top
logo


Утечка базы пользователей eBay. SourceForge инициировал смену паролей PDF Печать E-mail
Автор: adm   
21.05.14 18:53

Интернет-аукцион eBay уведомил пользователей об утечке базы паролей и временно заблокировал возможность входа до выполнения процедуры смены пароля. Сообщается, что в результате атаки злоумышленники получили доступ к хэшам паролей пользователей и их персональным данным, таким как ФИО, email, дата рождения, номер телефона и адрес. Связанные с финансовыми операциями данные и параметры счетов в PayPal не пострадали, так как они размещены на отдельных изолированных серверах и хранятся в зашифрованном виде.

Проникновение было совершено приблизительно три месяца назад через аккаунты нескольких работников eBay, параметры доступа которых были перехвачены злоумышленниками. При помощи данных аккаунтов атакующие смогли проникнуть в корпоративную сеть eBay и получить доступ к некоторым серверам. Факт проникновения был обнаружен две недели назад. Сообщается, что eBay привлёк ведущих юристов и экспертов по безопасности для расследования инцидента и проведения модернизации, которая позволит предотвратить подобные атаки в будущем. В настоящее время уже точно известно к каким БД получили доступ атакующие. Пользователям, параметры которых могли попасть в руки атакующих, отправлены уведомления о необходимости смены пароля. Доказательств совершения неавторизированных действий с использованием параметров входа пользователей не найдено.

Почти сразу после заявления о взломе eBay, популярный хостинг открытых проектов SourceForge объявил о инициировании процесса смены паролей для всех пользователей. Поясняется, что смена паролей является следствием перехода на более надёжный метод хранения параметров доступа. При следующем входе на сайт пользователю будет предложено поменять свой пароль. Про какие-либо инциденты с безопасностью не сообщается. При этом непонятно, почему потребовалась обязательная смена паролей во время очередного входа, в то время как замену хэша пароля можно было организовать прозрачно для пользователя (базу хэшей нельзя преобразовать автоматически, но при входе в систему пользователь вводит пароль, который во время процедуры аутентификации виден системе в открытом виде, т.е. при успешном прохождении проверки можно было прозрачно сгенерировать и сохранить новый хэш).

  1. Главная ссылка к новости (http://blog.ebay.com/ebay-inc-ask-ebay-u...)
Тип: Проблемы безопасности
Ключевые слова: security, (найти похожие документы)
При перепечатке указание ссылки на opennet.ru обязательно
Реклама
id=adv>
  1.1, Аноним, 22:07, 21/05/2014 [ответить] [смотреть все] –1 +/
КО намекает, что, пока пользователь соберется зайти и сменить пароль, дабы прозр... весь текст скрыт [показать]
 
  2.2, Аноним, 22:11, 21/05/2014 [^] [ответить] [смотреть все] [показать ветку]  +7 +/
глупый ты к.о.
Оно и сейчас не мешает так сделать.
 
  3.18, Anonymus, 01:12, 22/05/2014 [^] [ответить] [смотреть все]  +2 +/
кажный анонимус мнит себя КО
 
2.3, Аноним, 22:13, 21/05/2014 [^] [ответить] [смотреть все] [показать ветку]  +/
В том то и суть, что SourceForge не блокировал аккаунты, но при попытке логина п... весь текст скрыт [показать] [показать ветку]
 
  3.5, Пиу, 22:40, 21/05/2014 [^] [ответить] [смотреть все]  –3 +/
тогда можно ломать старый хеш... весь текст скрыт [показать]
 
  4.8, Аноним, 23:03, 21/05/2014 [^] [ответить] [смотреть все]  +1 +/
Где взять старый хэш, если о взломе ничего не сказано Речь о том, чем новый хэ... весь текст скрыт [показать]
 
3.20, Anonym2, 01:37, 22/05/2014 [^] [ответить] [смотреть все]  –1 +/ >> КО намекает, что, пока пользователь соберется зайти и сменить пароль, дабы прозрачно
>> и без беспокойства "сделать саипись", HashCat на Tesla десять раз взломает
>> хэши и раздолбает аккаунт вдребезги.
> В том то и суть, что SourceForge не блокировал аккаунты, но при
> попытке логина предлагает сменить пароль. Зачем требовать ставить новый пароль, если
> можно обновить метод хранения хэша старого.

Капитану Очевидность следовало бы сказать, что требование сменить пороль (пороль, пороль...) - вероятно одна штатная команда в системе, а разработка нового метода - это необходимость разработки (а также, хе-хе, тестирования)...

 2.37, Аноним, 16:52, 22/05/2014 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  +/
А можно взять несколько стобаксовых радеонов и показать этим теслам где раки зим... весь текст скрыт [показать] [показать ветку]
 
1.4, sysstartd, 22:30, 21/05/2014 [ответить] [смотреть все]  +/ > SourceForge объявил о инициировании процесса смены паролей для всех пользователей.

ключевое слово для всех
дата публикации 21 мая

вчера как раз зарегился на SourceForge, то есть 20 мая, сейчас зашёл ради интереса, по идее должно быть:
> При следующем входе на сайт пользователю будет предложено поменять свой пароль.

пароль сменить не предлагает, значит не для всех

 
  2.19, Anonymus, 01:14, 22/05/2014 [^] [ответить] [смотреть все] [показать ветку]  +/
Мне прислали мыло, но я забил. Лет семь уже ничего там не делал, нефиг и продолжать.
 
  3.35, Аноним, 11:00, 22/05/2014 [^] [ответить] [смотреть все]     [к модератору]  +1 +/
О, так вы - пропавший автор GQView ... весь текст скрыт [показать]
 
2.34, sysstartd, 10:11, 22/05/2014 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  +/ хм, 22 мая ночью тоже пришло письмо, но как и раньше при входе на sourceforge так и не предлагает сменить пароль
 
1.9, IMHO, 23:09, 21/05/2014 [ответить] [смотреть все]  +/ срочно провести АТО
  1.10, Kodir, 23:39, 21/05/2014 [ответить] [смотреть все]  +/ FBI решило обновить анкеты? И тупее отмазы для eBay не придумало?
  1.12, Онанас, 00:33, 22/05/2014 [ответить] [смотреть все]  +1 +/ Вот что значит админить с Windows 8!
 
  2.16, Anonymus, 01:05, 22/05/2014 [^] [ответить] [смотреть все] [показать ветку]  –1 +/
однака тебя минусуют одмины с этой самой пиндовс 8
 
  3.38, Аноним, 16:53, 22/05/2014 [^] [ответить] [смотреть все]     [к модератору]  +/
Тем хуже для них, перепись ламеров на опеннете ... весь текст скрыт [показать]
 
2.23, Аноним, 06:21, 22/05/2014 [^] [ответить] [смотреть все] [показать ветку]  +/
Ты прав Нельзя админить из-под Windows Прешься от игр или разрабатываешь для W... весь текст скрыт [показать] [показать ветку]
 
  3.31, Аноним, 10:00, 22/05/2014 [^] [ответить] [смотреть все]     [к модератору]  –1 +/
Ну серьезно как админить Linux из под винды chef, puppet работает но нужно замо... весь текст скрыт [показать]
 
  4.40, Аноним, 16:56, 22/05/2014 [^] [ответить] [смотреть все]     [к модератору]  +/
Xepoво Честно-честно ... весь текст скрыт [показать]
 
1.15, Anonymus, 01:04, 22/05/2014 [ответить] [смотреть все]  –1 +/ во всём виноват, разумеется, сноуден
  1.21, Аноним, 02:34, 22/05/2014 [ответить] [смотреть все]  –2 +/
вот это нихрена себе ... весь текст скрыт [показать]
  1.22, arisu, 04:46, 22/05/2014 [ответить] [смотреть все]  –1 +/ когда уже они все перестанут заниматься фигнёй и сделают системы входа по криптоключам?

inb4: не надо вводить пароли чёрти-где «в гостях у друга в кафешечке». или генерируйте себе «выходные» ключи и берите на флэшине, подписывайте своим базовым ключом и ставьте ограниченый срок работы.

XXI-й век на дворе, а до сих пор пароли вводят, йопта.

 
  2.30, rob pike, 09:55, 22/05/2014 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  +2 +/
Как только кто-нибудь сделает это таким же удобным и ненапряжным для пользователей как ввод пароля "123pass" и убедит большинство пользователей что это сделанное даст пользователю намного больше душевного тепла.
 
1.24, Apple, 07:47, 22/05/2014 [ответить] [смотреть все]  –3 +/
Зашёл на eBay, не какого требования о смене пароля не увидел, вестимо не все пол... весь текст скрыт [показать]
  1.27, Классический Анонимус, 08:26, 22/05/2014 [ответить] [смотреть все]  –1 +/ Самое смешное, у меня paypal сегодня вдруг капчу начал спрашивать. Хотя, он якобы не постарадал. А вот там сколько интересных данных :((((( Причём, номер банковской карты так просто не сменишь, как пароль.

Снимайте бабло со своих карт, господа!

 
  2.28, жабабыдлокодер, 08:41, 22/05/2014 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  +1 +/
Умные люди для платежей через интернеты держат отдельную карту с отдельным счетом.
 
  3.32, Аноним, 10:03, 22/05/2014 [^] [ответить] [смотреть все]     [к модератору]  +/
и это правильно ... весь текст скрыт [показать]
 
3.41, Аноним, 17:06, 22/05/2014 [^] [ответить] [смотреть все]     [к модератору]  +/
Тем более что Qiwi Visa Virtual - заводится за 1 минуту А счет QIWI можно попол... весь текст скрыт [показать]
 2.42, Аноним, 17:08, 22/05/2014 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  +/ 
1.36, Аноним, 13:35, 22/05/2014 [ответить] [смотреть все]     [к модератору]  –2 +/
ребята используйте уже Git и github... весь текст скрыт [показать]
  1.43, Аноним, 18:16, 22/05/2014 [ответить] [смотреть все]     [к модератору]  +/
eBay странные, и ребята и верхушка, до невменяемости Столько глюков, грабелек и... весь текст скрыт [показать]
 
Ваш комментарий  

Read more http://www.opennet.ru/opennews/art.shtml?num=39832

 
Интересная статья? Поделись ей с другими:

bottom

 

Unreal Commander PfSense по русски Яндекс.Метрика