Данные 4 млн пользователей Quidd оказались в открытом доступе

Данные 4 млн пользователей Quidd оказались в открытом доступе
eeb5ecc9393a02f2a181446837b18ef0.jpg

Учетные данные онлайн-площадки по продаже цифровых предметов коллекцонирования Quidd оказались опубликованы на форуме, распространяющем незаконные утечки информации. На продажу выставлены почти 4 млн учетных записей, включая логины и хеши паролей (bcrypt hashed). Несмотря на то, что пароли хранились в зашифрованном виде, злоумышленники уже начали работу над их расшифровкой, и в сети появлялись сообщения об успешной расшифровке 1 млн паролей.

Хеширование – одна из базовых функций защиты паролей при хранении для успешной авторизации. Разберемся, в чем она заключается. Хеш-функция (Hash) — это функция однозначного отображения любой строки на конечное множество, то есть строку заданной длины. Существуют криптографические и некриптографические хеш-функции. Для того, чтобы хеш-функция считалась криптографически стойкой, она должна удовлетворять трем основным требованиям:
  • Необратимость –  для заданного значения хеш-функции должно быть вычислительно неосуществимо найти блок изначальных данных.
  • Стойкость к коллизиям первого рода – для двух заданных сообщений должно быть вычислительно неосуществимо подобрать другое сообщение с таким же значением хеш-функции.
  • Стойкость к коллизиям второго рода – должно быть вычислительно неосуществимо подобрать пару схожих сообщений, имеющих одинаковый хеш.
Для криптографических хеш-функций также важно, чтобы при малейшем изменении аргумента значение функции сильно изменялось (избежание лавинного эффекта). В частности, значение хеша не должно давать утечки информации даже об отдельных битах аргумента. Это требование является залогом криптостойкости алгоритмов хеширования, хеширующих пользовательский пароль для получения ключа.

В украденных у компании Quidd данных использовалась более стойкая чем MD5 функция хеширования bcrypt – криптографическое хеширование на основе шифра Blowfish, использующееся для защищенного хранения паролей.

Все описанные свойства помогают избежать простого подбора исходного значения путем перебора специальным образом сформированных сообщений. Тем не менее, хеш-функции подвержены атаке подбора. Но если хеш-функция MD5 перебирается со скоростью 16000 миллионов хешей в секунду, то bcrypt – 8,5 тысяч хешей в секунду. Что делает ее перебор значительно более длительным. Но все еще возможным на современном оборудовании.

Утечка в Quidd опасна еще тем, что данные содержат множество корпоративных e-mail крупных аккаунтов: Microsoft, Accenture, AIG и других. Это может спровоцировать рост Business Email Compromise атак с использованием этих аккаунтов, которые могут нанести огромный финансовый ущерб организациям. Поэтому важно на сервисах, не связанных с работой, использовать некорпоративные e-mail.

Рекомендации экспертов группы компаний Angara:
  • Безопасность парольной защиты обеспечивается регулярностью смены пароля и достаточной его сложностью.
  • На сервисах, не связанных с рабочей деятельностью, использовать личные, а не корпоративные e-mail адреса.
Alt text

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Angara Technologies Group

Корпоративный блог компании Angara Technologies Group