GearBest

sábado, 12 de setembro de 2015

Proteção pobre.

O site Ashley Madison foi violado por um grupo de hackers chamado The Impact Team que roubou gigabytes de dados, incluindo nomes de login e senhas de mais de 30 milhões de usuários.

A análise inicial do despejo de dados mostrou que as senhas foram armazenadas numa base de dados depois de terem sido protegidas, utilizando um processo conhecido como hash que emprega o algoritmo bcrypt. A maneira como isso embaralha senhas faz com que seja difícil de realizar os chamados ataques de "força bruta" que tentam lotes de diferentes combinações de palavras e letras que demanda muita energia do computador. Como resultado, um ataque de força bruta nas senhas levaria anos.

No entanto, um grupo de quebra de senha amador chamado Cynosure Prime olhando através de um código também roubado de Ashley Madison percebeu que em algum momento o site mudou a forma como as senhas foram armazenadas. Esta arrancada a bcrypt protecção conferida a senhas.Em um blogpost, o grupo disse que tinha encontrado duas funções inseguras no código do site que significava que era "capaz de ganhar enormes aumentos de velocidade em rachar o bcrypt hash de senhas". Em vez de levar anos, os 11 milhões de senhas foram rompido em cerca de 11 dias.

Ao explorar estes passos vulneráveis ​​o grupo já conseguiu decifrar 11,2 milhões de senhas e está esperançosa de que pode rachar um total de mais de 15 milhões que foram mexidos com as funções inseguras. Os restantes das senhas a partir do site não são suscetíveis a este ataque, porque eles foram criptografados por código sem as funções inseguras. O grupo disse que não serão liberadas as senhas que tinha recuperado para "proteger os usuários finais".

Cynosure Prime disse que não tinha certeza exatamente por que os desenvolvedores de Ashley Madison tinha mudado a maneira que ele tratou com senhas que introduziram as funções inseguras. É especulado por site de notícias Ars Technica que o sistema hashing inseguro foi introduzido para garantir que os usuários podem efetuar login no site rapidamente.


Fonte: http://www.bbc.com/news/technology-34221863