How to become an author
Search
Write a publication
Pull to refresh

Comments 36

«The world's largest professional association for the advancement of technology» :(
Total votes 1: ↑1 and ↓0+1
Среди пострадавших — множество сотрудников Apple, Google, IBM, Oracle, Samsung, NASA, Стэнфордского университета и многих других компаний и организаций, входящих в международную ассоциацию IEEE

Казалось бы — сотрудники таких уважаемых компаний должны использовать нормальные, стойкие пароли. В то же время — я посмотрел график с самыми популярными паролями и взял ТОП6: пароли 123456, ieee2012, 12345678, 123456789 и password суммарно использовало 1118 человек!

Румынский хакер, кстати, повел себя адекватно и обнародовал только анализ логов, а не сами логи
Total votes 7: ↑4 and ↓3+1
Это не значит, что сотрудники перечисленных организаций использовали именно эти пароли.
Total votes 5: ↑4 and ↓1+3
Действительно, напрямую — нет, не значит. Здесь нет полного списка пострадавших. Сказано лишь, что среди множества пострадавших есть подмножество сотрудников уважаемых организаций и есть подмножество пользователей с, мягко говоря, не стойкими паролями (примерно — каждый сотый пользователь). Я рискнул предположить, что эти подмножества между собой где-то пересекаются.
Total votes 2: ↑1 and ↓10
Как я понимаю, это просто пары логин-пароль, взятые из логов веб-сервера. Теперь вопрос — проверялась ли валидность этих пар логин-пароль?

Т.е. кто-то мог просто пытаться подобрать пароль к конкретному аккаунту, и эта, введенная им пар логин-пароль, тоже попадет в логи, и попадет в статистику и т.д.
Total votes 8: ↑7 and ↓1+6
Спасибо за комментарий — я об этом не подумал
This comment wasn’t rated yet0
Вполне вероятно (не вчитывался), что невалидные пары можно было отсечь по коду ответа сервера.
This comment wasn’t rated yet0
Извиняюсь, опечатался — имелось в виду Топ5, а не Топ6
Total votes 2: ↑1 and ↓10
UFO just landed and posted this here
Люди… Люди никогда не меняются… Почти (ц)
Total votes 1: ↑1 and ↓0+1
Было бы смешно, кстати, если бы сперли базу паролейпользователей хабра — увидеть каково количество подобных паролей на данном высокоинформационном ресурсе…
Total votes 5: ↑5 and ↓0+5
Давайте запилим голосование. Я прямо так и вижу варианты:
1. 12345
2. qwerty
3. другой (укажу в комментариях)
Total votes 1: ↑1 and ↓0+1
Я, как тот солдат из анекдота, который матчасть не учил, вообще, свои пароли не знаю :)
This comment wasn’t rated yet0
Я свои тоже ни один не знаю. Один пароль и тот, на keepassx базу. остальные я даже и не вижу. точно знаю что один из них по длине меньше чем остальные.
This comment wasn’t rated yet0
Да и по хешам бы значительную часть пробили.

Топик о пользе мозга (а был такой?).
Total votes 2: ↑2 and ↓0+2
Если бы кто-то додумался кэшировать пароли на клиента, они бы наверняка их посолили. Либо забота о безопасности есть, либо ее нет.
Total votes 4: ↑3 and ↓1+2
На хабре куча топиков о правильном хэшировании после вот этого появилась: habrahabr.ru/post/145345/ Вы наверное пропустили
This comment wasn’t rated yet0
Только если на стороне клиента.
Total votes 5: ↑5 and ↓0+5
Скорее уж о пользе сгенерированных уникальных паролей, чтобы, даже если рукожопые админы сольют базу паролей, не подвергнуть опасности остальные свои аккаунты.
This comment wasn’t rated yet0
Кто следующий? Instagram? Twitter?

Как вообще такие серьезные проекты хранят пароли в открытом виде?
This comment wasn’t rated yet0
пароли не хранят, хранят логи веб-сервера, в которых содержатся введенные пользователем данные
Total votes 1: ↑1 and ↓0+1
Такие же логи я проверял на валидность тут habrahabr.ru/post/138726/
Примерно 25 000 валидных аккаунтов gmail (пропарсил далеко не всю базу, с прокси были проблемы).
С русскими ящиками вообще смешно. 80% паролей от mail.ru,yandex.ru валидны. И это всего лишь логи веб-сервера…
This comment wasn’t rated yet0
Похоже, что кто-то из разработчиков сделал себе удобный способ просматривать логи по принципу «все равно никто не знает, что они там лежат», но убрать забыл.
This comment wasn’t rated yet0
На сайте одного из супермаркетов в открытом доступе лежат резюме людей (с паспортными данными и телефонами).
Как поступить если владельцы сайта не реагируют?
Total votes 1: ↑1 and ↓0+1
А можете разместить там своё резюме и стребовать компенсацию морального ущерба.
Total votes 3: ↑3 and ↓0+3
Я немного не понял.
У них логин+пасс через GET передаётся?
This comment wasn’t rated yet0
С чего вы взяли что логировались только GET?
This comment wasn’t rated yet0
С того, что логировать POST, как минимум, странно.
Там вполне может быть загрузка файлов, большие текста, etc, и это всё будет попадать в логи и раздувать их
This comment wasn’t rated yet0
Скорее всего там дамп POST запросов как это было с youporn.
This comment wasn’t rated yet0
UFO just landed and posted this here
Sign up to leave a comment.

Articles

Show the best of all time
Change theme settings

Your account

Sections

Information

Services

Support
© 2006–2024, Habr