Hasła z Filmweb.pl w rękach hakerów

Hasła z Filmweb.pl w rękach hakerów

Hasła z Filmweb.pl w rękach hakerów
Źródło zdjęć: © heise-online.pl
24.08.2010 12:29, aktualizacja: 24.08.2010 14:52

Kilka dni temu doszło do włamania na stronę Filmweb.pl, w ręce hakerów dostała się prawdopodobnie cała baza danych, zawierająca między innymi loginy, hasła i emaile 700 tysięcy użytkowników serwisu

Pomimo, że hasła w bazie danych były przechowywane w formie tak zwanego hash'u, przy użyciu odpowiednich metod można poznać każde z nich. Hash to pewien "skrót" do hasła, przedstawiany za pomocą ciągu znaków. W wypadku Filmweb.pl hasła były hashowane metodą MD5. Dla przykładu hasło "password", w bazie danych ma postać "5f4dcc3b5aa765d61d8327deb882cf99".

Obraz
© (fot. Filmweb.pl)

Taki, wydawać by się mogło losowy ciąg znaków, wygląda na trudny do odwrócenia. Nic bardziej mylnego. Jeżeli hasło jest proste i jest nim na przykład wyraz ze słownika, istnieją bazy danych zawierające wszystkie takie "skróty". W wypadku bardziej skomplikowanych haseł, można użyć tak zwanych "tęczowych tablic". Są to połączenia haseł i ich skrótów- tak zwane łańcuchy. Skracają one wielokrotnie czas potrzebny do odgadnięcia hasła.

Zabezpieczeniem przed "tęczowymi tablicami" jest tak zwane "solenie hasła". Polega ono na dodaniu przed hasłem, kilku znaków, nie zabezpieczy to przed ręcznymi próbami odgadnięcia hasła, ale praktycznie uniemożliwi złamanie przez specjalistyczne programy, przystosowane do hurtowego łamania haseł.

Niestety w przypadku Filmweb.pl, nie stosowano "solenia". Administratorzy serwisu opisali całą sytuację na forum i proszą o jak najszybsze zmiany haseł przez wybranych użytkowników. Może to oznaczać, że nie wyciekła cała baza danych, tylko jej część, na przykład z przed zmiany wyglądu serwisu, która nastąpiła w marcu tego roku. Niestety większość specjalistycznych serwisów podaje informację o wycieku kompletnej bazy, z danymi wszystkich użytkowników Filmwebu.

Administratorzy strony wysłali również do swoich użytkowników emaile z prośbą o zmianę hasła. Niestety wyglądają one jak- próba phishingu, czyli wyłudzenia hasła przez oszustów. Nie wiadomo, kto dokonał włamania na serwery, ani jaki był tego motyw. Obecnie analizowana jest cała sytuacja, a skradziona baza danych "krąży" w tym czasie po internecie.

Należy pamiętać, aby nie używać takich samych haseł w różnych serwisach. Pomocne może być narzędzie OpenID, oferujące łatwe i bezpieczne logowanie do wielu serwisów. Wirtualna Polska jest pierwszym portalem w Polsce oferującym loginy OpenID.

Komentarz Filmweb.pl nadesłany do naszej redakcji:

_ "Potwierdzamy, że nie jest to kompletna baza. Nasza kompletna baza jest znana tylko nam, więc w tym przypadku opinie specjalistycznych serwisów są jedynie sugestią, nieopartą na rzetelnej wiedzy. Baza, która znalazła się w sieci, nie jest aktualna: pochodzi z końca 200. roku. Nie miało miejsca jakiekolwiek przełamanie systemów informatycznych lub włamanie do portalu. Wszystko wskazuje na to, że dokonano kradzieży. Zarząd Omnigence, właściciel Filmwebu, przygotowuje zawiadomienie o możliwości popełnienia przestępstwa. Podkreślamy, że obecne zabezpieczenia Filmwebu nie zostały przełamane. Aktualnie hasła nowych użytkowników Filmwebu są solone, to znaczy szyfrowane w sposób bardzo utrudniający ich odczytanie osobom niepowołanym. Natychmiast zresetowaliśmy potencjalnie zagrożone hasła do wszystkich kont, które były na liście. Powiadomiliśmy użytkowników o tym fakcie zalecając niezwłocznie zmianę hasła. Poza tym współpracujemy prewencyjnie z największymi dostawcami kont pocztowych, w zakresie wykluczenia
ewentualnej możliwości nieautoryzowanego dostępu do kont pocztowych ich użytkowników." _

Zobacz recenzje najnowszych filmów w serwisie film.wp.pl

Oceń jakość naszego artykułuTwoja opinia pozwala nam tworzyć lepsze treści.
Wybrane dla Ciebie
Komentarze (17)