The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Утечка базы пользователей eBay. SourceForge инициировал смен..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Утечка базы пользователей eBay. SourceForge инициировал смен..."  +/
Сообщение от opennews (??) on 21-Май-14, 22:07 
Интернет-аукцион eBay уведомил (http://blog.ebay.com/ebay-inc-ask-ebay-users-change-passwords/) пользователей об утечке базы паролей и временно заблокировал возможность входа до выполнения процедуры смены пароля. Сообщается, что в результате атаки злоумышленники получили доступ к хэшам паролей пользователей и их персональным данным, таким как ФИО, email, дата рождения, номер телефона и адрес. Связанные с финансовыми операциями данные  и параметры счетов в PayPal  не пострадали, так как они размещены на отдельных изолированных  серверах и хранятся в зашифрованном виде.


Проникновение было совершено приблизительно три месяца назад через аккаунты нескольких работников eBay, параметры доступа которых были перехвачены злоумышленниками. При помощи данных аккаунтов атакующие смогли проникнуть в корпоративную сеть eBay и получить доступ к некоторым серверам. Факт проникновения был обнаружен две недели назад. Сообщается, что eBay привлёк ведущих юристов и экспертов по безопасности для расследования инцидента и проведения модернизации, которая позволит предотвратить подобные атаки в будущем. В настоящее время уже точно известно к каким БД получили доступ атакующие. Пользователям, параметры которых могли попасть в руки атакующих, отправлены уведомления о необходимости смены пароля. Доказательств совершения неавторизированных действий с использованием параметров входа пользователей не найдено.


Почти сразу после заявления о взломе eBay, популярный хостинг открытых проектов SourceForge объявил (http://sourceforge.net/blog/sourceforge-net-password-reset-r.../) о инициировании процесса смены паролей для всех пользователей. Поясняется, что смена паролей  является следствием перехода на более надёжный метод хранения параметров доступа. При следующем входе на сайт пользователю будет предложено поменять свой пароль.  Про какие-либо инциденты с безопасностью не сообщается. При этом непонятно, почему потребовалась обязательная смена паролей, в то время как замену хэша пароля можно было организовать прозрачно для пользователя (базу хэшей нельзя преобразовать автоматически, но при входе в систему пользователь вводит пароль, который во время процедуры аутентификации виден системе в открытом виде, т.е. при успешном прохождении проверки можно было прозрачно сгенерировать и сохранить новый хэш).

URL: http://blog.ebay.com/ebay-inc-ask-ebay-users-change-passwords/
Новость: https://www.opennet.ru/opennews/art.shtml?num=39832

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Утечка базы пользователей eBay. SourceForge инициировал смен..."  –3 +/
Сообщение от Аноним (??) on 21-Май-14, 22:07 
> При этом непонятно, почему потребовалась обязательная смена паролей, в то время >как замену хэша пароля можно было организовать прозрачно для пользователя (базу >хэшей нельзя преобразовать автоматически, но при входе в систему пользователь >вводит пароль, который во время процедуры аутентификации виден системе в открытом >виде, т.е. при успешном прохождении проверки можно было прозрачно сгенерировать и >сохранить новый хэш).

КО намекает, что, пока пользователь соберется зайти и сменить пароль, дабы прозрачно и без беспокойства "сделать саипись", HashCat на Tesla десять раз взломает хэши и раздолбает аккаунт вдребезги.

Всегда ваш, К.О.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Утечка базы пользователей eBay. SourceForge инициировал смен..."  +10 +/
Сообщение от Аноним (??) on 21-Май-14, 22:11 
глупый ты к.о.
Оно и сейчас не мешает так сделать.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

18. "Утечка базы пользователей eBay. SourceForge инициировал смен..."  +5 +/
Сообщение от Anonymus on 22-Май-14, 01:12 
кажный анонимус мнит себя КО
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

3. "Утечка базы пользователей eBay. SourceForge инициировал смен..."  +/
Сообщение от Аноним (??) on 21-Май-14, 22:13 
> КО намекает, что, пока пользователь соберется зайти и сменить пароль, дабы прозрачно
> и без беспокойства "сделать саипись", HashCat на Tesla десять раз взломает
> хэши и раздолбает аккаунт вдребезги.

В том то и суть, что SourceForge не блокировал аккаунты, но при попытке логина предлагает сменить пароль. Зачем требовать ставить новый пароль, если можно обновить метод хранения хэша старого.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

5. "Утечка базы пользователей eBay. SourceForge инициировал смен..."  –2 +/
Сообщение от Пиу (ok) on 21-Май-14, 22:40 
>Зачем требовать ставить новый пароль, если можно обновить метод хранения хэша старого

тогда можно ломать старый хеш

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

8. "Утечка базы пользователей eBay. SourceForge инициировал смен..."  +1 +/
Сообщение от Аноним (??) on 21-Май-14, 23:03 
>>Зачем требовать ставить новый пароль, если можно обновить метод хранения хэша старого
> тогда можно ломать старый хеш

Где взять старый хэш, если о взломе ничего не сказано ?
Речь о том, чем новый хэш на основе старого пароля хуже нового хэша на основе изменённого пароля ?

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

20. "Утечка базы пользователей eBay. SourceForge инициировал смен..."  –2 +/
Сообщение от Anonym2 on 22-Май-14, 01:37 
>> КО намекает, что, пока пользователь соберется зайти и сменить пароль, дабы прозрачно
>> и без беспокойства "сделать саипись", HashCat на Tesla десять раз взломает
>> хэши и раздолбает аккаунт вдребезги.
> В том то и суть, что SourceForge не блокировал аккаунты, но при
> попытке логина предлагает сменить пароль. Зачем требовать ставить новый пароль, если
> можно обновить метод хранения хэша старого.

Капитану Очевидность следовало бы сказать, что требование сменить пороль (пороль, пороль...) - вероятно одна штатная команда в системе, а разработка нового метода - это необходимость разработки (а также, хе-хе, тестирования)...

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

37. "Утечка базы пользователей eBay. SourceForge инициировал смен..."  +1 +/
Сообщение от Аноним (??) on 22-Май-14, 16:52 
> HashCat на Tesla десять раз взломает хэши и раздолбает аккаунт вдребезги.

А можно взять несколько стобаксовых радеонов и показать этим теслам где раки зимуют.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

4. "Утечка базы пользователей eBay. SourceForge инициировал смен..."  +/
Сообщение от sysstartd (ok) on 21-Май-14, 22:30 
> SourceForge объявил о инициировании процесса смены паролей для всех пользователей.

ключевое слово для всех
дата публикации 21 мая

вчера как раз зарегился на SourceForge, то есть 20 мая, сейчас зашёл ради интереса, по идее должно быть:
> При следующем входе на сайт пользователю будет предложено поменять свой пароль.

пароль сменить не предлагает, значит не для всех

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

19. "Утечка базы пользователей eBay. SourceForge инициировал смен..."  +/
Сообщение от Anonymus on 22-Май-14, 01:14 
Мне прислали мыло, но я забил. Лет семь уже ничего там не делал, нефиг и продолжать.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

35. "Утечка базы пользователей eBay. SourceForge инициировал смен..."  +1 +/
Сообщение от Аноним (??) on 22-Май-14, 11:00 
О, так вы - пропавший автор GQView?
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

34. "Утечка базы пользователей eBay. SourceForge инициировал смен..."  +/
Сообщение от sysstartd (ok) on 22-Май-14, 10:11 
хм, 22 мая ночью тоже пришло письмо, но как и раньше при входе на sourceforge так и не предлагает сменить пароль
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

9. "Утечка базы пользователей eBay. SourceForge инициировал смен..."  +/
Сообщение от IMHO on 21-Май-14, 23:09 
срочно провести АТО
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

10. "Утечка базы пользователей eBay. SourceForge инициировал смен..."  +/
Сообщение от Kodir (ok) on 21-Май-14, 23:39 
FBI решило обновить анкеты? И тупее отмазы для eBay не придумало?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "Утечка базы пользователей eBay. SourceForge инициировал смен..."  +2 +/
Сообщение от Онанас on 22-Май-14, 00:33 
Вот что значит админить с Windows 8!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

16. "Утечка базы пользователей eBay. SourceForge инициировал смен..."  –1 +/
Сообщение от Anonymus on 22-Май-14, 01:05 
однака тебя минусуют одмины с этой самой пиндовс 8
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

38. "Утечка базы пользователей eBay. SourceForge инициировал смен..."  +/
Сообщение от Аноним (??) on 22-Май-14, 16:53 
> однака тебя минусуют одмины с этой самой пиндовс 8

Тем хуже для них, перепись ламеров на опеннете :).

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

23. "Утечка базы пользователей eBay. SourceForge инициировал смен..."  +1 +/
Сообщение от Аноним (??) on 22-Май-14, 06:21 
Ты прав. Нельзя админить из-под Windows. Прешься от игр или разрабатываешь для Windows - держи вторую систему (лучше отдельный комп) под Linux для администрирования.
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

31. "Утечка базы пользователей eBay. SourceForge инициировал смен..."  –1 +/
Сообщение от Аноним (??) on 22-Май-14, 10:00 
Ну серьезно как админить Linux из под винды?
chef, puppet работает но нужно заморочить, ansible не пашет.
по ssh лазить неудобно.
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

40. "Утечка базы пользователей eBay. SourceForge инициировал смен..."  +/
Сообщение от Аноним (??) on 22-Май-14, 16:56 
> Ну серьезно как админить Linux из под винды?

Xepoво. Честно-честно.

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

15. "Утечка базы пользователей eBay. SourceForge инициировал смен..."  –2 +/
Сообщение от Anonymus on 22-Май-14, 01:04 
во всём виноват, разумеется, сноуден
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

21. "Утечка базы пользователей eBay. SourceForge инициировал смен..."  –2 +/
Сообщение от Аноним (??) on 22-Май-14, 02:34 
вот это нихрена себе!!!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

22. "Утечка базы пользователей eBay. SourceForge инициировал..."  –3 +/
Сообщение от arisu (ok) on 22-Май-14, 04:46 
когда уже они все перестанут заниматься фигнёй и сделают системы входа по криптоключам?

inb4: не надо вводить пароли чёрти-где «в гостях у друга в кафешечке». или генерируйте себе «выходные» ключи и берите на флэшине, подписывайте своим базовым ключом и ставьте ограниченый срок работы.

XXI-й век на дворе, а до сих пор пароли вводят, йопта.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

30. "Утечка базы пользователей eBay. SourceForge инициировал..."  +1 +/
Сообщение от rob pike on 22-Май-14, 09:55 
Как только кто-нибудь сделает это таким же удобным и ненапряжным для пользователей как ввод пароля "123pass" и убедит большинство пользователей что это сделанное даст пользователю намного больше душевного тепла.
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

24. "Утечка базы пользователей eBay. SourceForge инициировал смен..."  –4 +/
Сообщение от Apple on 22-Май-14, 07:47 
Зашёл на eBay, не какого требования о смене пароля не увидел, вестимо не все пользователи пострадали.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

33. "Утечка базы пользователей eBay. SourceForge инициировал смен..."  +/
Сообщение от Аноним (??) on 22-Май-14, 10:11 
> никакого
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

27. "Утечка базы пользователей eBay. SourceForge инициировал смен..."  –2 +/
Сообщение от Классический Анонимус on 22-Май-14, 08:26 
Самое смешное, у меня paypal сегодня вдруг капчу начал спрашивать. Хотя, он якобы не постарадал. А вот там сколько интересных данных :((((( Причём, номер банковской карты так просто не сменишь, как пароль.

Снимайте бабло со своих карт, господа!

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

28. "Утечка базы пользователей eBay. SourceForge инициировал смен..."  +1 +/
Сообщение от жабабыдлокодер (ok) on 22-Май-14, 08:41 
Умные люди для платежей через интернеты держат отдельную карту с отдельным счетом.
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

32. "Утечка базы пользователей eBay. SourceForge инициировал смен..."  +/
Сообщение от Аноним (??) on 22-Май-14, 10:03 
> Умные люди для платежей через интернеты держат отдельную карту с отдельным счетом.

и это правильно


Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

41. "Утечка базы пользователей eBay. SourceForge инициировал смен..."  –1 +/
Сообщение от Аноним (??) on 22-Май-14, 17:06 
> Умные люди для платежей через интернеты держат отдельную карту с отдельным счетом.

Тем более что Qiwi Visa Virtual - заводится за 1 минуту. А счет QIWI можно пополнить в ближайшем ларьке с автоматом оплаты. Очень удобная штука для покупки у всяких там китайцев и тому подобных. И грабить там нечего обычно - visa virtual можно пополнять буквально на 1 покупку и после этого там будет $0, а сама карта живет пару месяцев, так что ее угон в общем случае грозит только лулзами над теми кто будет пытаться ее разграбить :)

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

44. "Утечка базы пользователей eBay. SourceForge инициировал смен..."  +2 +/
Сообщение от umbr (ok) on 22-Май-14, 22:52 
на правах рекламы

//fixed

Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

47. "Утечка базы пользователей eBay. SourceForge инициировал смен..."  +/
Сообщение от rob pike on 24-Май-14, 04:09 
Вы забыли рассказать об отсутствии возможности отозвать платеж.
Для покупок у "всяких там китайцев" это очень неприятная особенность.
Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

42. "Утечка базы пользователей eBay. SourceForge инициировал смен..."  –1 +/
Сообщение от Аноним (??) on 22-Май-14, 17:08 
> Снимайте бабло со своих карт, господа!

Посмотрел на свой Visa Virtual, а там $0 и он через месяц истекает. Транжирьте наздоровье мои денежки, так и быть, для следующей покупки новую сгенерирую :)

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

36. "Утечка базы пользователей eBay. SourceForge инициировал смен..."  –3 +/
Сообщение от Аноним (??) on 22-Май-14, 13:35 
ребята используйте уже Git и github
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

39. "Утечка базы пользователей eBay. SourceForge инициировал смен..."  +/
Сообщение от Аноним (??) on 22-Май-14, 16:54 
> ребята используйте уже Git и github

FYI, эту скрипткидятину на руби крупно ломали уже несколько раз.

Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

43. "Утечка базы пользователей eBay. SourceForge инициировал смен..."  –1 +/
Сообщение от Аноним (??) on 22-Май-14, 18:16 
eBay странные, и ребята и верхушка, до невменяемости.
Столько глюков, грабелек и тупеньких решений в одном месте, да за рубежами необъятной, раньше казалось и быть не может. И потому новость следует читать как "у eBay увели ВСЁ".
Кстати, пароли совпадают и на других сайтах, .de , .co.uk

Мух они ловили долго - вот у меня месяца два тому в "недавно просмотренных товарах" были какие-то нелепые шмотки... то чужой кто-то шарился. А это кроме всего, что перчислено в новости из "украденного" и все данные о покупках и стоимости. Это натуральные big data -  аналитикам раздолье.

С eBay удивительно скорее то, что у них нашелся кто-то, кто увидел, что "что-то пошло не так" , видимо хакеры уже настолько привыкли у них резвиться, что перестали видеть берега.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

45. "Утечка базы пользователей eBay. SourceForge инициировал смен..."  +/
Сообщение от umbr (ok) on 22-Май-14, 22:56 
>>перестали видеть берега

Скорее всего они им сами сообщили, чтобы кто-нибудь другой не залез - негоже дверку открытой оставлять.

Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

46. "Утечка базы пользователей eBay. SourceForge инициировал смен..."  –1 +/
Сообщение от Portnov email on 23-Май-14, 23:30 
Когда пришло письмо от сорцефоржа, я подумал, что это очередной фишинг. Смотрю в заголовки письма — а там DKIM signature invalid. Догадайтесь, что я решил :)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

48. "Утечка базы пользователей eBay. SourceForge инициировал смен..."  +/
Сообщение от Аноним (??) on 29-Май-14, 18:53 
обьясняет, к примеру, как фэйковый раздел truecrypt там "образовался" с датой генерации, задним числом на 10 лет, назад, проставленным ;)
sf.net может не палиться, конечно, но очевидно, "кГовавая Американска гэбня"(или копрокорпорасты, не суть) таки-добрались до них, если не изначально оно было их проектом.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру