Как стать автором
Обновить

[Обновлено на 14:40] База клиентов сайта «РЖД Бонус» утекла в сеть. В ОАО «РЖД» пояснили, что это была попытка взлома

Время на прочтение 4 мин
Количество просмотров 42K
Всего голосов 53: ↑52 и ↓1 +51
Комментарии 127

Комментарии 127

НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
где нет инфраструктуры для формирования поезда — нет дополнительных веток железной дороги, нет вагонного и локомотивного депо


Это необязательно.

Поезд может просто ехать туда-назад. Вагоны-то симметричные, им всё равно как ехать «передом» или «задом», разворачивать весь поезд целиком нет необходимости.

Даже локомотив необязательно перецеплять, если у поезда заранее 2 локомотива зацеплено в начале и в конце. В этом нет ничего не обычного — в местных поездах-«электричках» как правило так и есть. «Туда» тащит один локомотив, второй едет балластом в хвосте. «Обратно» функции локомотивов меняются между собой.

Впрочем, вот тут утверждают:
nashatynda.ru/news/view?id=pobozij-prinal-pervye-poezda
что Побожий — именно разъезд, то есть локомотив может объехать поезд и перецепиться с другой стороны.

«Бамстроймеханизация» открыла третий разъезд на однопутной линии Бамовская – Тында. Накануне трёхкилометровый разъезд Побожий разделил перегон Сети – Тында

Уникальность разъезда Побожий в том, что на этой промежуточной станции 6 входных светофоров и она примыкает к двухпутной вставке


P.S.:
Я как минимум в 2-х местах наблюдал несколько лет, когда поезд действительно отходит от небольшого населенного пункта, расположенного рядом с большим городом, а не от самого этого большого города.

Как там в реальности формируются поезда — это нужно у местных уточнять.
Может, это действительно ошибка ЖД, а может это ваша ошибка.

и, что для меня болезненнее всего — невозможностью в данный день доехать до Шимановска


И такое тоже бывает, сталкивался.

По определенным дня поезд может не проходить мимо каких-то станций или проходить, но не останавливаться там.

Возможно это ошибка ЖД, а может и ваша ошибка.

Чисто логикой тут ничего не выведешь, нужно проверять как оно в действительности. У местных жителей, например, спросить (интернет же есть, — через соц.сети можно)
НЛО прилетело и опубликовало эту надпись здесь
Прикрепляю спутниковые снимки станции Побожий
Вы бы поаккуратнее с такими скриншотами, вдруг это тоже раскрывает какие-либо тайны РЖД, все таки элементы критической инфраструктуры и плевать, что в Гугле доступно всем.
НЛО прилетело и опубликовало эту надпись здесь
Если зайти с другой их страницы и снять галочку «только с наличием мест», то прекрасно видно этот поезд.
pass.rzd.ru/tickets/public/ru?layer_name=e3-route&st0=%D0%A2%D1%8B%D0%BD%D0%B4%D0%B0&code0=2048000&st1=%D0%A8%D0%B8%D0%BC%D0%B0%D0%BD%D0%BE%D0%B2%D1%81%D0%BA%D0%B0%D1%8F&code1=2050450&dt0=26.12.2020&tfl=3&md=0&checkSeats=0
НЛО прилетело и опубликовало эту надпись здесь
У РЖД хроническая и историческая проблема с виртуальными поездами. Т.е. есть поезд, у которого в ходе следования изменяется количество вагонов. В РЖД это бывает видно, как два поезда идущих одним составом. При этом один из них них может возникать и исчезать на какой-нибудь станции по пути следования.
Или ещё веселее — вагон отцепляют от одного поезда и прицепляют к другому. При этом второй поезд может следовать тем же маршрутов, что и первый, но, например, через час (!!!).
Это порождает глючий адов ад в бронировании. И именно так возникают ситуации, когда билетов нет, но от какой-то конкретной станции они есть, а потом опять есть, а потом опять нет.
325Э и 325Й могут быть основным поездом и «виртуальным», обозначающим прицепные вагоны.
НА самом деле проблема фича лежит в другой плоскости.
1. Действительно существует куча вагонов вагонов беспересадочного сообщения, и это реально удобно для многих людей. Бывает даже целые поезда прицепляются к другим поездам.
2. ТО что вам кажется глюком по билетам, сложнейшая система распределения, основанная на приоритетах распределения и квот, для обеспечения доступности билетов по малым станциям, максимальной загрузки из пунктов формирования, ступенчатой загрузки составов по мере следования.
РФ очень большая, многие фишки покупки билетов остались со времен СССР для борьбы с перекупщиками. В системе продажи и бронирования очень нелинейная система продажи и доступности билетов
многие фишки покупки билетов остались со времен СССР для борьбы с перекупщиками.

какие такие перекупщики? Насколько я понимаю, сейчас есть только один официальный способ покупки билета — через РЖД напрямую (касса, сайт). Вроде как еще есть вариант через турагентства, но они все равно идут в РЖД и выписывают билеты на конкретных пассажиров по конкретным паспортным данным (не виртуальным). Мне сложно представить как в этой схеме можно спекулировать, может научите?

какие такие перекупщики? Насколько я понимаю, сейчас есть только один официальный способ покупки билета — через РЖД напрямую (касса, сайт).

Пес его знает, но еще совсем недавно железнодорожные билеты можно было купить в совершенно левых кассах с дополнительной комиссией (иногда даже весьма солидной). Давно не ездил, потому не могу с уверенностью сказать, что такие кассы есть и сейчас, но вполне допускаю такое.
Оформляли билеты они, конечно, через сайт РЖД. Причем ими часто заранее бронировались билеты на популярные направления, что иногда порождало ситуацию — в кассе РЖД на вокзале билетов нет, а в левой кассе есть.

Так агентства живы до сих пор. И у них бронь (в зависимости от серьезности самого агентства) на популярные направления Х мест обычно. Т.е. на определенный поезд определенной даты они железно имеют какое-то кол-во билетов. Которые нельзя купить в кассе/на сайте/в приложухе РЖД. И за продажу которых, то самое агентство получит комиссию (а в крупном масштабе еще и откатит РЖД за бронь). Это и есть перекупщики. Просто перекупаются не конкретные места, а пул ноунейм мест на направления/даты. И с этим не борются от слова совсем, это наоборот поощряется. А не проданные места возвращаются в общий оборот РЖД и становятся доступны для продажи «простым смертным». Поэтому бывают ситуации, когда на поезд можно купить билет в последние несколько дней, когда все дни до этого тупо был статус «мест нет».

Это вы в нагруженные дни на сапсан не пытались приобрести билет за два часа до отправления. В кассах билетов нет, но есть какие-то левые люди, у которых почему-то есть билеты с наценкой.

может это ответит на вопрос «какой верить?» — pass.rzd.ru/tickets/public/ru?layer_name=e3-route-info&train_num=325%D0%AD&date=25.12.2020
он может быть составным, и в этом случае правы оба источника.
А вообще, насколько я вижу, 325Э и 325Й — это разные маршруты, которые ходят через день. Один из Тынды, второй из Нерюнгери. Но, видимо, иногда их как-то объединяют, я перед праздниками встречал подобное на других направлениях.

Может (если это один раз), доехать на такси до Побожьево? Это 30 минут!

НЛО прилетело и опубликовало эту надпись здесь
Щас такси вроде уже не надо искать, оно само приезжает.
Оганесян в своей публикации на Facebook напомнил, что скачивать на свой ПК и распространять подобные архивы нельзя, согласно статей УК РФ (ч. 1 ст. 183 УК РФ — незаконное получение и разглашение сведений, составляющих коммерческую тайну; ч. 1 ст. 272 УК РФ — неправомерный доступ к охраняемой законом компьютерной информации).


Не очень понимаю что противозаконного в скачивании и распространении этой информации? Незаконного доступа или взлома не было, ведь администратор сам выложил в корень сайта архив и кто-то совершенно обычным способом через браузер его скачал. Разглашение коммерческой тайны тут тоже нет, ведь пользователь изначально не мог знать что информация ей является, да и к тому же вряд ли подписывал договор о неразглашении. Вот как раз администратор может попасть под эту статью, но никак не скачавший. Разве я должен каждый раз что-то скачивая из интернета предполагать что это может оказать тайной?
там у меня было не так категорично. я написал «серая созна. я бы не стал.» ;)
Служить в органах могут или святые, или подлецы.
Если Вы еще не сидите, то это не Ваша заслуга, а наша недоработка.
Не думай. Думаешь — не говори. Думаешь и говоришь — не пиши. Думаешь, говоришь и пишешь — не подписывай. Думаешь, говоришь, пишешь и подписываешь — не удивляйся.
Феликс Эдмундович Дзержинский
Три минуса в рейтинг и три в карму. Повод задуматься какие люди тут обитают и как они получили право голосовать.
Интересно, а к фильмам скачанным с торрентов эту логику можно применить? Ну как бы тоже никаких взломов я не произвожу, спокойно себе качаю и раздаю через легальный торрент клиент. О том что это чья-то интеллектуальная собственность добродушно не подозреваю
а к фильмам скачанным с торрентов эту логику можно применить?
Нельзя. Потому что скачивая с торрентов вы ещё и раздаете, а это уже распространение. Даже если в настройках торрент-качалки/смотрелки указать «нулевую» раздачу, то что-то все равно утечет, а в данном случае «чуть-чуть не считается»© чуть-чуть очень даже считается. Например, в Германии.
А вот смотреть и даже сохранять online видео из источников, не использующих торренты, в принципе не возбраняется, в т.ч и в той же Германии.
Вот и РЖД сейчас тоже включит дурака и скажет что никакой утечки персональных данных не было, файлы никто не скачивал и т.п.
«Никто не скачивал наши файлы, содержищие коммерческую тайну и персональные данные, а если кто-то считает что скачивал, пускай идут с паспортом и пишут заявление в полицию» ?)
Если говорить исключительно о скачивании и верить директору ООО «Универсальная юридическая контора», то так и есть:
По его словам, основная проблема привлечения к ответственности конкретного пользователя – практически невозможно доказать факт, что нарушитель знал о нарушении авторских прав. Любой вправе обнародовать свое произведение и отказаться от взимания за него платы. «Большая часть населения даже не задумывается о том, что музыка, которая звучит из радиоприемника или фильм, воспроизводимый по телеканалу, платный. Платит за него радиостанция, телеканал и т. д., но пользователь не тратит ни рубля. В такой ситуации говорить о массовом привлечении к ответственности невозможно», – добавляет эксперт.
Незаконного доступа или взлома не было, ведь администратор сам выложил в корень сайта архив и кто-то совершенно обычным способом через браузер его скачал


Это заблуждение, что публично доступная информация может быть вами использована на законном основании.

Попробуйте, скажем, в каком-нибудь копирастном деле отмазаться таким образом. Мол, нашли фотку знаменитости на доступном сайте в интернете и потому имеете право использовать её в рекламе своей фирмы.
Или нашли автомат Калашникова и решили тир устроить…

То есть самого факта кражи/взлома тут не будет, конечно.

Но будет другой факт не более законный — незаконное владение, незаконное использование, незаконное хранение…

Вот как раз администратор может попасть под эту статью, но никак не скачавший. Разве я должен каждый раз что-то скачивая из интернета предполагать что это может оказать тайной?


1) Незнание закона не освобождает от наказания. А персональные данные довольно однозначно идентифицируются, что это именно они.
2) А вам зачем эта информация? Смотреть на неё и любоваться? Ну никому не говорите, что у вас это есть — и ничего вам не будет. А вот когда вы решите этой информацию поделиться или шантажировать или т.п. — вот тут то и начинается самое интересное.

нашли фотку знаменитости на доступном сайте в интернете и потому имеете право
… ее разглядывать, сохранить, и даже распечатать и повесить например в туалете (не общественном!)
использовать её в рекламе своей фирмы.
А вот это уже как минимум незаконное распространение, а то и незаконное использование.
А персональные данные довольно однозначно идентифицируются, что это именно они.
Если вы зашли на страничку https://habr.com/ru/users/ то можете увидеть некоторые персональные данные юзверей. Например, у меня там реальная фотография, реальное имя и фамилия. У кого-то там могут быть указаны реальные телефоны, e-mail, и т.д. Но факт посещения вами этой странички ИМХО ещё не повод вас за это сажать.
когда вы решите этой информацией… шантажировать
А вот это уже «более другая» статья, независимо от того, как вы получили эту информацию, даже если вы владеете ей на законных основаниях, например опознав на опубликованной фотографии своего знакомого, скрывшегося с места ДТП.

Что-то вы тут все в одно намешали. Владение автоматом Калашникова это статья за незаконное хранение оружия, а вот в фильмах есть совершенно точно информация о правообладателях(копирайт)

Даже с точки зрения здравого смысла — скачать себе можно, делать доступными другим файлы скачанные из интернета (или с диска найденного на дороге) в общем случае нельзя — на вас ложится ответственность проверки источника и имеющихся прав на распространение. Или проще — факт владения информацией не обязательно обеспечивает право её передавать кому угодно.

Незаконного доступа или взлома не было

Для квалификации по ч. 1 ст. 272 УК РФ достаточно факта неправомерного доступа с копированием информации.

Неправомерный доступ к компьютерной информации — это незаконное либо не разрешенное собственником или иным ее законным владельцем использование возможности получения компьютерной информации.
Кто будет наказан? Какой-нибудь эникей Петя. Компенсация пострадавшим? Пф! Выводы и меры для предотвращения? А зачем? Граждане не должны нарушать закон скачивая чужие персональные данные…

По-хорошему бы надо коллективный иск к РЖД подать, с требованием компенсации. Тогда сразу зашевелятся. Но в нашей стране это малоперспективно.

А докажите сначала убытки, без этого можно даже не пытаться, чтобы потом не платить судебные расходы РЖД (которые они вполне могут выставить в пяти-шестизначном виде)

Хм, чтобы понять, что мои ПД утекли, получается, мне надо скачать эту базу и проверить там себя...

В качестве компенсации вам обеспечат бесплатный кров на 5 лет, пока отбываете за несакционированный доступ.

Я так понимаю ответственность у того, кто распространяет, а не скачивает. Если скачали не торрентом и проверили только себя и удалили — вопросов быть не должно. В конце концов, иногда чужие данные можно получить ненарочно по чужой ошибке (на тезку, например).

А почему Битрикс для хранения паролей по умолчанию, насколько я понял из статьи, до сих пор использует md5?

А в чем проблема? Вы научились ломать подсоленный md5?

Ещё какая проблема. Современные алгоритмы — это например PBKDF2. Он затрудняет брутфорс паролей.
Да, на GPU-ферме их можно брутфорсить со скоростью около 100 GH/s.
2/3 паролей подбираются за часы и дни.
Да, если соль в базе данных лежит, или она известна. А она может быть известна (если у злоумышленника есть аккаунт на сайте с известным паролем) — тогда он сначала брутит соль. Или если лежит в базе.

Конкретно в битриксе вот так (или было недавно так)

// arUser - из БД, arParams - введённые параметры авторизации
$salt = substr($arUser["PASSWORD"], 0, strlen($arUser["PASSWORD"]) - 32);
$db_password = substr($arUser["PASSWORD"], -32);
$user_password =  md5($salt.$arParams["PASSWORD"]);
if($db_password === $user_password) {
 /// авторизовать пользователя
}



То есть пресловутая соль тупо лежит в базе данных. Тут даже думать ничего не надо, доли секунд для брута 6-7 значных паролей. То есть я понимаю и все понимают, какой битрикс из себя устроен, но маркетинг делает своё дело. И фразы «Вы научились ломать подсоленный md5?» тоже. Не надо так, соль соли рознь.

Такое можно защитить штукой под названием pepper, которая не должна лежать в базе (идеально — в ENV, например в nginx/docker, в любом месте, отличном от папки с кодом сайта, чтобы при утечке И кода И базы всё равно брут был бы нереально долгим). Но всё равно если есть доступ к выполнению кода, оно обходится. Благо такое происходит реже чем простая утечка БД.
Вообще-то соль и должна лежать в базе, именно поэтому она называется соль. В этом плане к битриксу нет претензий никаких. Претензии к нему в плане md5.
Если соль в базе, то брут вида
foreach(HASHES_FROM_DB){
foreach (ALL_PASSWORDS){
if(check (hash(PASSWORD)==HASH_FROM_DB)){
//...
}
}
}


превращается в
foreach(HASHES_FROM_DB){
foreach (ALL_PASSWORDS){
if(check (hash(PASSWORD + SALT_FROM_DB)==HASH_FROM_DB)){
//...
}
}
}


То есть время брута не уменьшается и не увеличивается. Единственное, где оно может помочь — если в базе пароль «123456» встречается три раза, то не получится его закешировать, и каждый «123456» надо будет брутить дважды.

Плюс существующие базы md5 и rainbow таблицы тоже уже не помогают, но нынче они толком и не нужны, спасибо видеокартам.

Но
Вы научились ломать подсоленный md5

вот это не имеет смысла. А вот с pepper-ом можно было бы даже остаться на md5. Не очень хорошо, но терпимо.

Претензии к нему в плане md5.

Безусловно, Вы правы. В идеале это password_hash + pepper.

У алгоритмов PBKDF2 и Argon2 имеют проблему в скорости выполнения, при потенциально большой загрузке (например начался онлайн экзамен, 60 студентов одновременно пошли логиниться) — это может завалить сервер, если он один. Но в некоторых кейсах разумеется такой путь имеет место быть
Ваш код предполагает, что соль одинаковая. Но никто не мешает делать соль рандомной для каждой записи в БД. Собственно, так делают многие языки/фреймворки по умолчанию (например, спринг в случае использования bcrypt — stackoverflow.com/a/6833165/1756750 )
Ваш код предполагает, что соль одинаковая. Но никто не мешает делать соль рандомной для каждой записи в БД.

Почему? Будет не код приведенный выше, а
foreach(HASHES_FROM_DB, SALTS_FROM_DB){
foreach (ALL_PASSWORDS){
if(check (hash(PASSWORD + SALT_FROM_DB)==HASH_FROM_DB)){
//...
}
}
}

Вопрос именно в хранении в базе или отдельно. Или я недопонял?
foreach(HASHES_FROM_DB, SALTS_FROM_DB){

И вот так, лёгким движением руки, мы превратили O(n) в O(n^2) (не считая непосредственно перебора паролей). А также сделали бесполезным использование rainbow-таблиц, потому что в случае постоянной соли можно один раз рассчитать таблицу, и значительную часть паролей (распространённых) даже брутить не надо будет.
Почему? На каждый хэш приходится только одна соль, поэтому трудоемкость остается той же.

Радужные таблицы уже и так никто не использует.
Даже в презентации одной их техник перебора от 2014 года (https://hashcat.net/events/p14-trondheim/prince-attack.pdf) они перечислены в разделе устаревших методов.

Потому что пробрутфорсить эту значительную часть паролей в настоящее время можно гораздо быстрее, чем сгенерировать или скачать с интернета таблицы. При этом таблицы подходят только для коротких паролей — уже для 10-символьных они имеют невменяемый объем.
Радужными таблицами никто не пользуется как раз потому, что адекватные люди используют недублирующуюся соль и криптостойкие пароли. А если использовать единую соль на все логины + md5, который не(достаточно)безопасным считался ещё в 2012, насколько я помню, то радужные таблицы вполне себе работают. Это как отказываться ставить прививки от кори, потому что кори кругом нет.

На каждый хэш приходится только одна соль, поэтому трудоемкость остается той же.

Да, действительно, это я затупил, извиняюсь. Сложность полного перебора действительно не меняется.Я подумал, что спор выше идёт о «единая соль на все пароли vs. индивидуальная соль для каждого». И, видимо, задумался о радужных таблицах, откуда у меня в голове и возникло увеличение сложности для индивидуальных солей.
а как же новый и вкусный SHA-3? или он не подходит для хеширования паролей?

История та же самая. Если нет соли, то пароль 111 имеет хеш 68f1927d51ddd7b49c381c7c7d006b813565e3b95f09136cdfc96f529a352a4e для сотен людей сразу.

Если есть соль, то возможно будет просто-напросто сбрутфорсить. Благо, SHA-3 очень быстрый, это скорее в минус, нежели в плюс. Я уже молчу про аппаратные реализации.

А вот если есть pepper, то уже неважно - у нас SHA-3 или md5.

А если pepper+Argon2, то вся эта история уже невозможна для взлома (при условии что утекла база, а не секреты).

НЛО прилетело и опубликовало эту надпись здесь
База клиентов сайта «РЖД Бонус» утекла в сеть. В ОАО «РЖД» пояснили, что это была попытка взлома


Какая же это попытка, когда БД удачно скачана и уже доступна на всяких форумах. Это успех, а значит не попытка.

Если сказать "был взлом" — это равносильно признанию вины.


А если сказать "попытка взлома" — то как бы взлома-то и не было, была попытка, а значит, Ответственные Лица не виноваты.

РЖД не выгодно садить в тюрьму или штрафовать одного из немногих IT специалистов работающих у них за гроши.
Сайт обслуживает подрядчик, скорее всего.
Подрядчик, скорее всего, карманный, поэтому его обслуживает уже другой подрядчик.
Хлопок персональных данных.
Уверенный рост количества прекращений попыток взлома. Зафиксированное увеличение отсутствия утечек. Ежедневный рекорд количества дней подряд без инцедентов безопасности.

… с премиями всем непричастным.

… Отрицательный рост з/п специалистов.

Попытка взлома не удалась, поэтому данные отдали просто так)

Какая же это попытка

Удачная попытка.
Кэп.
НЛО прилетело и опубликовало эту надпись здесь
Поэтому системы должны блокировать УЗ, АУЗ, КУЗ уволенных сотрудников на следующий день (в полночь) после увольнения. ТУЗы тоже хорошо перетряхивать при помощи PAM'ов, если ими можно воспользоваться снаружи.
А не так, сотрудника уволили? Уволили. А доступ к VPN, VDI, и прочим системам работает :)
Поэтому системы должны блокировать УЗ, АУЗ, КУЗ уволенных сотрудников на следующий день (в полночь) после увольнения.

не в полночь, а в момент регистрации заявления в кадровой системе, иначе еще остается полдня на всякие злодейства (смеюсь). Но даже обнуление в полночь — это уже лучше, чем ничего


ТУЗы тоже хорошо перетряхивать при помощи PAM'ов, если ими можно воспользоваться снаружи.

только не PAM'ов, а IdM. Здесь тогда основная опасность — понять КАКИМИ именно ТУЗами (СпУЗ) обладал и мог пользоваться уволенный сотрудник, не пропустить нужные, а сбросить пароли на всех

HashiCorp Vault как бы как раз позволяет вести учёт доступов к ТУЗам, как пример.

Отличное решение! Очень рекомендую! Но это и не PAM, и не IdM!
Это во-первых. А во-вторых — уволенный сотрудник мог знать поболе чем то, что записано в базульках или проходит по аудиту/бумагам. К сожалению, так бывает )

зато вимом пользуется :D
НЛО прилетело и опубликовало эту надпись здесь
а где скачать?
поискал и не нашел нигде.
Спасибо!
Пока вижу что они обезличены :)
Но этот ли дамп был именно на rzd-bonus.ru
Вот да, проверить свои данные. Вдруг ошибся при вводе.

Спасибо!
Пока вижу что они обезличены :)

Уже нет канала :-/

mig126
Если Вы еще не сидите, то это не Ваша заслуга, а наша недоработка.
Феликс Эдмундович Дзержинский

Достоверность этой атрибуции — под сомнением, нет прямого первоисточника. Либо «это же все знают», или отсылка к непроверяемому пересказу пересказа.

Канал на месте. Он не показывается в браузере по какой-то причине. Но кнопка View in channel перекинет вас в канал, если у вас стоит клиент.

«В ОАО «РЖД» пояснили, что это была попытка взлома» — а ничего, что база была слита, находится сейчас в открытом доступе (опубликовали ссылку на Мегу), в ней под миллион учеток, а хеши брутятся на раз?: )
Они там уверены, что на пол шишечки на считается. Поэтому так и пишут.
а хеши брутятся на раз
При коротких и словарных паролях, наверное? Что-то вроде HFSyo4n4r*qvEF!jA|gXUqx"?yUqrJ\q всё равно непросто сбрутить.
Вы посмотрите на разрешенные спец символы в форме и поймете, что там немного попроще.
Хм, у меня просто там пароль от автогенератора и есть разные спецсимволы. Возможно они что-то потом поменяли уже. К сожалению сейчас посмотреть не могу, «На сайте ведутся технические работы», ничего не работает.
На РЖД по крайней мере сейчас ограничен набор спецсимволов. Автогенератор не с первого раза выплюнул подходящий пароль.
На сайте РЖД да, всего 4 спец символа можно. Но речь же идёт о РЖД бонус сайте, это разные системы и там разные логины.
Вот как так? Какая разница, что прилетит в качестве пароля (главное, чтоб utf8)?
Возможно, какое-то хитрое экранирование…

Не обязательно же находить оригинальный пароль. Может повезти и коллизия найдётся раньше.

Которую вы не сможете ввести с клавиатуры

А это и невозможно сбрутить, но это никак не умалаяет проблему. Проблема брутфорса изначально актуальна именно для «человеческих» паролей.
долго это если один конкретный пароль ломать
один раз пройтись радужной таблицей и взломана будет вся база, а не один пароль
один раз пройтись радужной таблицей и взломана будет вся база, а не один пароль

Можете объяснить процесс вкратце?
Лучше чем в вики и не расскажешь:
ru.wikipedia.org/wiki/%D0%A0%D0%B0%D0%B4%D1%83%D0%B6%D0%BD%D0%B0%D1%8F_%D1%82%D0%B0%D0%B1%D0%BB%D0%B8%D1%86%D0%B0

Если кратко и на пальцах, то это таблица всех возможных хэшей и паролей, оптимизированная для поиска.
Готовые таблицы лежат в сети.

К примеру, для паролей длиной не более 8 символов, состоящих из букв, цифр и специальных символов !@#$%^&*()-_+=, захешированных алгоритмом MD5, могут быть сгенерированы таблицы со следующими параметрами:

длина цепочки — 1400
количество цепочек — 50 000 000
количество таблиц — 800
При этом вероятность нахождения пароля с помощью данных таблиц составит 0,7542 (75,42 %), сами таблицы займут 596 ГиБ, генерация их на компьютере уровня Пентиум-3 1 ГГц займёт 3 года, а поиск 1 пароля по готовым таблицам — не более 22 минут.

Однако процесс генерации таблиц возможно распараллелить, например, расчёт одной таблицы с вышеприведёнными параметрами занимает примерно 33 часа. В таком случае, если в нашем распоряжении есть 100 компьютеров, все таблицы можно сгенерировать через 11 суток.
НЛО прилетело и опубликовало эту надпись здесь
Потому что битрикс на отдельной страничке «Проактивная защита — журнал вторжений» для админа выводит GET паттерны подозрительные (историю), затем говорит что предотвратил взлом. Как правило, едаки битрикса этому верят.

К сожалению, если пресловутый файл был отдан напрямую nginx-ом, битрикс этого не увидит физически, и будет упрямо сообщать, что попытки взлома были, и все они прекращены. Кроме этого, любой мало мальски популярный сайт будет сотню раз просканен всякого рода программами — прощупывателями, и любой мало-мальски популярный сайт на битриксе будет пестрить фактами «попытка взлома».

Выглядит это дело примерно так

попытка взлома? ржд взломал ржд?
Раз уж ситуация появилась и информация о ней распространилась, нечего оправдывать «взломом» и «мы тут не виноваты», выглядит еще смешнее. Ну, а может быть админ — это секретный агент частных железнодорожных компаний, который решил «тихонько» слить базу? :)
Тогда придется кого-то наказывать…
Я думаю, в любом случае просто выговор. Или нет. Но паспортные данные слили — это серьезно. E-mail + номер телефона + паспортные данные — полная идентификация везде мошенниками, угрозы и т. п.
Формально по нашим законам виновато юридическое, а не физическое лицо, то самое лицо, которому давалось разрешение на обработку конечным пользователем. В КоАП для таких юрлиц предусмотрены штрафы.

Фактически вероятнее всего никто в следком (или куда там) не напишет никакое заявление, поэтому дела против юрлица не будет, а вот против какого-либо физлица — ещё как может быть (уже по статьям халатность или что то в этом роде).
Благодарю за юридическое уточнение. Конечно, против такой крупной компании и уж тем более государственной никто ничего не сделает, а вот против одного админа — еще как. Но им следует сначала «внутреннее расследование» провести, прежде чем «наказывать».
Злоумышленникам удалось получить доступ только к служебному файлу, содержащему в зашифрованном виде адреса электронной почты пользователей

Это потому что злоумышленникам больше ничего не нужно было.
Остальные файлы до сих пор доступны по прямым ссылкам.
Какие файлы? Те, что обычно лежат в хомяке пользователя: .bash* и .ssh/*
Вот так система, кхм, безопасности предотвратила, кхм, доступ.
Это фиаско, братаны. Урок вам: не делайте корень сайта в хомяке юзера с шеллом.

А ответы на контрольные вопросы в битриксе как хранятся, в plain text?
Такие вещи как «Девичья фамилия матери» или «Кличка первого питомца» в совокупности с остальными данными потенциально ведь можно и на других сервисах использовать.
Мне вот тоже интересно, а то я свой ответ забыл. Нет ли его в том дампе?
А я вот так помню, что на момент регистрации там и вовсе не было никаких контрольных вопросов. В итоге доступ к этому, так называемому, бонусу сейчас потерян у всех членов моей семьи. Потому что сменить пароль без ответа на контрольный вопрос оно не даёт.
Был не прав. Контрольный вопрос там всё таки был. Доступ восстановили после звонка на горячую линию. Идентифицировали по номеру телефона, пароль выслали смской.
На мой взгляд, произошла вопиющая халатность вкупе с некомпетентностью админов сайта.
И не надо лицемерно писать, что «это была попытка взлома». Никакой «попытки взлома» там и отдаленно не было.

Скорее всего, произошло примерно следующее:
1. Сисадмины выдали учетку вебмастеру и в конфиге веб-сервера натравили корень сайта на домашний каталог вебмастера. Как вариант: создали учетку веб-мастеру с указанием домашнего каталога в корне уже существующего веб-сервера.
2. Вебмастер «не осилил» настройку .htaccess (ну или какой там вебсервер использовался), чтобы запретить отдачу вебсервером файлов, начинающихся с точки.
3. Пользователи Интернета, наткнувшиеся на доступность SSH-ключей (в статье про это сказано как «а также приватный ключ RSA») rzd-bonus.ru/.ssh/id_rsa.pub rzd-bonus.ru/.ssh/id_rsa — очень быстро расковыряли и всё остальное. «Остальным», видимо, оказался прежде всего .bash_history из которого были почерпнуты пути к другим файлам.

То есть, РЖД (точнее, Федеральная пассажирская компания) сами, добровольно, без всяких принуждений выложили в свободный доступ служебную информацию их сайта.
А теперь визжат о «попытке взлома».
Спасибо. До этого момента было непонятно, каким образом можно угадать ссылку с названием бэкапа. Я думал, что кто-то из своих слил.
Наткнуться на доступность файлов, лежащих в домашней директории, более вероятно. Видимо, в бесчисленных сканерах есть и такая проверка, хотя ума не приложу, как можно догадаться сделать домашний каталог корнем сайта. Если б я был автором такого сканера, у меня бы не хватило на это фантазии :))

Ржб бонус не равно ржд, учитывая море юрлиц в этой госкомпании. Поэтому тут предьявлять ещё и не понятно кому за решето в ит- системах

Самое замечательно, это прислать ссылку на сброс пароля, но не ссылкой для сброса, а через сервис рассылок и предложить войти в кабинет. Могли бы и принудительно сбросить пароль и прислать ссылку на форму восстановления.
Смешное, браузер не может загрузить страницу. Мои полномочия всё…

Видимо все полезли менять пароль и оно упало.
В этой ситуации пожалуй радует, что много граждан не пренебрегают такого рода рекомендациями.

Интересно, был ли аудит содержимого скриптов. Не подсунули ли чего во внутрь, сейчас сменив пароль можно сделать еще хуже (с) нет.
Все же перенаправляет на страницу восстановления пароля после входа. Зря наговаривал.
Ход просто гениальный. Половина пользователей конечно не помнит ответ на секретный вопрос (и сам вопрос). Я ни к одному из трех семейных аккаунтов теперь доступа не имею.

Видимо придется потолкаться на вокзале. Самое время.
Нет чтобы на почту новые пароли выслать при входе.

Эти ребята сначала запрашивают при регистрации гору ненужной информации, включая паспортные данные. Это всего лишь бонусная программа, почему бы просто не использовать основной аккаунт РЖД или просто дать уникальный номер карты и вход по этому номеру с паролем. Я все равно буду использовать её только при покупке билета на РЖД, который уже по меня знает всё (зачем-то).


Потом они самым глупым образом потеряли всю эту базу пользователей.


Потом они всем сразу направили письмо с просьбой сменить пароль. И заддосили свой же сайт.


В словаре напротив "идиоты" должен стоять логотип РЖД.

включая паспортные данные

Там фишка в том, что
  • бонус можно получать и без аккаунта ржд, по данным билета, поэтому нужны данные паспорта
  • бонус начисляется на конкретного человека, тогда как аккаунт ржд позволяет купить на других людей

Так что «зачем», я понимаю, но предпочел бы госуслуги прилинкованые, конечно.
Сегодня увидел письмо от РЖД бонус и сменил пароль. Заодно увидел, что нет информации о моих последних поездках примерно за год — надо вбивать поездки ручками, это форменное издевательство, там в форме полей 20!

Сейчас Вы ещё обнаружите, что эти поездки уже вбить нельзя.
Там вообще вся программа построена так, что бы с максимальной долей вероятности бонус не получить.

Как вам удалость сменить пароль, у вас был установлен секретный вопрос из предложенных вариантов? У меня был свой собственный вопрос или ключевое слово и оно, естественно, не подходит. Без этого пароль не меняется
Да, был секретный вопрос, после ответа зашел.
Что-то удалось сделать в итоге? Я так же не могу сменить пароль. При этом я готов поклясться, что на момент регистрации там и вовсе не было контрольного вопроса иначе ответ на него бы был у меня записан в парольном менеджере рядом с паролем.
В итоге возможность доступа к учётке просто потеряна сейчас. Спасибо РДЖ. Это просто уже какая-то квинтэссенция идиотизма.
Написал в спортлотосаппорт, других идей пока нет
Позвонил на горячую линию (дозвонился сразу). Идентифицировали по номеру телефона. Выслали новый пароль по SMS. Для всей семьи (у нас всё в семейную программу объединено), каждому на его телефон который в аккаунте указан.
upd: Контрольный вопрос там таки был. Просто я из прошлого был ещё не столь умён как я нынешний и на вопрос типа «Модель первого автомобиля» отвечал ещё настоящим ответом, а не типа «JHU)&Y&*».
На удивление тоже дозвонился и тоже прислали новый пароль. Спасибо за работающий способ!
Зарегистрируйтесь на Хабре , чтобы оставить комментарий

Другие новости

Истории