Wyciekło 100 milionów unikalnych e-maili. Do tego telefony, adresy, hasła w plaintext

Dawno nie słyszeliśmy o dużym wycieku. Oto on. Troy Hunt pisze o bazie serwisu Evite z 2013 roku, która zawierała sporo danych osobowych uzupełnionych hasłami użytkowników w zupełnie jawnej formie:

New breach: Invitations website Evite had 101M unique email addresses breached this year from a 2013 archive (most were invite recipients). Members also had names, phones, DoBs & plain text passwords exposed. 65% were already in @haveibeenpwned. Read more: https://t.co/yALSBbZxfS

— Have I Been Pwned (@haveibeenpwned) July 14, 2019

W “normalnej” sytuacji – tj. hasła przechowywane w bazie za pomocą stosownej funkcji jednokierunkowej – proste przypadki tak czy siak da się odzyskać (złamać). Prędkość zależy od algorytmu – np. w przypadku windowsowego hasha NTLM prędkość łamania może wynieść aż 100 miliardów prób na sekundę na jednym GPU; dla haseł z morele.net prędkość łamania na jednym GPU to już rząd wielkości kilku milionów prób na sekundę.

W opisywanym przypadku w oczywisty sposób można poznać teoretycznie niełamalne hasła, co daje dwa ciekawe efekty:

• relatywnie łatwy dostęp do kont w innych serwisach (atakujący mają zarówno email jak i hasło)
• poznanie potencjalnych nowych sposobów / reguł, na których opierają się ludzie tworząc swoje hasła

W jaki sposób bezpiecznie przechowywać hasła? TLDR: użyj bcrypt() lub pbkdf2(). Ale w sensowny sposób.

–ms