Árpád
-3 °C
4 °C
Index - In English In English Eng

Kétezer magyar jelszó szivárgott ki egy kisvállalkozás rendszeréből

2016.07.27. 07:12
Magyar jelszavak is keringenek a neten: ha nem is nagy kaliberű és friss hekkelésről van szó, azt azért megmutatják, hogy a felhasználók gyenge jelszavakat használnak, de a kisebb cégek sem teszik oda magukat a biztonságért. Ráadásul az elmúlt hónapok hekkelései mind arra mutattak rá, hogy ilyen adatbázisokból tovább lehet építkezni.

Bár az elmúlt hónapok hekkelései alapján úgy tűnhet, hogy ma már csak a milliós felhasználói táborral rendelkező oldalakra vadásznak a hekkerek, a valóság inkább az, hogy mindenki lő mindenre, amit ér, ráadásul elég sokan is vannak.

A nagy oldalaknál ez előkészítést, személyre szabást jelent, viszont a kisebb, rosszul karbantartott oldalak sokkal könnyebb célpontok: sokszor hekkelni is tömegesen lehet őket, előre megírt programokkal, emberi beavatkozás nélkül. De ha ezt nem is, legalább azt tömegesen képesek felmérni a hekkerek, hogy hol vannak sérülékeny rendszerek.

Valószínűleg egy ilyen támadás áldozata lett egy magyar vállalkozás, az osz-car.hu autóalkatrészeket árusító webáruház is is:

kétezer ügyfelének adatai kerültek fel a netre, emailcímek és gyengén titkosított jelszavak.
 
 
 

A hangsúly a gyengén van: egyrészt valakik hozzáfértek az adatbázishoz, az internetre feltöltött adatok szerint még 2016 áprilisában, másrészt a jelszavak kódolva voltak ugyan, de mindenféle plusz nélkül csak az MD5 algoritmust alkalmazták, ami kitalálásakor nagyon biztonságosnak számított, ma már viszont egyszerűen kevés. Ezért használják az informatikusok ma már az úgynevezett sózást is: a kódolt jelszavakat egyedi azonosítóval még egyszer átkódolják, ha bőven nem is lehetetlen, így már jóval tovább tart visszafejteni a jelszavakat.

Mindehhez még hozzájön, hogy az adatbázisban lévő jelszavak néhány szúrópróbaszerű visszafejtés alapján nagyon gyengék voltak, pillanatok alatt kidobta őket több, kifejezetten erre szakosodott oldal is: néhány betűből álló, szótári szavakat és számsorokat is találtunk, ezek nagyon könnyű célpontnak számítanak.

6a992d5529f459a44fee58c733255e86

Ugyanis, bár az MD5 kódolás elvileg nem visszafejthető, az eredmények tárolhatóak. Az MD5 bármilyen jelszót (karaktersorozatot) átalakít egy 32 karakter hosszúságú hexadecimális számmá, ez az úgynevezett hash, ezeket látjuk azoknak az oldalaknak az adatbázisában, amiket legalább MD5-tel kódoltak.

hacker-id-theft-dreamstime l 13516127

Így lesz például az „index” jelszóból mindig (ha nem használnak sózást) „6a992d5529f459a44fee58c733255e86”. Ez azt jelent, hogy bár az MD5 papíron nem visszafejthető a szó matematikai értelmében, a különböző párokat el lehet tárolni, és ezekből jó nagy adatbázis van már a neten (ezeket rainbow table-nek hívják, nemcsak az MD5-höz használhatóak), úgyhogy az egyszerűbb jelszavak visszafejtése ma már gyakorlatilag csak egy gombnyomás.

Sok helyen ugyanazt használjuk

Nyilván nem ez a kétezer, kisebb cégtől kiszivárgott magyar jelszó az évszázad hekkelése, viszont a gyenge titkosítás, plusz gyenge jelszavak kombó azzal együtt, hogy a jelszavakat hajalmosak vagyunk újra és újra felhasználni már biztonsági kockázatot jelent erre kétezer regisztráltra (amiből pár tucatot levonhatunk, ezek láthatóan a cég saját regisztrációi), mivel a hekkerek saját eszközeikkel, automatikusan végig tudják nézni, hogy máshol, sokkal fontosabb oldalaknál is használta-e valaki ugyanazt a jelszót. 

Erről, és arról, hogy hogyan használjunk biztonságosabb jelszavakat, és kapcsoljuk be a kétlépcsős azonosítást, ebben a cikkünkben írtunk részletesebben. Az adatbázisban például rengeteg gmailes, freemailes emailcím van, ha valaki ott is azt a jelszót használta, mint a vállalkozás oldalán, gyorsan változtasson jelszót, sőt, ha bárhol máshol ezt használta, akkor is. Azt, hogy érintett-e itt ellenőrizheti emailcíme beírásával: az oldal ebben az esetben nem azt fogja írni, hogy valamelyik nagyobb hekkelésben érintett (ez maximum a ráadás...), hanem, hogy van olyan fájl, amiben jelszavak és emailcímek vannak, és abban benne van.

A jelszavakkal kapcsolatban megkerestük az Osz-car.hu-t is, szerettük volna megtudni, hogy egyáltalán tudnak-e a hekkelésről, ha igen, milyen lépéseket tettek, illetve pontosan honnan szivárogtak ki az adatok. Levelünkre a cég rendszergazdája válaszolt, annyit írt: „Erre vonatkozóan már megtettük akkor a biztonsági lépéseket. Köszönöm az információját, de ez már régi sztori”. A cég elmondása szerint

az érintett felhasználókat értesítették, és a biztonsági rést befoltozták.