2 Million T-Mobile customers personal data has been stolen

HUP cikkturkáló

> On late Thursday, T-Mobile revealed that hackers stole some of the personal data of 2 million people in a new data breach.
In a brief intrusion, hackers stole "some" customer data including names, email addresses, account numbers, and other billing information. The good news is that they did not get credit card numbers, social security numbers, according to the company.

https://motherboard.vice.com/en_us/article/a3qpk5/t-mobile-hack-data-br…

Előzmény:

T-Mobile Stores Part of Customers' Passwords In Plaintext, Says It Has 'Amazingly Good' Security

- Does T-Mobile Austria in fact store customers’ passwords in clear text @tmobileat?
- Hello Claudia! The customer service agents see the first four characters of your password. We store the whole password, because you need it for the login for http://mein.t-mobile.at I really do not get why this is a problem. You have so many passwords for every app, for every mail-account and so on. We secure all data very carefully, so there is not a thing to fear
- What if your infrastructure gets breached and everyone’s password is published in plaintext to the whole wide world?
- What if this doesn't happen because our security is amazingly good?

  • 3263 megtekintés

( hnsz2002 v | 2018. 08. 25., szo – 20:43 )

T? Nothing Special. :D
--
"Sose a gép a hülye."

( sj | 2018. 08. 26., v – 08:13 )

akkor most kene a labanc magentat a gdpr-re hivatkozva nagyon megszabni. Ha ezert nem jar a 20M EUR sarc, akkor a hazai mikrovallalkozasok nyugodtan abbahagyhatjak a panikolast...

--
"dolgozni mar reg nem akarok" - HZuid_7086 'iddqd' zoli berserk mode-ba kapcsol

Valamit kertek, hogy fejlesszunk le nekik, mi meg megmutattuk a vonatkozo pontot a szerzodesben, hogy mi arra meg csak ra se nezhetunk, nem hogy hozzanyulni.
Es aztan minket b*szogattak, hogy miert nincs meg kesz, amikor mi meg mutattuk a vonatkozo pontot a szerzodesben az ottani PM csak lerazta, hogy ezzel o nem tud mit kezdeni oldjuk meg, mert az munka lenne, hogy a legal reszleggel beszeljen...

Meg a szokasos fejlesztoknek tilos a direkt contact meg PM felugyelettel is. Aminek az lett a vege, hogy minden informacio min 6 manageren ment at, es a vegere valami teljesen mas jutott at a tuloldalra.

Oszinten szolva azt sem ertem egy ilyen eletkeptelen ceg ilyen emberekkel, hogy a fenebe mukodik...

--

"You can hide a semi truck in 300 lines of code"

( hendrick v | 2018. 08. 26., v – 17:53 )

Úgy tűnik, hogy ez egy iparági sztenderd...
Volt most egy telekom->ephone számhordozás. Be lett regisztrálva ephone nál account, username pwd legenerálva, már csak a hordozott szám hozzárendelését vártuk az accounthoz. Megrendeltük a voip hw adaptert is. Ügyfélszolga közölte, hogy az adaptert csak be kell dugni, _minden_ be van állítva rajta. Azt hittem generálnak egy új voip accot és fölöslegesen dolgoztam, de nem. Vagy cleartext ott is, vagy egyéb magic... nem az én eszközöm, csak segítettem beszereli, így ellenőrizni nem tudom, hogy valóban amit legeneráltunk mi, annak a credentiáit használja-e az eszköz, innen ugye tuti lenne a cleartext, de 90%

Annak messzemenően örülök, hogy rólam mindenkinek ez a kombináció jut eszébe.

Ugyanakkor, a fenti példából talán te is triviálisan látod, hogy nem az OS frissessége, hanem az emberi tényező az, ami adatvesztéshez vezet (vagy nem vezet).

Halkan megsúgom, hogy sem a P3-asomon, sem az XP-s lapotopomon nem volt semmiféle vírus az elmúlt 10 évben, és adatvesztés sem. (A "csak nem tudsz róla" féle demagóg dumákat és a felesleges fősodratú köröket nyugodtan kihagyhatod.)

Lehet, hogy en vagyok lemaradva de mi a baj az MD5-el?
Jo nyilvan ha csak a pw-re van raeresztve az MD5 az nyilvan gaz, de egy tisztesseges salt utan meg mindig ertekelheto vedelmet ad nem? En sem hasznalom mar mert nem az a best practice, es annak biztos oka is van.
Csak erdeklodeskepp, hogy mi is a gond vele.

--

"You can hide a semi truck in 300 lines of code"

egy hash ütközés eléggé más téma és ott egyéb sérülékenységeket is kihasználnak:

"The SHAttered attack is 100,000 faster than the brute force attack that relies on the birthday paradox. The brute force attack would require 12,000,000 GPU years to complete, and it is therefore impractical. "

A hash ütközés pont ugyanez a téma: amikor jelszót akarsz törni, akkor is egy olyan szöveget akarsz találni, aminek ugyanaz a hash-e, mint amit ismersz. Nem akarod te az eredeti jelszót megtalálni, csak egy olyan szöveget, aminek a hashe megegyezik azzal, amelyik hasht elkaptad. Hash ütközést keresel ott is, csak még könnyebb dolgod van: neked az is jó, ha BÁRMILYEN cleartextet megtalálsz, aminek egyezik a hash-e.