Пользователи Bookmate из России узнали об утечке их данных Статьи редакции
В базу попали имена, адреса электронной почты и зашифрованные пароли 3,8 млн аккаунтов.
Сервис Have I Been Pwned, который позволяет проверить, не были ли данные пользователя скомпрометированы из-за утечки, разослал письма с предупреждением об утечке из сервиса для чтения книг Bookmate. Их получила в том числе редакция vc.ru, пользователи сервиса из России и других стран.
В письме от Have I Been Pwned говорится, что утечка данных из Bookmate произошла в июле 2018 года, было скомпрометировано 3,8 млн аккаунтов. Утекшие данные включают в себя:
- электронные адреса;
- даты рождения;
- пол;
- местоположение;
- имена и юзернеймы;
- зашифрованные пароли.
Сервис рекомендовал получателям письма изменить пароли. Проверить сохранность своих данных можно на сайте Have I Been Pwned.
Пользователи в Twitter отметили отсутствие предупреждений от Bookmate.
@beshkenadze То есть @bookmate даже и не думал об этом предупредить?
@bookmate_ru ребята, будут какие-то комментарии по поводу 8 млн утекших паролей? Вы бы хоть письма пользователям отправили
@pdkpv @tjournal @bookmate_ru получил такое же письмо, что то я не помню, чтобы про этот взлом кто то из bookmate сообщал ранее. используйте уникальные пароли для каждого сервиса!
@Bookmate Why don't you announce that your user DB has been leaked?
Обновлено 21:29 Гендиректор Bookmate Андрей Баев рассказал vc.ru, что компания направила заявление в ирландскую Комиссию по защите данных (в Ирландии зарегистрирована материнская компания Bookmate). В документе говорится, что Bookmate не удалось найти свои данные в продаже в дарквебе, а также обнаружить доказательства взлома.
В Bookmate приняли несколько мер, в том числе обновили все веб-приложения, отозвали активные сертификаты шифрования и сгенерировали новые.
Несмотря на отсутствие прямых подтверждений взлома, компания обещает предупредить своих пользователей «на следующей неделе» и порекомендовать им обновить пароли в Bookmate.
Добавлено 24 марта. Bookmate разослал пользователям письмо с предупреждением об утечке их данных, включая имена, почту и зашифрованные с помощью технологии bcrypt salt пароли.
В сообщении сказано, что пароли в безопасности. Тем не менее компания советует пользователям сменить пароль на Bookmate, а также ко всем сервисам, где они использовали такой же или похожий пароль.
Как только нам стало известно о случившемся, мы предприняли ряд мер для выяснения причин и оценки ситуации. Мы обновили все веб-приложения, отозвали активные сертификаты шифрования и сгенерировали новые ключи.
Мы начали расследование произошедшего, привлекая внешних специалистов по информационной безопасности. Мы уведомили соответствующие правоохранительные органы об инциденте. Расследование продолжается.
Данные из Bookmate — часть базы аккаунтов, которая была выставлена на продажу в феврале 2019 года.
Тогда издание The Register рассказало об утекших данных 620 млн пользователей сервисов: Dubsmash (162 млн), MyFitnessPal (151 млн), MyHeritage (92 млн), ShareThis (41 млн), HauteLook (28 млн), Animoto (25 млн), EyeEm (22 млн), 8fit (20 млн), Whitepages (18 млн), Fotolog (16 млн), 500px (15 млн), Armor Games (11 млн), BookMate (8 млн), CoffeeMeetsBagel (6 млн), Artsy (1 млн), а также DataCamp (700 000).
Обьясните мне вот как тупому, почему пароли хранят в открытом виде?
Там не было открытых паролей. Были только хэши от паролей с солью. Из них достать исходный пароль нереально. С паролями в новости обосрались
Нереально? Да что Вы говорите!
На вот хеш, найди пароль: 82F2B929DB5D9E945EFD4A6FFEA0A9AA5F0D6A65409E2854A1A87B9070B28908227B28D60E6D43E6D6545B3EEEB03D4A8BD50248AFE5BB89FC9EF6F087E05365
Миша, Вы идиот или придуриваетесь?
Комментарий недоступен
Соль нужна лишь для того, чтобы хэши двух одинаковых паролей различались. Это лишь позволит избежать совсем уж простого подбора пароля по словарю по всей базе юзеров. Но ничто не мешает устроить подбор по словарю по хэшам с солью. Это займет больше времени, но если взять GPU powered подборщик(например hashcat), то можно подбирать пароли десятками тысяч в секунду на одной машинке.
Вы пишите о том, что соль нужна для того, чтобы одинаковые пароли в захешированом виде отличались (что, на самом деле, не совсем так) - соответственно, вы предполагаете что там использовалась динамическая соль, созданная на основе каких-то параметров - id, email и тд или их сочетания.
В этом случает потребуется узнать алгоритм создания соли, что не всегда так - с БД не всегда утекают исходники.
Насчет скорости - хеши без соли прогоняются по радужным таблицам, что, очевидно, во много раз быстрее, видимо, предыдущие комментаторы об этом.
Соль - это просто рандомные символы. Что, конечно, не мешает Вам использовать в качестве соли какие-то атрибуты аккаунта.
Дело не в том что быстрее/не быстрее, а в том, что на текущий момент соль не дает сколь-нибудь выгоды для стандартных алгоритмов хэширования паролей.
"с БД не всегда утекают исходники" - если кто-то получил доступ к такой секретной штуке, как база аккаунтов прода, то вероятность, что исходники уже также потырены весьма и весьма высока.
Выше правильно про вашу некомпетентность написали.
Для этих целей соль едва ли использовали во времена мд5
А для чего еще соль используется, по-Вашему?
Слишком хлопотно и затратно для практического использования. Если бы не было соли - да, хэши можно было бы поковырять. А с солью - едва ли.
Удивляет Ваша вера в соль )
Удивляет Васина некомпетентность
В чем именно некомпетентность, позвольте спросить?
Вы утверждали, что соль не дает выгоды — в то время как соль повышает сложность подбора паролей кратно количеству аккаунтов в слитой базе. Т.е. разница в сложности в тысячи или даже миллионы раз. Конечно, также должна использоваться современная функция формирования ключа, которая плохо параллелится на GPU, такая как Argon2, но и сама соль дает ОГРОМНУЮ выгоду.
Где я писал, что соль не дает выгоды? Выгода есть, но крайне невелика. Сейчас столько GPU освободилось после майнинга..
Сколько в мире систем используют Argon2, а сколько - обычный md5?
Вперёд, составляй радужные таблицы на посоленные SHA-512, не имея в руках самой соли.
Если соль своя, то радужная таблица не поможет. Нет?
Reborn Soul, имеет смысл обсуждать широко распространенные подходы, где соль хранится вместе с хэшем пароля. Таких систем в мире - 99%. Понятно, что можно придумать свой алгоритм генерации хэша, который не позволит подобрать пароль, не зная алгоритма. Если, конечно же, Ваш алгоритм не утечет вместе с базой паролей, вероятность чего весьма высока :)
Соль почти всегда рядом с паролем. Смысл соли - в обесценивании радужных таблиц. Если нет радужной таблицы - подбор пароля возможен только перебором - брутфорсом. Правильный алгоритм генерации хэша значительно замедляет брутфорс. Следовательно, непрактично ковырять пароли в такой ситуации
Вы забыли про атаку по словарю. Словарю пох на соль.
Нормальный сервис указывает на слабость пароля при использовании словарного пароля! Лишний символ в середине / конце слова делает словарное слово бессмысленным.
Так что словарик - не универсальная отмычка.
Конечно, много решает элементарная грамотность пользователя. Например, использование менеджера паролей с его генератором
Атака по словарю НИКАК не связана с утечкой или не утечкой паролей.
Так алгоритм — одностороняя функция. Если твой пароль не утекал раньше, как знание алгоритма поможет получить пароль?
Есть два варианта восстановить пароль по хэшу:
1) Брутфорс, т.е. банальный перебор
2) По словарю популярных паролей
Оба варианта вполне рабочие.
Рабочие, если знать соль.
Блажен, кто верует..
Ты, наверное, практикуешь то, что называется «альтернативная математика»?