Объявлено (https://www.kickstarter.com/blog/important-kickstarter-secur...) о взломе Kickstarter (https://www.kickstarter.com/), крупнейшей платформы для коллективного сбора средств. В результате атаки злоумышленники смогли получить доступ к некоторым данным пользователей сервиса. В частности, среди попавших в чужие руки данных отмечаются хэши паролей, адреса электронной почты, почтовые адреса и номера телефонов. Утечки параметров кредитных карт не произошло. Для хэширования паролей старых аккаунтов использовался SHA-1, для новых - bcrypt.
В связи с инцидентом, всем пользователям сервиса рекомендуется срочно поменять пароль доступа. В случае использования одного пароля на нескольких сайтах желательно поменять аналогичный пароль и на других ресурсах. Подробности о методах, при помощи которых было совершено проникновение, не сообщаются, но указано, что имевшиеся проблемы уже устранены и ведётся работа по усилению безопасности инфраструктуры.
URL: https://www.kickstarter.com/blog/important-kickstarter-secur...
Новость: http://www.opennet.me/opennews/art.shtml?num=39100
>Утечки параметров кредитных карт не произошло.Я от безопасности далёк, но здравый смысл подсказывает, что такое утверждение можно делать только в том случае если метод взлома известен.
Если известно как взломали, то почему я не вижу этой информации?
Есть несколько вариантов:
1) Неизвестно как взломали. Следовательно неизвестно и ЧТО взломали.
2) Как взломали известно, но нам не говорят ибо дырка не закрыта.
3) Утечка всплыла и умолчать возможности не было.Ни одного хорошего варианта для администрации кикстартера я не вижу.
Здравый смысл подсказывает, что номера кредитных карт не хранятся на серверах Кикстартера.
А здравый смысл не подсказал им, что взлом не привёл к повышению радиоактивности рядом с Фукусимой и обвалу монгольского тугрика?
Почему не перечислили ВСЁ, к чему не привёл взлом?:)
Потому что для пользователей эти являния никак не связаны.
А вот номера карт и ресурс, на котором проходила оплата связаны.
И пользователей надо успокоить.
Улавливаешь?
Да с картами тут всё очень просто, если вы хотя бы раз использовали кикстартер. Все финансовые транзакции проходят через Amazon Payments. Так что за деньги можно не переживать.Но от этого не стало лучше, т.к. в кикстертере хранится тьма других личных данных (телефоны, адреса, ФИО).
Нет, не все. Для некоторых проектов кикстартер сам спрашивает реквизиты карты.
Не совсем:> For pledges to projects outside of the US, we store the last four digits and expiration dates for credit cards. None of this data was in any way accessed.
> Я от безопасности далёк, но здравый смысл подсказывает, что такое утверждение можно
> делать только в том случае если метод взлома известен.Или если известно что данные не хранились на сайте. Сложно спереть то чего нет...
Единственный вариант для однозначного ответа, что "Утечки параметров кредитных карт не произошло" - это тот факт, что на взломанных серверах эти самые кредитки НЕ ХРАНИЛИСЬ!И это самый нормальный вариант для администрации кикстартера ;)
Главное, чтобы было посолено...
Главное кому и для чего? Не стесняйтесь, развивайте мысль!
Потенциально, разработчикам кикстартера.
*вспоминает про вариацию аутизма когда человек всегда ставит вещи на свои места и поправляет их*
небось снова очередной придурок-недоадмин на винде кейлогер поймал.
Тебе везде винда мерещится...
> Тебе везде винда мерещится...Учитывая как на винде относятся к безопасности софта и шаред библ, вполне логичная точка зрения.
Нашли допустим дыру в libpng, используемой 100500 программ.
В нормальных системах: приезжает апдейт 1 либы. Все программы юзающую либу автоматически починеныю.В винде: юзер буеет с зоопарка апдейтеров всех мастей. Уровень реакции авторов варьируется от "всем пофиг" до "уже пофиксили". Куча апдейтеров имеет мозг юзверю. Но половина софта все-равно остается не починена. В половине либа вообще намертво влинкована в бинарь статично. Поэтому юзеж системы начинает напоминать минное поле: никогда не знаешь где PNG с эксплойтом все-таки долбанет либу и таки выполнит вражеский код, который с удовольствием скачает пару троянов, поставит руткит и чего там еще полезного, так что потом еще и не заметишь гадость вплоть до момента когда слишком поздно рыпаться.
>[оверквотинг удален]
> починеныю.
> В винде: юзер буеет с зоопарка апдейтеров всех мастей. Уровень реакции авторов
> варьируется от "всем пофиг" до "уже пофиксили". Куча апдейтеров имеет мозг
> юзверю. Но половина софта все-равно остается не починена. В половине либа
> вообще намертво влинкована в бинарь статично. Поэтому юзеж системы начинает напоминать
> минное поле: никогда не знаешь где PNG с эксплойтом все-таки долбанет
> либу и таки выполнит вражеский код, который с удовольствием скачает пару
> троянов, поставит руткит и чего там еще полезного, так что потом
> еще и не заметишь гадость вплоть до момента когда слишком поздно
> рыпаться.Справедливости ради, использование в Linux (или, что реже, но всё-таки тоже бывает, в других Unix-like ОС) всяких пропиетарных поделок, типа "драйверов NVIDIA" и прочих Опер, приводит к тому же самому. Так что дело не столько в конкретной ОС, сколько в целом в подходе.
> Для хэширования паролей старых аккаунтов использовался SHA-1, для новых - bcrypt.А пора бы уже scrypt или catena...
Пруф http://i.stack.imgur.com/9G6DT.png
используйте 40-значные пароли)
Говорить вслух свою систему построения пароля - уже не секьюрно. Но мне интересно, в какую ценовую область попадет такая схема: имясайта.произвольные13букв . С одной стороны, это не меньше чем произвольные 13 букв, т.е. уже не плохо. С другой стороны, количество букв обычно больше 25.Ответ, наверное, в том, что по сложности это как примерно 16 букв. Но всё же любопытно (16 потому что есть атака через склейки популярных слов).
> Говорить вслух свою систему построения пароля - уже не секьюрно.security by obscurity на практике обозначает ровно одно: «мы настолько криворукие макаки, что нам стыдно рассказать, как и что сделано.»
(ехидно) это и «системы построения паролей» касается, да.
> используйте 40-значные пароли)Да что там, войну и мир сразу. Правда, вы печатать задолбаетесь, а атакующий ее из клипборда копипастой воткнет.
В этой таблице "40-char text" - это осмысленный текст на английском, а "10 chars" - это 10 случайных символов (латинские буквы, знаки препинания, цифры). Поэтому там получается, что "40-char text" дешевле взломать, чем "10 chars".
Catena на данный момент выглядит получше. Там время счета не зависит от cache hit/miss, что не позволяет производить атаки по замеру времени выполнения.
а чего SHA-1, кстати ?
понабиознее ничего не было ? :/