The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Взлом Kickstarter привёл к утечке данных пользователей"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Взлом Kickstarter привёл к утечке данных пользователей"  +/
Сообщение от opennews (ok) on 16-Фев-14, 20:41 
Объявлено (https://www.kickstarter.com/blog/important-kickstarter-secur...) о взломе Kickstarter (https://www.kickstarter.com/), крупнейшей платформы для коллективного сбора средств. В результате атаки злоумышленники смогли получить доступ к некоторым данным пользователей сервиса. В частности, среди попавших в чужие руки данных отмечаются хэши паролей, адреса электронной почты, почтовые адреса и номера телефонов. Утечки параметров кредитных карт не произошло. Для хэширования паролей старых аккаунтов использовался SHA-1, для новых - bcrypt.


В связи с инцидентом, всем пользователям сервиса рекомендуется срочно поменять пароль доступа. В случае использования одного пароля на нескольких сайтах желательно поменять аналогичный пароль и на других ресурсах. Подробности о методах, при помощи которых было совершено проникновение, не сообщаются, но указано, что имевшиеся проблемы уже устранены и ведётся работа по усилению безопасности инфраструктуры.


URL: https://www.kickstarter.com/blog/important-kickstarter-secur...
Новость: http://www.opennet.me/opennews/art.shtml?num=39100

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Взлом Kickstarter привёл к утечке данных пользователей"  +/
Сообщение от A.Stahl (ok) on 16-Фев-14, 20:41 
>Утечки параметров кредитных карт не произошло.

Я от безопасности далёк, но здравый смысл подсказывает, что такое утверждение можно делать только в том случае если метод взлома известен.
Если известно как взломали, то почему я не вижу этой информации?
Есть несколько вариантов:
1) Неизвестно как взломали. Следовательно неизвестно и ЧТО взломали.
2) Как взломали известно, но нам не говорят ибо дырка не закрыта.
3) Утечка всплыла и умолчать возможности не было.

Ни одного хорошего варианта для администрации кикстартера я не вижу.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Взлом Kickstarter привёл к утечке данных пользователей"  +4 +/
Сообщение от Онаним on 16-Фев-14, 20:44 
Здравый смысл подсказывает, что номера кредитных карт не хранятся на серверах Кикстартера.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

4. "Взлом Kickstarter привёл к утечке данных пользователей"  –11 +/
Сообщение от Ыефрд on 16-Фев-14, 20:48 
А здравый смысл не подсказал им, что взлом не привёл к повышению радиоактивности рядом с Фукусимой и обвалу монгольского тугрика?
Почему не перечислили ВСЁ, к чему не привёл взлом?:)
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

8. "Взлом Kickstarter привёл к утечке данных пользователей"  +5 +/
Сообщение от Аноним (??) on 16-Фев-14, 23:45 
Потому что для пользователей эти являния никак не связаны.
А вот номера карт и ресурс, на котором проходила оплата связаны.
И пользователей надо успокоить.
Улавливаешь?
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

5. "Взлом Kickstarter привёл к утечке данных пользователей"  +1 +/
Сообщение от SirZ email(ok) on 16-Фев-14, 21:27 
Да с картами тут всё очень просто, если вы хотя бы раз использовали кикстартер. Все финансовые транзакции проходят через Amazon Payments. Так что за деньги можно не переживать.

Но от этого не стало лучше, т.к. в кикстертере хранится тьма других личных данных (телефоны, адреса, ФИО).

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

16. "Взлом Kickstarter привёл к утечке данных пользователей"  +/
Сообщение от Аноним (??) on 17-Фев-14, 09:08 
Нет, не все. Для некоторых проектов кикстартер сам спрашивает реквизиты карты.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

18. "Взлом Kickstarter привёл к утечке данных пользователей"  +/
Сообщение от vn971 (ok) on 17-Фев-14, 13:01 
Не совсем:

> For pledges to projects outside of the US, we store the last four digits and expiration dates for credit cards. None of this data was in any way accessed.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

14. "Взлом Kickstarter привёл к утечке данных пользователей"  +/
Сообщение от Аноним (??) on 17-Фев-14, 03:18 
> Я от безопасности далёк, но здравый смысл подсказывает, что такое утверждение можно
> делать только в том случае если метод взлома известен.

Или если известно что данные не хранились на сайте. Сложно спереть то чего нет...

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

15. "Взлом Kickstarter привёл к утечке данных пользователей"  +/
Сообщение от VoDA (ok) on 17-Фев-14, 08:45 
Единственный вариант для однозначного ответа, что "Утечки параметров кредитных карт не произошло" - это тот факт, что на взломанных серверах эти самые кредитки НЕ ХРАНИЛИСЬ!

И это самый нормальный вариант для администрации кикстартера ;)

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

2. "Взлом Kickstarter привёл к утечке данных пользователей"  +/
Сообщение от Аноним (??) on 16-Фев-14, 20:43 
Главное, чтобы было посолено...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "Взлом Kickstarter привёл к утечке данных пользователей"  +/
Сообщение от x0r (??) on 17-Фев-14, 00:35 
Главное кому и для чего? Не стесняйтесь, развивайте мысль!
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

19. "Взлом Kickstarter привёл к утечке данных пользователей"  +/
Сообщение от vn971 (ok) on 17-Фев-14, 13:09 
Потенциально, разработчикам кикстартера.
*вспоминает про вариацию аутизма когда человек всегда ставит вещи на свои места и поправляет их*
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

6. "Взлом Kickstarter привёл к утечке данных пользователей"  –3 +/
Сообщение от arisu (ok) on 16-Фев-14, 21:35 
небось снова очередной придурок-недоадмин на винде кейлогер поймал.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

10. "Взлом Kickstarter привёл к утечке данных пользователей"  +/
Сообщение от Аноним (??) on 17-Фев-14, 01:05 
Тебе везде винда мерещится...
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

13. "Взлом Kickstarter привёл к утечке данных пользователей"  +3 +/
Сообщение от Аноним (??) on 17-Фев-14, 03:14 
> Тебе везде винда мерещится...

Учитывая как на винде относятся к безопасности софта и шаред библ, вполне логичная точка зрения.

Нашли допустим дыру в libpng, используемой 100500 программ.
В нормальных системах: приезжает апдейт 1 либы. Все программы юзающую либу автоматически починеныю.

В винде: юзер буеет с зоопарка апдейтеров всех мастей. Уровень реакции авторов варьируется от "всем пофиг" до "уже пофиксили". Куча апдейтеров имеет мозг юзверю. Но половина софта все-равно остается не починена. В половине либа вообще намертво влинкована в бинарь статично. Поэтому юзеж системы начинает напоминать минное поле: никогда не знаешь где PNG с эксплойтом все-таки долбанет либу и таки выполнит вражеский код, который с удовольствием скачает пару троянов, поставит руткит и чего там еще полезного, так что потом еще и не заметишь гадость вплоть до момента когда слишком поздно рыпаться.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

28. "Взлом Kickstarter привёл к утечке данных пользователей"  +/
Сообщение от Аноним (??) on 19-Фев-14, 01:26 
>[оверквотинг удален]
> починеныю.
> В винде: юзер буеет с зоопарка апдейтеров всех мастей. Уровень реакции авторов
> варьируется от "всем пофиг" до "уже пофиксили". Куча апдейтеров имеет мозг
> юзверю. Но половина софта все-равно остается не починена. В половине либа
> вообще намертво влинкована в бинарь статично. Поэтому юзеж системы начинает напоминать
> минное поле: никогда не знаешь где PNG с эксплойтом все-таки долбанет
> либу и таки выполнит вражеский код, который с удовольствием скачает пару
> троянов, поставит руткит и чего там еще полезного, так что потом
> еще и не заметишь гадость вплоть до момента когда слишком поздно
> рыпаться.

Справедливости ради, использование в Linux (или, что реже, но всё-таки тоже бывает, в других Unix-like ОС) всяких пропиетарных поделок, типа "драйверов NVIDIA" и прочих Опер, приводит к тому же самому. Так что дело не столько в конкретной ОС, сколько в целом в подходе.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

11. "Взлом Kickstarter привёл к утечке данных пользователей"  +/
Сообщение от Аноним (??) on 17-Фев-14, 02:06 
> Для хэширования паролей старых аккаунтов использовался SHA-1, для новых - bcrypt.

А пора бы уже scrypt или catena...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "Взлом Kickstarter привёл к утечке данных пользователей"  +/
Сообщение от Perain on 17-Фев-14, 02:50 
Пруф http://i.stack.imgur.com/9G6DT.png
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

17. "Взлом Kickstarter привёл к утечке данных пользователей"  +/
Сообщение от Ффф on 17-Фев-14, 12:25 
используйте 40-значные пароли)
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

20. "Взлом Kickstarter привёл к утечке данных пользователей"  +/
Сообщение от Аноним (??) on 17-Фев-14, 13:45 
Говорить вслух свою систему построения пароля - уже не секьюрно. Но мне интересно, в какую ценовую область попадет такая схема: имясайта.произвольные13букв . С одной стороны, это не меньше чем произвольные 13 букв, т.е. уже не плохо. С другой стороны, количество букв обычно больше 25.

Ответ, наверное, в том, что по сложности это как примерно 16 букв. Но всё же любопытно (16 потому что есть атака через склейки популярных слов).

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

23. "Взлом Kickstarter привёл к утечке данных пользователей"  +3 +/
Сообщение от arisu (ok) on 17-Фев-14, 17:36 
> Говорить вслух свою систему построения пароля - уже не секьюрно.

security by obscurity на практике обозначает ровно одно: «мы настолько криворукие макаки, что нам стыдно рассказать, как и что сделано.»

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

24. "Взлом Kickstarter привёл к утечке данных пользователей"  +/
Сообщение от arisu (ok) on 17-Фев-14, 17:37 
(ехидно) это и «системы построения паролей» касается, да.
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

27. "Взлом Kickstarter привёл к утечке данных пользователей"  +/
Сообщение от Аноним (??) on 18-Фев-14, 07:52 
> используйте 40-значные пароли)

Да что там, войну и мир сразу. Правда, вы печатать задолбаетесь, а атакующий ее из клипборда копипастой воткнет.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

21. "Взлом Kickstarter привёл к утечке данных пользователей"  +/
Сообщение от Аноним (??) on 17-Фев-14, 14:16 
В этой таблице "40-char text" - это осмысленный текст на английском, а "10 chars" - это 10 случайных символов (латинские буквы, знаки препинания, цифры). Поэтому там получается, что "40-char text" дешевле взломать, чем "10 chars".

Соус: http://www.tarsnap.com/scrypt/scrypt-slides.pdf

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

30. "Взлом Kickstarter привёл к утечке данных пользователей"  +/
Сообщение от Аноним (??) on 19-Фев-14, 09:18 
Catena на данный момент выглядит получше. Там время счета не зависит от cache hit/miss, что не позволяет производить атаки по замеру времени выполнения.
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

29. "Взлом Kickstarter привёл к утечке данных пользователей"  +/
Сообщение от Аноним (??) on 19-Фев-14, 02:04 
а чего SHA-1, кстати ?
понабиознее ничего не было ? :/
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру