Skocz do zawartości
Zaloguj się, aby obserwować  
Kotlin

FilmWeb.pl - wyciek 700 000 haseł i e-maili!

Polecane posty

Jak informuje Niebezpiecznik.pl "po sieci krąży 40MB plik zawierający loginy, e-maile i skróty haseł ponad 700 000 użytkowników Filmwebu."

 

Więcej możecie przeczytać na Niebezpiecznik.pl oraz Di.com.pl - znajdziecie tam także oficjalne oświadczenie od Filmwebu.

 

Linki do artykułów:

 

http://niebezpieczni...l-uzytkownikow/

 

http://di.com.pl/new...ytkownikow.html

 

 

Na stronie FilmWeb.pl pojawił się komunikat:

 

http://www.filmweb.pl/news/Wa%C5%BCny+komunikat+dotycz%C4%85cy+bezpiecze%C5%84stwa-64181

 

W internecie przez chwilę było można znaleźć bazę filmweb, lecz wszystkie linki do pobrania poznikały bardzo szybko. Ja znalazłem część 2 częściową i mam tylko część z mailami o dziwo.

Myślę że baza posłuży wielu spamerom za możliwy sposób zarobienia, więc takich osób tylko teraz szukać na allegro.pl

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Jak widać każde zabezpieczenie można złamać.. Swoją drogą to przykre że ktoś zamiast pójść z tym do samego filmweba i grzecznie pokazać gdzie tkwił błąd, woli upublicznić nie należące do niego dane.. Ot taka dziwna ludzka mentalność..

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
do samego filmweba i grzecznie pokazać gdzie tkwił błąd, woli upublicznić nie należące do niego dane.. Ot taka dziwna ludzka mentalność..

 

Nie. Nazwyczajniej chciwość. Wystarczy prześledzić, jak się zmienia sytuacja na rynku exploitów. Kiedyś na porządku dziennym było zgłaszanie błędów do producenta i rozdmuchanie dopiero po wypuszczeniu łatki.

 

Teraz jest to zwyczajnie nieopłacalne, bo na rynku "podziemnym" exploity i tego typu dane są w cenie.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Z tego co piszą na bezpieczniku to hasła były nie solone a co za tym idzie rozkodowanie ich nie będzie ogarniętej osobie sprawiać trudności.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

~Kotlin, nie bez powodu Google, czy Mozilla płacą kilka tysięcy za znalezienie buga w kodzie. Albo wyłożą kasę na stół, albo zaryzykują ujawnienie luki, której analiza zajmie bliżej nieokreślony czas - a póki nie wypuszczą łatki, póty ryzykują utratę reputacji i zrażenie użytkowników do produktu.

 

Z tego co piszą na bezpieczniku to hasła były nie solone

 

Czemu mnie to nie dziwi...? Po kilku ostatnich wpadkach z hasłami w większych polskich serwisach coś mało kto się na błędach uczy...

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość Kopaczka

Jak widać każde zabezpieczenie można złamać.. Swoją drogą to przykre że ktoś zamiast pójść z tym do samego filmweba i grzecznie pokazać gdzie tkwił błąd, woli upublicznić nie należące do niego dane.. Ot taka dziwna ludzka mentalność..

 

Ta jasne, ja już znam mądrych administratorów.

Większość to totalni idioci, myślą że im strona fajnie działa i nie sypie błędami to ich niema.

 

Dla niektórych blind sqli to nie błąd.

Większość ma to głęboko gdzieś. Szkoda nerwów i tej troski.

Niech sobie admin sam dba o security a jak nie jest jego pewien to niech sobie wynajmie audytora kodu i oprogramowania.

Z security zawszę są cyrki. Większość woli ładne i fikuśne niż proste i bezpieczne. W pierwszej kolejności robią wszystko żeby działało a nie było bezpieczne.

 

Hashe na filmwebie były kodowane chyba samym md5 czyli naprawdę super security ;)

 

Jako użytkownicy jakiś stron/forum itp możemy się przed tym zabezpieczyć długim hasłem alfanumerycznym zawierającym znaki specjalne wielkie i małe litery itp. Wtedy przy crackowaniu hashów z takiej bazy nasz hash może być w miarę bezpieczny. Jednak faktem jest, że administrator ma zapewnić bezpieczeństwo danych użytkownika.

 

Pozdrawiam

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

zbugowane są frameworki, których używają największe portale,

developerzy nie znają dobrze tych frameworków i coś tam próbują napisać, przychodzi osoba trochę bardziej zorientowana w temacie i przejmuje cały system.

gdyby każdy portal był pisany "od zera" sytuacje takie nie miałyby miejsca

 

robiłem ostatnio audyt w międzynarodowej korporacji z branży IT z polskim kapitałem ;)

 

audytowany system przechowywał hasła w postaci jawnej!!

 

także, strzeżcie się ;)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Jak widać każde zabezpieczenie można złamać.. Swoją drogą to przykre że ktoś zamiast pójść z tym do samego filmweba i grzecznie pokazać gdzie tkwił błąd, woli upublicznić nie należące do niego dane.. Ot taka dziwna ludzka mentalność..

 

Gdyby administratorzy nie straszyli prokuraturą i wtykami w mafii to pewnie by zgłaszali ;]

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
developerzy nie znają dobrze tych frameworków i coś tam próbują napisać, przychodzi osoba trochę

 

Jeśli framework jest dobrze napisany, to jego użytkownik (bo takowego bym programistą raczej nie nazwał ;)) nie musi się martwić o pierdoły w stylu SQLi, czy inne najpopularniejsze ataki.

 

gdyby każdy portal był pisany "od zera" sytuacje takie nie miałyby miejsca

 

No tak, tylko że pozostaje jeszcze druga strona medalu - w jakiś sposób trzeba zapewnić rozszerzalność serwisu bez konieczności każdorazowego jego przepisywania. ;) A im więcej kodu do ogarnięcia, tym większe prawdopodobieństwo pozostawienia w nim dziur.

 

Gdyby administratorzy nie straszyli prokuraturą i wtykami w mafii to pewnie by zgłaszali ;]

 

To też, ale wystarczyło zrobić porządny audyt. Tylko że taki kosztuje tyle, co dobry nowy samochód, więc sporo serwisów go olewa. ;)

 

audytowany system przechowywał hasła w postaci jawnej!!

 

Skąd wiesz, że audytowany? Patrz: wyżej.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Dla tych co chcą wiedzieć jak wygląda ta baza:

http://www.fototube....7326c558465.jpg

Użytkownik | prosty hash md5 | adres email.

Filmweb dał klapę z hasłami po całej linii, odkodowanie tych hasłem to nie jest długa robota, nawet te online encodery radzą sobie z wieloma z nich.

Jest to i głupota użytkowników którzy mają hasła typu: papamama, kochamcie, gronkowiec itd...

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Skąd wiesz, że audytowany? Patrz: wyżej.

 

bo musiałem przeprowdzić audyt tego systemu. Jakie było moje zdziwienie, gdy okazało się, że ten system jest całkowicie dziurawy, funkcjonuje już od 10 lat i hasła przechowywane są w postaci jawnej. Kto wie ile jest jeszcze takich systemów...

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość AceDude

Nie za bardzo rozumiem waszą niechęć do MD5. Posolone, sensowne(!) hasła są bezpieczne. Jak ktoś używa zwykłych słów - jego sprawa...

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Nie za bardzo rozumiem waszą niechęć do MD5. Posolone, sensowne(!) hasła są bezpieczne

 

Nie ma, nie było i nie będzie niczego bezpiecznego. Trzeba się z tym pogodzić. ;)

 

A czemu niechęć do MD5? Sprawa jest prosta - większe prawdopodobieństwo kolizji niż w przypadku np. Ripemd160, czy Sha512.

 

Kiedyś przypadkowo trafiłem na dwa różne ciągi o tej samej sumie, ale to może być zawodność mojej pamięci. [;

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się

Zaloguj się, aby obserwować  

×