denis-19 Sep 8 2023 at 17:56

DLBI: анализ 3 млн строк из недавней утечки базы данных клиентов банков показал, что там только BIN-коды «МТС Банка»

3 min

2.7K

Information Security*Product Management*Statistics in ITSocial networks and communitiesFinance in IT

Comments 9

Arqwer Sep 8 2023 at 18:34

По данным со скриншотов номера карт легко восстанавливаются. Даже всего лишь 6 символов хеша достаточно.

koreychenko Sep 8 2023 at 19:32

А как восстанавливаются хэшированные с солью данные?

gchebanov Sep 8 2023 at 20:48

SHA1 без соли

В тексте новости написано без соли. Если бы была например глобальная соль которая хранилась в коде, а не в базе, то было бы норм. А вот была бы соль индивидуальная - то она скорее всего бы утекла вместе с базой.

freeExec Sep 11 2023 at 10:09

Проблема не в том утекала или нет (утечёт так же как и база), а в том, что снижается скорость перебора. Если без соли достаточно один раз посчитать хеш для пароля 12345 и сразу выяснится, что 100500 пользователей его имели. То при наличии персональной соли, нужно будет для каждого пользователя проверять, подходит ли для него пароль 12345. Т.е. затраты умножаются на количество пользователей.

gchebanov Sep 13 2023 at 15:51

Причем тут пароли? Речь про 6 случайных цифр номера карты. Действительно если был бы более тяжелый хеш (с солью или без) было бы медленнее. А так как все карты уникальные - то никакого поиска по таблице и так нет.

А так данные уже "соленые", если считать замаскированные цифры паролем, а префикс и суффикс - солью, вынуждая перебирать каждую запись.

gchebanov Sep 13 2023 at 16:22

Например полный хеш первой карточки из скриншота 01cca1a1768c8daba09766a0ffe35a9edb64bc14

И никак иначе без полного перебора его узнать не выйдет. И если даже использовать какой-нибудь рекомендованный крепкий pbkdf2-sha1 из python-passlib все равно скорость перебора была бы примерно одна карта за 6 секунд.

чекнул локально

OpenCL API (OpenCL 3.0 CUDA 12.2.138) - Platform #1 [NVIDIA Corporation]
========================================================================
* Device #1: NVIDIA GeForce RTX 4090, 24448/24563 MB (6140 MB allocatable), 128MCU

-------------------------------------------------------------------
* Hash-Mode 20400 (Python passlib pbkdf2-sha1) [Iterations: 130999]
-------------------------------------------------------------------

Speed.#1.........:   159.7 kH/s (51.22ms) @ Accel:32 Loops:1024 Thr:256 Vec:1

Started: Wed Sep 13 16:19:01 2023
Stopped: Wed Sep 13 16:19:13 2023

mSnus Sep 8 2023 at 21:04

административный штраф в размере от 60 тыс. рублей до 100 тыс. рублей.

И зачем вообще тратить время на безопасность данных?

Tasta_Blud Sep 8 2023 at 23:11

вот теперь вы понимаете, что ни ваша безопасность, ни ваша жизнь, а уж тем более комфорт не стоят ничего. найдут виноватого эникея и не заплатят ему зарплату и всё. даже задачу на соление хэшей не заведут. просто засудят глупцов, которые посмеют рассказать им об уязвимостях. или найдут вас, и скажут, что виноваты вы, и вообще именно вы и есть тот самый злоумышленник, так что не вые... {не} звоните нам больше.

Alcpp Sep 8 2023 at 22:09

" «МТС Банку» грозит административный штраф в размере от 60 тыс. рублей до 100 тыс. рублей. "

По 3 копейки за пользователя.