2 Million T-Mobile customers personal data has been stolen

 ( toMpEr | 2018. augusztus 25., szombat - 14:27 )

> On late Thursday, T-Mobile revealed that hackers stole some of the personal data of 2 million people in a new data breach.
In a brief intrusion, hackers stole "some" customer data including names, email addresses, account numbers, and other billing information. The good news is that they did not get credit card numbers, social security numbers, according to the company.

https://motherboard.vice.com/en_us/article/a3qpk5/t-mobile-hack-data-breach-api-customer-data

Előzmény:

T-Mobile Stores Part of Customers' Passwords In Plaintext, Says It Has 'Amazingly Good' Security

- Does T-Mobile Austria in fact store customers’ passwords in clear text @tmobileat?
- Hello Claudia! The customer service agents see the first four characters of your password. We store the whole password, because you need it for the login for http://mein.t-mobile.at I really do not get why this is a problem. You have so many passwords for every app, for every mail-account and so on. We secure all data very carefully, so there is not a thing to fear
- What if your infrastructure gets breached and everyone’s password is published in plaintext to the whole wide world?
- What if this doesn't happen because our security is amazingly good?

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

T? Nothing Special. :D
--
"Sose a gép a hülye."

akkor most kene a labanc magentat a gdpr-re hivatkozva nagyon megszabni. Ha ezert nem jar a 20M EUR sarc, akkor a hazai mikrovallalkozasok nyugodtan abbahagyhatjak a panikolast...

--
"dolgozni mar reg nem akarok" - HZuid_7086 'iddqd' zoli berserk mode-ba kapcsol

Haha, +1
--
"Sose a gép a hülye."

Nemet ceg, majd persze megbuntetik mint a VW-t.

Egyebkent barmilyen ceg aminek a neveben van a "T" az egy ceg amit nagy ivben el kell kerulni.
Meg ugyfelnek is borzalmasok, nem hogy szolgaltatonak...

--

"You can hide a semi truck in 300 lines of code"

Meg ugyfelnek is borzalmasok

errol szivesen hallanek :-)

--
"dolgozni mar reg nem akarok" - HZuid_7086 'iddqd' zoli berserk mode-ba kapcsol

Itt vagyok pl én :D:D

na de mondani is kene valamit a temaban, ha mar jelentkezel :-)

--
"dolgozni mar reg nem akarok" - HZuid_7086 'iddqd' zoli berserk mode-ba kapcsol

Valamit kertek, hogy fejlesszunk le nekik, mi meg megmutattuk a vonatkozo pontot a szerzodesben, hogy mi arra meg csak ra se nezhetunk, nem hogy hozzanyulni.
Es aztan minket b*szogattak, hogy miert nincs meg kesz, amikor mi meg mutattuk a vonatkozo pontot a szerzodesben az ottani PM csak lerazta, hogy ezzel o nem tud mit kezdeni oldjuk meg, mert az munka lenne, hogy a legal reszleggel beszeljen...

Meg a szokasos fejlesztoknek tilos a direkt contact meg PM felugyelettel is. Aminek az lett a vege, hogy minden informacio min 6 manageren ment at, es a vegere valami teljesen mas jutott at a tuloldalra.

Oszinten szolva azt sem ertem egy ilyen eletkeptelen ceg ilyen emberekkel, hogy a fenebe mukodik...

--

"You can hide a semi truck in 300 lines of code"

Jesus

Ez annyira nem kivételes a multinacionális világban, Franko kollégának van egy kiváló esszéje a témában. :)

tesla, toyota?


"I'd rather be hated for who I am, than loved for who I am not."

Kicsiknek nincs cimbi a husosfazek kornyeken... :(

Speciel ez a Telekom USA dolga volt, rájuk meg nem vonatkozik a GDPR, ha nem európai az ügyfél.
Persze a topiknyitó ügyesen ferdített, a Telekom Austria dolgait keverte a Telekom USA-val. De hát mindegy is.

Úgy tűnik, hogy ez egy iparági sztenderd...
Volt most egy telekom->ephone számhordozás. Be lett regisztrálva ephone nál account, username pwd legenerálva, már csak a hordozott szám hozzárendelését vártuk az accounthoz. Megrendeltük a voip hw adaptert is. Ügyfélszolga közölte, hogy az adaptert csak be kell dugni, _minden_ be van állítva rajta. Azt hittem generálnak egy új voip accot és fölöslegesen dolgoztam, de nem. Vagy cleartext ott is, vagy egyéb magic... nem az én eszközöm, csak segítettem beszereli, így ellenőrizni nem tudom, hogy valóban amit legeneráltunk mi, annak a credentiáit használja-e az eszköz, innen ugye tuti lenne a cleartext, de 90%

A jelszóhash másolható, szóval nem kell rögtön rosszra gondolni. Viszont a VoIP eszközökben, legalábbis régen, cleartext kellett megadni a jelszót, tehát nem lettél sokkal előrébb.

UPDATE: T-Mobile now says "encrypted passwords" were compromised in latest data breach.

We obtained a sample of one "encrypted password" and turns out it may be a Base64 string that decodes to a MD5 hash. In other words, it could potentially be cracked.

https://twitter.com/lorenzofb/status/1033076790686883842

potentially helyett inkább trivially kellett volna abba a mondatba

P3-as Win XP-n? ;)

Annak messzemenően örülök, hogy rólam mindenkinek ez a kombináció jut eszébe.

Ugyanakkor, a fenti példából talán te is triviálisan látod, hogy nem az OS frissessége, hanem az emberi tényező az, ami adatvesztéshez vezet (vagy nem vezet).

Halkan megsúgom, hogy sem a P3-asomon, sem az XP-s lapotopomon nem volt semmiféle vírus az elmúlt 10 évben, és adatvesztés sem. (A "csak nem tudsz róla" féle demagóg dumákat és a felesleges fősodratú köröket nyugodtan kihagyhatod.)

Ó, én csak a P3-ason MD5 törés trivialitásán gondolkodtam el. ;)

Lehet, hogy en vagyok lemaradva de mi a baj az MD5-el?
Jo nyilvan ha csak a pw-re van raeresztve az MD5 az nyilvan gaz, de egy tisztesseges salt utan meg mindig ertekelheto vedelmet ad nem? En sem hasznalom mar mert nem az a best practice, es annak biztos oka is van.
Csak erdeklodeskepp, hogy mi is a gond vele.

--

"You can hide a semi truck in 300 lines of code"

Rainbow table, egy lépésben lekérdezhető a jelszó. Már ha nem sózták. Ha igen, akkor John the Ripper és vissza van fejtve néhány nap (max. néhány hét) alatt az egész, amilyen pocsék jelszavakat használnak birkáék.

Igazából sha1/sha256/sha512 is majdnem ugyanolyan rossz ilyen célra, mint az md5:

MD5       407k hash/s
SHA-1     312k hash/s
SHA-256   148k hash/s
SHA-512   189k hash/s

(AVX512-vel valószínű még közelebb került a sebessége az MD5-höz)

Gyanús ez nekem, az MD5-nek nagyságrendekkel gyorsabbnak (illetve az SHA-2-nek nagyságrendekkel lassabbnak) kéne lennie egymáshoz képest.
Az SHA-1 megtörése is csak tavaly sikerült a Google-nek, eléggé komoly erőforrásokkal.
http://shattered.io/

egy hash ütközés eléggé más téma és ott egyéb sérülékenységeket is kihasználnak:

"The SHAttered attack is 100,000 faster than the brute force attack that relies on the birthday paradox. The brute force attack would require 12,000,000 GPU years to complete, and it is therefore impractical. "

A hash ütközés pont ugyanez a téma: amikor jelszót akarsz törni, akkor is egy olyan szöveget akarsz találni, aminek ugyanaz a hash-e, mint amit ismersz. Nem akarod te az eredeti jelszót megtalálni, csak egy olyan szöveget, aminek a hashe megegyezik azzal, amelyik hasht elkaptad. Hash ütközést keresel ott is, csak még könnyebb dolgod van: neked az is jó, ha BÁRMILYEN cleartextet megtalálsz, aminek egyezik a hash-e.

Szerintem inkább azért, mert van rá ismert collision attack.

"de egy tisztesseges salt utan meg mindig ertekelheto vedelmet ad nem?"
Nem, ugyanis nem az a cél, hogy a jelszót megtudd, hanem az, hogy olyan bytesorozatot talál, aminek ugyanaz az MD5 hashe, mint ami nálad el van tárolva.
Ilyet meg könnyű találni, az MD5-re van ismert attack.

a Base64 string that decodes to a MD5 hash

nyihihiiii alias ez mieeeeert?

--
"dolgozni mar reg nem akarok" - HZuid_7086 'iddqd' zoli berserk mode-ba kapcsol

sirtam... sigh

--
"dolgozni mar reg nem akarok" - HZuid_7086 'iddqd' zoli berserk mode-ba kapcsol