Mozilla випадково виклала імена і паролі користувачів

0
29 грудня 2010

Експерт з безпеки компанії Sophos Честер Вишневський написав, що в Mozilla паролі, створені до 9 квітня 2009 року, зберігалися у вигляді MD5-хеш, а не простого тексту. Вони і були скомпрометовані, пише TGDaily.

"У MD5 є слабкі місця в криптографії, які дозволяють створити аналогічний хет з кількох ланцюжків", - пояснів він.

"Це дозволяє експертам з безпеки обчислити всі можливі хеши і визначити або ваш пароль, або інший рядок,  який все одно спрацює, навіть якщо не відповідає вашому паролю", - додав він.

На щастя, до цього контенту змогла отримати доступ тільки одна людина, і вона брала участь у конкурсі пошуку вразливих сторін, організованих самою компанією Mozilla.

Відразу після цього на сайті addons.mozilla.org були стерті всі 44 тисяч облікових записів, незалежно від того, чи потрапили вони до випадково опублікованих, чи ні.

У Mozilla також поспішили запевнити, що новостворені паролі стануть невразливими, бо створені вже з допомогою технології SHA-512.

За словами Вишневського, цей інцидент наочно ілюстріє, наскільки важливо йти від застарілих хешей MD5 і DES всім, хто ще це не зробив.

"Вони несправні, тому потрібно йти від цих алгоритмів на той випадок, якщо ваша база даних випадково опиниться поза вашої організації", - попередив експерт.

powered by lun.ua