To nie reklama z Onetu, ale opis przestępczego procederu handlowania skradzionymi loginami / hasłami. Ironicznym jest fakt, analizę umożliwiło użycie przez sprzedawcę tego samego loginu i hasła, co w innym darkwebowym serwisie, który został „złamany”. Jak widać i w „ukrytych” serwisach dba się o kolory i marketing: …jest też i myślenie o…
Czytaj dalej »
Ostatnio udostępniono publicznie około 1.4 miliarda par: login / hasło – źródłem jest tutaj spora grupa wycieków z ostatnich lat. Obecnie również całkiem publicznie do pobrania są hasła (w plaintext, bez skojarzonego e-mail) z tego zagregowanego wycieku. Samych haseł jest około miliarda, a unikalnych jest prawie 400 000 000. Swoją drogą,…
Czytaj dalej »
Nowego hashcata (4.0.0) ogłoszono tutaj. Największą zmianą jest możliwość łamania długich haseł (aż do 256 znaków), również takich uzupełnionych o długie sole. Sama ta, pozornie drobna rzecz, zabrała kilka miesięcy pracy. Przyspieszono też działanie narzędzia (w szczególności jeśli chodzi o łamanie WPA/WPA2), usprawniono również działanie na komputerach Apple-a i załatano masę…
Czytaj dalej »
Chodzi o zaszyfrowane wolumeny dyskowe Apple File Systems, stworzone przy pomocy standardowego narzędzia Disk Utility. Sam Apple na swoich stronach pisze tak: macOS High Sierra shows your password instead of the password hint for an encrypted APFS volume. Całość na filmie poniżej. Błąd został błyskawicznie załatany przez Apple, choć użytkownicy muszą…
Czytaj dalej »
Mamy nową funkcję w znanym serwisie Troy Hunta – haveibeenpwned. Tym razem Troy udostępnia nam możliwość sprawdzenia online czy dane hasło znajduje się na liście tych skompromitowanych (obecnie mamy w bazie około 320 milionów unikalnych rekordów). Czy jest to rozsądne? Mamy mieszane uczucia (wymaga to podania hasła do sprawdzenia, które…
Czytaj dalej »
Wersja 1.0 mega słownika jak w tytule. Niektórzy marudzą, że zdarzają się duplikaty haseł. W wersji 2.0 na pewno będzie lepiej ;-) –ms
Czytaj dalej »
Joomla! nie ma ostatnio szczęścia, tym razem załatano błąd o wysokiej krytyczności. Podatność występująca aż od wersji 1.6.0 (kilka dobrych lat) umożliwia na zmianę haseł użytkowników czy ich przynależność do grup (!): Incorrect use of unfiltered data stored to the session on a form validation failure allows for existing user accounts…
Czytaj dalej »
Dokładna instrukcja zakupu konkretnego sprzętu, konfiguracji krok po kroku, pomiarów temperatury i benchmarków (wykorzystanie hashcata). Na deser manual do całości, czyli książka: Hash Crack. –ms
Czytaj dalej »
Wg. szefa security Facebooka, używanie tych samych haseł w wielu serwisach to jeden z największych problemów: The reuse of passwords is the No. 1 cause of harm on the internet Facebook w swojej strategii bezpieczeństwa kupuje więc bazy haseł a następnie porównuje je ze swoimi hashami (co oczywiście wcale nie…
Czytaj dalej »
Kiedyś pisaliśmy o sztuczce z osadzaniem w dokumentach MS Office zdalnego zasobu (np. obrazka) – mogło to służyć do wskazania adresu IP osoby, która taki plik otworzyła. Teraz udostępniono narzędzie Phishery, które umożliwia osadzenie w podanym przez nas dokumencie Worda, adresu URL wymagającego podania hasła (zasób taki hostowany jest na naszym…
Czytaj dalej »
Był już LinedIN, był MySpace – teraz ten sam sprzedający wystawił bazę 200 milionów kont z Yahoo (e-mail / hash MD5(1) / data urodzenia). Baza jest prawdopodobnie z okolic 2012 roku, a tym razem cena to 3 BTC, a Yahoo tak komentuje całą sprawę: We are committed to protecting the security…
Czytaj dalej »
Liczne serwisy publikują informację o dostępnej publicznie bazie z wycieku z MySpace. Całość to przeszło 16 GB danych, choć chwilę trzeba poczekać z dostępem do całości – obecnie strona gdzie linkowana jest baza przestała działać (co nie dziwi…). Baza jest zaszyfrowana, ale cytowany wyżej TheCthulhu publikuje hasło na Twitterze: –ms
Czytaj dalej »
Troy Hunt pisze o kolejnym wycieku danych użytkowników – tym razem chodzi o serwis tumbl i 65 milionów rekordów. Co ciekawe jest to wyciek z 2013 roku, który czekał w potencjalnym ukryciu. To już kolejny w ostatnich dniach pakiet wrażliwych danych (po wycieku z LinkedIN – 167 milionów i MySpace…
Czytaj dalej »
Całość okazała się niezmiernie prosta, wystarczyło znać adres e-mail lub nr telefonu podpięty pod konto ofiary: The only condition would have been for the attacker to know the telephone number or email address associated with the target’s account. Do resetu hasła na Facebooku wystarczy podanie 6 znakowego PINu (wysyłanego na…
Czytaj dalej »
Krótki ale treściwy poradnik z przykładami kodu w Java /C# / PHP / Python / Ruby / Node.js. Zainteresowanych tematyką odsyłam też do naszego kompendium bezpieczeństwa haseł. –ms
Czytaj dalej »