπότε το αλλάζω μόνο στο Linkedin, γιατί βαριόμουν απίστευτα να το αλλάζω σε 5 σαϊτ.

χαχαχαχαχαα τι λες τώρα.... πριν λίγο καιρό διέγραψα τον λογαριασμό

Επίσης ο Chris Shiflett (http://shiflett.org) έχει φτιάξει ένα website, το http://www.leakedin.org όπου μπορεί κανείς βάζοντας τον κωδικό του να δοκιμάσει εάν ο κωδικός του υπάρχει ή όχι μέσα στο αρχείο που έχει κλαπεί. Περισσότερες πληροφορίες μπορείτε να βρείτε στο blog post του (http://shiflett.org/blog/2012/jun/leakedin).


Ωραίος τρόπος για να μαζέψεις κωδικούς πανικόβλητων χρηστών...

Δεν μου κάνει για τέτοιο.

Kάτι ήξερα

Εγώ λέω μάλλον ότι αυτό ήταν τυχαίο... :p


unsalted hashes? Στην σημερινη εποχή; Σε sites επιπέδου linkedin? Mε εκατομμυρια μέλη;
TRAGICK
:vava: :vava:

Άσχετα από το λάθος του linkedin με τα unsalted hashes... Πόσο εύκολο είναι να βρεις το password από ένα hash string? Εκτός και αν μιλάς για brute force σε συνδυασμό με dictionary/database attack στην οποία και πάλι ένα strong password είναι πολύ ανθεκτικό.

Μάλλον την γλίτωσα. Εντύπωση μου έκανε το πρωί που έλαβα ένα πολύ ύποπτο email με ακριβώς τα χαρακτηριστικά του linkedin με αλλαγμένο μόνο ένα λινκ που παρέπεμπε σε μία σελίδα newhealthmeds.com

Άσχετο μάλλον με τα passwords.

ΜΗΝ δοκιμάζετε το password σας σε site τρίτων.

Το πρόβλημα είναι πως τα hashes πρέπει να σπάσουν, αυτό είναι δύσκολο με τη σημερινή επεξεργαστική ισχύ αλλά όταν πάτε εσείς και δοκιμάζετε το password σας, σπάτε μόνοι σας το hash σας και αποκαλύπτετε στον ιδιοκτήτη του site το password σας.
Στη προκειμένη (στο link της είδησης) φαίνεται να είναι ασφαλές αλλά γενικά να το αποφεύγετε.

Επίσης δεν πρέπει να αλλάξετε password μόνο στο LinkedIn αλλά και σε όποιο άλλο site έχετε το ίδιο password.

ΥΓ. Σκέφτονται να συνεργαστούν αρκετοί χρήστες (τύπου SETI@HOME) ώστε να σπάσουν τα hashes μια ώρα αρχύτερα μια και έγινε το ίδιο χθες και με ένα μεγάλο dating site (e-harmony).

Επίσης ο Chris Shiflett έχει φτιάξει ένα website, το http://www.leakedin.org όπου μπορεί κανείς βάζοντας τον κωδικό του να δοκιμάσει εάν ο κωδικός του υπάρχει ή όχι μέσα στο αρχείο που έχει κλαπεί. Περισσότερες πληροφορίες μπορείτε να βρείτε στο blog post του.

πολύ κακή τακτική. με πρόλαβε ο mraccess από πάνω. Καλύτερα αλλάξτε κωδικό ούτως ή άλλως, παρά να τον δίνετε έτσι χύμα. Ή ακόμα καλύτερο θα ήτνα να διατεθεί ελεύθερα το αρχείο με τα hashes και οδηγίες στο πώς να ελέγξει ο καθένας για το δικό σου.

εμένα το leakedin.org μου είπε ότι το password μου είχε κλαπεί και είχε δίκιο, γιατί όταν έκανα login στο linkedin μου βγήκε μήνυμα για να κάνω reset.

Kαι μενα μου έβγαλε ότι έχει χακαριστεί, το θέμα είναι ότι δε θυμάμαι σε ποια άλλα site μπορει να χρησιμοποιώ το ίδιο. :(

Αν σώνεις τα password στον μπραουζερ, μπορείς να δεις τι passwords χρησιμοποιείς ανά σαϊτ.

Χρησιμοποιώ την αποθήκευση κωδικών, αλλά στον οπερα δε μπορείς να δεις το pass όπως στον firefox π.χ., μόνο το username.

εγω το άλλαξα καλου κακου.
Αλλαξε τα password εκει που θεωρεις οτι εχει νοημα πχ mail, κοινωνική δικτυωση, κλπ

Όπως λέει και ο φίλος πιο πάνω, βάζοντας τον κωδικό σας στο παραπάνω site, δίνετε τη δυνατότητα σε αυτόν που το έφτιαξε να αποκτήσει και τον πραγματικό κωδικό αφού έχοντας μόνο το hash δεν μπορεί να τον ξέρει. Έτσι όμως μπορεί να τον επιβεβαιώσει.
Άρα μη το χρησιμοποιείτε καν, απλά αλλάξτε κωδικό στο site.

Το συγκεκριμένο site είναι ασφαλές μιας και πραγματοποιεί SHA1 on the client side μέσω Javascript και αποστέλλει στον server μόνο το hash. Θεωρητικά, θα μπορούσε φυσικά να κρατήσει ο τύπος τα hash και να προσπαθήσει αργότερα να τα σπάσει.

καλα το ειχα υποψιαστει το συγκεκριμενο..και δεν!

Θα μπορούσε, αλλά δεν μου κάνει για τέτοιο σαϊτ.

Το συγκεκριμένο site είναι ασφαλές μιας και πραγματοποιεί SHA1 on the client side μέσω Javascript και αποστέλλει στον server μόνο το hash. Θεωρητικά, θα μπορούσε φυσικά να κρατήσει ο τύπος τα hash και να προσπαθήσει αργότερα να τα σπάσει.Μα τα έχει ήδη τα hash! Έτσι κάνει τη σύγκριση και σου λέει αν είσαι στη λίστα (ήμουν :()

δείχνει να είναι αξιόπιστος:
http://shop.oreilly.com/product/9780596006563.do#tab_04
Chris Shiflett

Chris Shiflett, an internationally recognized expert in the field of PHP security, is the founder and President of Brain Bulb, a PHP consultancy. Chris has been developing web applications with PHP for several years and regularly speaks at OSCON, ApacheCon, and PHP users conferences in North America. He is the author of the HTTP Developer's Handbook (Sams) and writes frequently about web application security. As an open source advocate, he maintains several open source projects and is a member of the PHP development team.

View Chris Shiflett's full profile page (http://www.oreillynet.com/pub/au/1373).

Πέραν από τη σοβαρότητα του θέματος για το linkedin το οποίο υποτίθεται πως έχει κάποιο κύρος, δείτε λίγο τι pass δοκίμασα έτσι για πλάκα και υπήρχαν:

papaki, souvlaki, tzatziki, ma...kas, pap.....ras (τα 2 τελευταια δείχνουν μεγάλη αυτοεκτίμηση :))

Πάντως εμένα μου φαίνεται επικίνδυνο αυτο το site για να δοκιμάσω τον κωδικό μου... καλύτερα να τον αλλάξω προληπτικά παρά να τον ελέγξω εκεί.

Πέραν από τη σοβαρότητα του θέματος για το linkedin το οποίο υποτίθεται πως έχει κάποιο κύρος, δείτε λίγο τι pass δοκίμασα έτσι για πλάκα και υπήρχαν:

papaki, souvlaki, tzatziki, ma...kas, pap.....ras (τα 2 τελευταια δείχνουν μεγάλη αυτοεκτίμηση :))



χαχαχα, τα σπασαν οι κωδικοί αυτοί :D

Αναφερόμουν στο παρακάτω:



Το άλλαξα, αλλά βαριέμαι να αλλάζω και στα άλλα, πριν μια εβδομάδα τα άλλαξα ρε γμτ.

εχεις δικιο όλοι βαριόμαστε αλλα θυμάμαι στα εργαστήρια υπολογιστών πριν πολλα χρονια μας υποχρεώναν να αλλαζουμε κωδικο γιατι απλα μετα τη συνδεση μας για 2ωρο εληγε ο κωδικος χρηστη.
προφανως και το εκαναν για ασφαλεια,φοβαμαι οτι εχουμε επαναπαυθει,συν το γεγονος οτι εχουμε πολλους λογαριασμους δυσκολευομαστε να θυμομαστε πολλα και διαφορετικα passwords με αποτελεσμα να γινομαστε πιο ευαλωτοι...:hmm:

Πάντως εμένα μου φαίνεται επικίνδυνο αυτο το site για να δοκιμάσω τον κωδικό μου... καλύτερα να τον αλλάξω προληπτικά παρά να τον ελέγξω εκεί.Ο prepageo έγραψε γιατί τεχνικά δεν είναι επικίνδυνο (όποιος κι αν είναι ο δημιουργός του).

Ο prepageo έγραψε γιατί τεχνικά δεν είναι επικίνδυνο (όποιος κι αν είναι ο δημιουργός του).

Το έλεγξα και εγώ προσωπικά τον κώδικα που έχει πριν το δημοσιεύσω και είναι ασφαλής. Δεν στέλνεις τον κωδικό παρά μόνο το hash σου για να το ελέγξει.

Το site δεν έχει SSL και ενώ το script για hashing είναι όντως καθαρό, το ίδιο site σερβίρει και js για έναν tracker. Προσωπικά δεν θα το εμπιστευόμουν, ούτε θα το πρότεινα σε κανένα... Πέρα από το αν εμπιστεύομαι τον άνθρωπο που το έστησε και των κώδικα (που μπορώ να δω) είναι εξαιρετικά κακή πρακτική να βάζουμε τον κωδικό μας οπουδήποτε εκτός από το site που προορίζεται (άσχετα αν το linkedin ξέχασε όλες τις καλές πρακτικές των τελευταίων 40 χρόνων για το ζήτημα ...).

Aνακοίνωση της LinkedIn (http://blog.linkedin.com/2012/06/07/taking-steps-to-protect-our-members/)

πολύ σωστοί οι κανόνες που δυστυχως οι περισσότεροι δεν ακολουθούμε...




1. Make sure you update your password on LinkedIn (and any site that you visit on the Web) at least once every few months.
2. Do not use the same password for multiple sites or accounts.
3. Create a strong password for your account, one that includes letters, numbers, and other characters.
4. Watch out for phishing emails and spam emails requesting personal or sensitive information.

Είναι αστείο...
Και να φανταστεί κανείς ότι υποτίθεται ότι απευθύνεται σε σοβαρούς και υπεθυνους χρήστες, μιας και δημιουργήθηκε για σοβαρό σκοπό όπως είναι η εύρεση εργασίας και ανταλλαγή καινοτόμων ιδεών.
Τελικά η ίδια η εταιρεία φαίνεται να αντιμετώπιζε τους χρήστες της χειρότερα κι από παιδάκια που ανταλάσσουν χαζομυνήματα με smiles...

:rolleyes:

http://queue.acm.org/detail.cfm?id=2254400