Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Oficjalne forum Wiedźmina zhackowane – wyciekło prawie 2 000 000 haseł
Troy Hunt rozwijający serwis haveibeenpwned poinformował dzisiaj o wykradzeniu danych prawie 1,9 miliona kont z forum CD Projekt RED, co czyni ten wyciek jednym z większych w branży gier.
Baza została już zaimportowana do havieibeenpwned, więc można ją odpytywać o swoje konto.
Sami zainteresowani również dzisiaj potwierdzili że potencjalny wyciek, okazał się realnym. Trochę podejrzanie brzmi tylko zapewnienie o bezpieczeństwie solonego … MD5 w którym ponoć były przechowywane hasła:
It is our understanding that the obsolete forum database contained usernames, email addresses and salted MD5 passwords (MD5 is an encryption algorithm we used to encrypt your data). This means your old passwords were secured and not directly accessible by anyone.
Wyciek datuje się na marzec 2016 a w bazie znajdują się m.in. loginy/hasła (Troy pisze o solonym SHA1, ale CD Projekt Red przyznaje się do MD5…):
info – haveibeenpwned
Zainteresowanych tematyką odsyłam też do naszego kompendium bezpieczeństwa haseł.
–ms
Podobno w bazie która krąży nie ma prawdziwych haseł (Ten co wyciekł bazę, podmienił hashe na fałszywe, co nie zmienia faktu, że ktoś je posiada). Dlatego HIBP pisze, że SHA1, a CDP, że MD5.
Zawsze mnie to zastanawia. Dlaczego poważne serwisy dalej używają MD5 ? Jaki to karwa kawka problem z pomocą chociażby bcrypt to robić ? Nawet ja w projekcie firmowym do użytku tylko i wyłącznie wewnętrznego używam bcrypt do hashowania. Czekam na jakies sugestie. Może po prostu chodzi o wydajność ?
tu pewnie używali gotowca do forum, i nikt się nie palił do sprawdzenia co tam pod spodem się dzieje…