HUP adatszivárgás?

Fórumok

Ezzel fogadott a chrome belépéskor. 

Azóta már az 1password is sikított.

databreach

Hozzászólások

Szerkesztve: 2020. 02. 20., cs - 17:48

data breach on a site => valamilyen oldalon amit megtortek ugyanazt a jelszot hasznaltad mint itt

tehat nem a hupon

Haveipwned szerint az én hupos jelszavam is kikerült, ami

- kis és nagy betűket

- speciális karaktert

- számokat 

is tartalmaz.

Minden oldalhoz egyedi jelszót használok, pont azért, hogy kiderüljön, hogy honnan történt a szivárgás.

:(

Ez elég érdekes annak tudtában, hogy a Drupal nem plaintextben tárolja el a jelszavakat, hanem egy hash-ként (asszem még salt is van). Azt nem hiszem hogy a hash-t visszafejtették, tehát valahogy másként történhetett a dolog. Talán egy keylogger, vagy MITM támadás még a HTTPS korszak előtt.

pl az illető saját gépéről :).

Bírtam a mókust aki magyarázta, hogy a hűdetutibiztos nagyonhozzáértőáltal előállított nagyonweblapján valamiért mindig csúnya fekete háttér és piros betűk köszöntik, míg kiderült, hogy a teamviewer mellett még vagy 5-6 másik no-name "távirányító"-s alkalmazás streamelte, hogy mit kontárkodik a szerencsétlen.. és persze a legnagyobb szivárogtató saját maga /és az általa khm-khm "felügyel"-t gép/ volt :)

https://goo.gl/muWzKz (digitalocean)

Eközben a mellékelt DB “képet” minden blokkolja ami követés ellen van. PC-n és smartphonon egyaránt

Anarchia, totális anarchia,
Aki más az halál fia!

:)

Vortex Rikers NC114-85EKLS

Szerintem Párhuzamosé, vagy mittudomén mi van? Faszér’ kell idecitálni ezt a vén félhulla retket... Bazz, már kezdtem elfelejteni a plakátokról. Van még valami, esetleg a négerbarát-homár utódjára számítanom kell helyben? 

Ui tényleg RS232 tulajdona? 

Vortex Rikers NC114-85EKLS

Dehogy trollkodtam! Ruhelltem mar 20 eve is, egy oncelu ocska manipulator, nagy tetekkel, akar nemzetek ellen. Vagy megosztott nemzetek egyik oldalan, vagy valasztasokban valahol, csupan ket csapasiranyban: megerzes es penzszag. Ket kezemen mar nem tudnam megszamolni hany orszagban szeretnenek tobbe nem hallani felole.

Nem tudom te mit szoptal be vagy ki, es epp leirtam hogy orulok a reklamtablakrol eltuntenek, dehat idecitalja valaki a feketegyurikat. Nem eleg az Origo fooldalan nezni a rusnya pofajat, itt is elzombitja a szalat.

Ugy tunik treynek ide kell hanynia nehany RS232 baratait triggerelo szalat is, hatha atmegy az uzenet. 

Vortex Rikers NC114-85EKLS

Nem bántam volna, ha pl. any*dat hülyézed elsőként - dehát Gyuri bácsi szelleme az láthatóan Gyuri bácsi szelleme: aki ellent mond, az mittudomén biztos a zorrbán meg a plakátyaji! Vagy valami ilyesmi, meg hülye - hiszen minden út Rómába vezet.

Vortex Rikers NC114-85EKLS

Mivel fogadott? Én nem értem a topik felvezetőjét.

Wow és amelyik lista nem letölthető ott ugye nem küldi be a formba a kereséshez? Főleg nem anyagiakért valami keresztszerződésben.  Tudom gonosz és nullskilles kérdés, dehát az emberek is begépelik a mail címüket vagy/és jelszavukat egy pwned keresőbe mehhehehe.

Nah gyerekek hányan gépeltétek be akár most? Az ellenoldal “tuti” megbízható.

Amúgy a HUP alatti motor is biztonságos. Gépeld ide a jelszavad és a motor kicsillagozza. Vagy nem, de tutira igen. Kitudja? :D 

Vortex Rikers NC114-85EKLS

Az email beírását nem érzem a problémát. A jelszóval már inkább, ezért is letölthető az adatbázis és checkelhető anélkül, hogy elküldenéd illetve van api-ja, ami sha-1 hash alapján keres, illetve támogatja a hash-range lekérdezést is (első 5 karakter alapján kilistázza mindet).

Annak idejen en egyedi emailcimet adtam meg a profilomban az ertesitesekhez. Tutira nem adtam meg senkinek azt, megis elkezdtek spammelni.

Sosem néztem még ilyesmit, de most kipróbáltam 4 db jelszóval, amit használok eltérő weboldalakhoz. A négyből csak a HUP-os volt kiszivárgott a  Haveipwned szerint.

Szerkesztve: 2020. 02. 21., p - 10:37

Oldalanként egyedi e-mail címet és egyedi jelszót használok 32 karakterrel (kisbetű, nagybetű, szám, írásjel, password managernek mindegy) - se az e-mail cím, se a jelszó nem található meg az adatbázisukban. (Igen, azóta generáltam újat.)

Ezek alapján vagy nem volt adatszigvárgás vagy nagyon régi lehetett.

Ugye aki égbe-világba küldözgeti a jelszavát, utána nem használja többet és meg is változtatja? :)

Szerkesztve: 2020. 02. 21., p - 11:01

Aki biztonságosan akarja ellenőrizni a jelszavát az adatbázisban (sha1-el hasheli, majd a hash első 5 karakterét küldi csak el, firepwned-ból lopva):

import urllib.request
import hashlib
import getpass

PREFIX_LEN = 5
LINE_DELIMITER = ":"
API_URL = "https://api.pwnedpasswords.com/range/"

def is_password_pwned(password):
    hash = hashlib.sha1(bytes(password, "utf8")).hexdigest()
    hash_prefix = hash[0:PREFIX_LEN]
    hash_suffix = hash[PREFIX_LEN:]

    url = API_URL + hash_prefix
    print("Getting", url)
    response = urllib.request.urlopen(url)
    if response.getcode() != 200:
        raise Exception("PwnedPasswords API looks down")

    results = response.read().decode("utf8").split("\n")

    for result in results:
        hash_suffix_candidate, count = result.split(LINE_DELIMITER)
        if hash_suffix_candidate.lower().lstrip() == hash_suffix:
            return (True, int(count))

    return (False, 0)

print("Result:", is_password_pwned(getpass.getpass("Password:")))

Nekem negatív lett a hup-ra egyedi jelszavam:

$ python3 testpw.py
Password:
Getting https://api.pwnedpasswords.com/range/dd51a
Result: (False, 0)

Sehogy, ez csak a plaintext-ben kiszivárgott (vagy visszafejtett) jelszavakat csekkolja.

Salt nélküli md5 esetében a törési idő:

(25 karakter * 2) + 10 szám = 60 karakter 

1db Nvidia GTX2080 md5: 37 085 MHash/s

Ez alapján: days = math.pow(60, len(password)) / 37_085_000_000 / 60 / 60 / 24

Tehát lerosszabb esetben:

 - 8 karakter: 1.2 óra

 - 9 karakter: 3.1 nap

 - 10 karakter: 188 nap

Ezek a számok nem jelszavanként, hanem adatbázisonként értendők (valószínű azért valamivel lassabb nagy mennyiségű hash egyszerre törése)

Rainbow table-el (előre kalkulált hash-ek adatbázisba helyezésével) az idő ennek a töredéke. (max pár perc/jelszó)

Mert ti nem változtattok rendszeresen jelszót?

Hm, mondjuk ebben a kérdésben 'trey' is megszólalhatna igazán, mint a portál üzelemtetője / tulajdonosa. Legalább annyit hogy "uff" :)

Mit kéne rá mondanom? Én nem felelek azért, hogy mások hogyan kezelik a jelszavaikat. Ha valaki nem biztos benne, hogy nem kiszivárgott ki akárhonnan a jelszava, a legokosabb amit tehet, hogy megváltoztatja. Opcionálisan: kikényszeríthetem, hogy mindenki váltson jelszót. Vagy, kikényszerítem, hogy rendszeresen váltsatok jelszót, de már előre hallom a rinyát, hogy minek ez?

trey @ gépház

Ah beleszerkesztettél :)

Ennyit, csak azért vontalak be a témába, hogy üzemeltetőként / tulajdonosként te vagy az aki ki tudja jelenteni hogy szerver oldalról (és CMS oldalról, nem törték meg a hupot, nem futott rajta NSA kliens, stb, a föld lapos) nem történt semmi olyasmi ami miatt bármi is kiszivároghatott volna.

No offense. Tényleg csak ennyit szerettem volna.

ps.: Valóban nem felelsz azért hogy ki milyen jelszót ad meg és hogyan kezeli, itt az szerver oldalon van a hangsúly / az üzemeltetői oldalon, mivel abban viszont van felelősséged, hogy mennyire "secure" az adott oldal ahova az emberek a jelszavaikat gépelgeti be és hogy az esetleg kikerülhetett-e bármikor is bárhova.

Oké. Tudomásom szerint nem. Most előbbre vagyunk? Vagy elfogadod, hogy nincs 100%, leellenőrzöd, hogy az általad használt jelszó sérült-e, ha igen jelzed (ezzel segítesz), majd fogod és megváltoztatod.

Eddig is figyeltem a topikot, de amíg nincs konkrétum, vagy gyanú arra, hogy ez nem egy user error, addig felesleges lármát csinálni.

Jó példával elöl járva: én megnéztem az egyébként gyakran változtatott jelszavam (nem sérült), majd azon nyomban meg is változtattam. Ez kb. 1 percet vett igénybe.

trey @ gépház

Valóban, előbb is le lehetett volna írni. Pl. ha főállásban finanszírozza valaki a HUP tevékenységemet. Amíg ez nincs így, addig, ha megengeded, az adatvédelmi irányelvekben rögzített bejelentési csatornákon érkezett adatvédelmi kérdéseket dolgozom fel, a megadott reagálás időn belül (2 munkanap). Az adatvédelmi bejelentési csatornán eddig 0 darab kérdés érkezett. Az meg nem kötelességem, hogy random fórumtopikokat lessek 0-24-ben.

Egyébként megnézted a jelszavad?

trey @ gépház

Ellenoriztem, regisztracio ota ugyanaz az egyedi jelszavam az oldalon, no pwnage found!

Szerkesztve: 2020. 02. 21., p - 18:02

Nekem is feldobta, de én több oldalon is használtam ugyanezt a jelszót és már sokkal korábban kikerült valahonnan (kb egy, másfél éve), mert spambot megtalálta egy ezer éve nem használt messenger fiókomat vele. Eddig lusta voltam megváltoztatni, most megteszem, örüljön :)

Email, bank és egyéb fontos esetekben úgyis véletlen jelszót használok.

Egyébként aki azt állítja, hogy csak ide használta a generált jelszavát (és azóta ugye megváltoztatta), az nyugodtan kiírhatja plain textben is ide a kikerült jelszót. Az alapján már adatbázisokból meg lehet állapítani, hogy mikor és honnan került ki (ami alapján jelez a böngésző). Egy időben én is gyűjtöttem ezeket, de már nem érdekel. Valakinek viszont biztos megvannak, aki tudna segíteni.

Azért a mostani fullextrás jelszókezelő appok mellett nehogy már gond legyen akár havonta cserélgetni a jelszavakat.

Regisztráció óta nem változtattam jelszót. (Basszus veterán vagyok) Nem került ki elméletileg a jelszavam, pedig annyira nem is erős. Szóval szerintem nem törték meg a hupot.