Wpadka wykop.pl
Data: Wrzesień 5, 2009
Wykop zaliczył “małą” wpadkę. Włamano się na ich serwer i skradziono CAŁĄ bazę kont z loginami i hasłami, nie wspominając już o adresach email. Szlag by to trafił bo na wykopie podałem swój głowny adres email, więc jeśli i Wy tak postąpiliście to spodziewajcie się niezłej ilości spamu w najbliższym czasie :/ Jak podaje blog wykopu hasła były zahashowane ale jak już kiedyś wspominałem są szybkie metody łamania takich metod. Mam nadzieję, że tym razem organa ścigania wykażą się lotnością umysłów i szybko namierzą sprawców, zanim Ci zdążą zrobić użytek ze skradzionych plików.
Eeee…tam :) nie ma co rozdmuchiwać tej sprawy. To tylko wykop, a nie baza klientów banku :P
Ale Wy macie problemy z tym podawaniem (niepodawaniem) adresu email ;) Ja od samego początku podaję wszędzie swój główny email i ze spamem nie mam najmniejszych problemów. Filtry Gmaila wyszkoliły się już na tyle, że przepuszczają maksymalnie 2, 3 wiadomości tygodniowo.
@Łukasz: Tutaj nie chodzi o spam tylko o to, że większość osób używa tego samego hasła do konta mailowego oraz w innych serwisach. Czyli jeśli ktoś taką bazę dorwał w jednym miejscu to ma dostęp do wszystkich pozostałych.
@Autor wpisu: Po pierwsze, ta informacja jest nie prawdziwa. :) Autor wpisu na wykopie przyznał się, że był to jego kolejny eksperyment socjologiczny… Po drugie, żaden szanujący się serwis nie przechowuje haseł które można odczytać! Jedyne co się przechowuje to hasze SHA-1. Użytkownik podaje swoje hasło a specjalny algorytm przerabia to na hasz który następnie jest porównywany z tym zapisanym w bazie. Zresztą na wikipedii powinno to być opisane i nie należy zapominać, ze jest to IT-TECH blog… ;)
“Autor wpisu na wykopie” … ale jakiego wpisu? Jaki znowu eksperyment? ;)
Przecież piszą że włamanie miało miejsce, toż to z ich oficjalnego bloga wziąłem :)
@Paweł
Informacja o tym, ze wyciek był nieprawdziwy była nieprawdziwa, była żartem. Zatem wyciek jest prawdziwy.
Co do hashy, wykop hashował, lecz nie solił. Część hashy daje się złamać.
@Paweł: co by się zbytnio nie rozpisywać: http://www.wykop.pl/blog/post/55
@Paweł: Autorowi wpisu chodziło chyba raczej o spam ;) A używanie tego samego hasła we wszystkich serwisach jest trochę nieodpowiedzialne. Jak ktoś dba o własne dane, to wszędzie podaje unikalne hasła.
A jezeli chodzi o sam fakt kradzieży danych, to jest to jak najbardziej prawda. Oficjalne stanowisko adminów Wykopu jest tutaj: http://www.wykop.pl/blog/post/55
I każdy hash jest do złamania ;) Wystarczy trochę zabawy z brutal-force i po krzyku.
Hehe, ciężka sprawa w sumie, baza zapewne ogromna. Jeszcze się nie doczekałem konta na wykopie na szczęście.
Nie nazywajcie włamaniem czegoś co nim nie jest – baza danych MySQL wykopu nie posiadała hasła roota.
@Kubofonista: Zdążyłem zauważyć, że ktoś sobie w kulki poleciał. :) Nie zdążyłem google readerem dotrzeć do rssa wykopu kiedy pisałem swój komentarz. :)
Trzeba być średnio rozgarniętym człowiekiem żeby w różnych serwisach ustawiać takie samo hasło jak do swojej skrzynki pocztowej…
[...] pisałem na IT Tech Blog o wpadce wykop.pl na skutek której złodzieje przechwycili wszystkie hasła i maile użytkowników tego serwisu. [...]