Skocz do treści

Tag: hasła

Otwarty ElasticSearch www.gearbest.com

Na Sekurak.pl pojawiło się kilka smaczków odnośnie ogłoszonego przez badacza bezpieczeństwa nazwiskiem Noam Rotem z grupy VPNMentor wycieku danych klientów sklepu www.gearbest.com. Po raz kolejny źródłem wycieku jest niezabezpieczona a jednocześnie publicznie dostępna dokumentowa baza danych. Hasła? Są, w czystym tekście. Okazuje się, że hasła klientów przechowywane są w bazie czystym tekstem. Są tam również konta założone na adresy e-mail w domenach .pl. Kupowałem na GearBest.Com, co teraz? Jeśli jesteś klientem GearBest.com jak najszybciej zmień swoje hasło na sklepie. Jeśli co gorsze używasz tego samego (lub podobnego) hasła w innych miejscach jak najszybciej pozmieniaj i te hasła. Baza wisiała w…

Wyciek danych z chmurowego managera haseł

W Sylwestra 2018r, Abine –  firma zajmująca się dostarczaniem rozwiązań chroniących prywatność w sieci, poinformowała w komunikacie o wycieku danych z managera haseł Blur. Do wycieku doszło przed 13 grudnia 2018r. Na błędnie skonfigurowanym buckecie Amazon S3 znajdowały się dane 2,4 miliona użytkowników, którzy zarejestrowali się w usłudze przed 6 stycznia 2018: adresy e-mail w przypadku niektórych kont – pytania bezpieczeństwa, służące do odzyskania dostępu do konta w przypadku niektórych kont – imię i nazwisko zaszyfrowane hasła, zaszyfrowane dane kart kredytowych i inne, używane przy autouzupełnianiu formularzy z Blur; według FAQ dane te są zaszyfrowane kluczami, które posiada tylko użytkownik (Blur…

Wyciek danych ze słowackiego Bombuj.eu

Na stronie serwisu, gdzie można sprawdzić czy padło się ofiara wycieku danych (haveibeenpwned.com) pojawiła się informacja nowej bazie danych loginów i hashy haseł . Niesolone hasła potraktowane funkcją MD5 w połączeniu z adresem e-mail mają pochodzić z włamania na serwis udostępniający darmowe filmy – Bombuj.eu. Baza liczy 575 tysięcy unikalnych rekordów. Jak podaje haveibeenpwned.com do tej pory (16:15CET 2018-12-10) nikt z Bombuj.eu nie odpowiedział na próby kontaktu w tej sprawie. Twórcy aplikacji powinni pamiętać, że funkcja MD5 nie nadaje się do tworzenia funkcji skrótu haseł, zwłaszcza niesolonych (bez dodatkowego, indywidualnego łańcucha przedłużającego łańcuch podlegający działaniu funkcji skrótu).  Zalecamy koniecznie hasła solić oraz…