Данные 4 млн пользователей Quidd оказались в открытом доступе

Данные 4 млн пользователей Quidd оказались в открытом доступе
eeb5ecc9393a02f2a181446837b18ef0.jpg

Учетные данные онлайн-площадки по продаже цифровых предметов коллекцонирования Quidd оказались опубликованы на форуме, распространяющем незаконные утечки информации. На продажу выставлены почти 4 млн учетных записей, включая логины и хеши паролей (bcrypt hashed). Несмотря на то, что пароли хранились в зашифрованном виде, злоумышленники уже начали работу над их расшифровкой, и в сети появлялись сообщения об успешной расшифровке 1 млн паролей.

Хеширование – одна из базовых функций защиты паролей при хранении для успешной авторизации. Разберемся, в чем она заключается. Хеш-функция (Hash) — это функция однозначного отображения любой строки на конечное множество, то есть строку заданной длины. Существуют криптографические и некриптографические хеш-функции. Для того, чтобы хеш-функция считалась криптографически стойкой, она должна удовлетворять трем основным требованиям:
  • Необратимость –  для заданного значения хеш-функции должно быть вычислительно неосуществимо найти блок изначальных данных.
  • Стойкость к коллизиям первого рода – для двух заданных сообщений должно быть вычислительно неосуществимо подобрать другое сообщение с таким же значением хеш-функции.
  • Стойкость к коллизиям второго рода – должно быть вычислительно неосуществимо подобрать пару схожих сообщений, имеющих одинаковый хеш.
Для криптографических хеш-функций также важно, чтобы при малейшем изменении аргумента значение функции сильно изменялось (избежание лавинного эффекта). В частности, значение хеша не должно давать утечки информации даже об отдельных битах аргумента. Это требование является залогом криптостойкости алгоритмов хеширования, хеширующих пользовательский пароль для получения ключа.

В украденных у компании Quidd данных использовалась более стойкая чем MD5 функция хеширования bcrypt – криптографическое хеширование на основе шифра Blowfish, использующееся для защищенного хранения паролей.

Все описанные свойства помогают избежать простого подбора исходного значения путем перебора специальным образом сформированных сообщений. Тем не менее, хеш-функции подвержены атаке подбора. Но если хеш-функция MD5 перебирается со скоростью 16000 миллионов хешей в секунду, то bcrypt – 8,5 тысяч хешей в секунду. Что делает ее перебор значительно более длительным. Но все еще возможным на современном оборудовании.

Утечка в Quidd опасна еще тем, что данные содержат множество корпоративных e-mail крупных аккаунтов: Microsoft, Accenture, AIG и других. Это может спровоцировать рост Business Email Compromise атак с использованием этих аккаунтов, которые могут нанести огромный финансовый ущерб организациям. Поэтому важно на сервисах, не связанных с работой, использовать некорпоративные e-mail.

Рекомендации экспертов группы компаний Angara:
  • Безопасность парольной защиты обеспечивается регулярностью смены пароля и достаточной его сложностью.
  • На сервисах, не связанных с рабочей деятельностью, использовать личные, а не корпоративные e-mail адреса.
Alt text
«Опасное будущее» наступает очень быстро, поэтому мы решили еженедельно мониторить поток новостей. Cмотрите обзор на нашем Youtube канале.  

Angara Technologies Group

Корпоративный блог компании Angara Technologies Group