Wyciek danych użytkowników Benchmark.pl
Lista haszy haseł użytkowników serwisu Benchmark.pl została odkryta na stronie Hashes.org, na której to znajduje się ona już od przeszło miesiąca. Wewnątrz paczki danych znalazło się łącznie 183 794 hashy, spośród których 98 110 zostało złamanych. Wśród informacji widnieją zarówno hashe MD5, ale także bcrypta, uchodzącego za znacznie doskonalszy mechanizm.
Pobieżna analiza danych wewnątrz paczki pokazuje, że odkodowane zostały przede wszystkim hasła MD5 – przeważnie te dość nieskomplikowane. Pośród haseł bcrypt rozszyfrowane zostały wyłącznie te najbardziej oczywiste – najkrótsze i najmniej skomplikowane. Płynie z tego prosta nauka: hasła do każdego z serwisów powinny być nie tylko unikalne, ale także złożone, składające się z ciągów cyfr i znaków, a nie wyrazów, które da się znaleźć w słowniku. W ich zapamiętaniu pomoże dobry menadżer haseł.
Przykładowe odkodowane hasła w BRCYPT. Złamano tylko najprostsze hasła zakodowane w ten sposób. | Źródło: Zaufana Trzecia Strona
Nie wyciekły inne dane, ale… zmieńcie swoje hasła
Jak już wspomniałem, w paczce danych znajdują się hashe haseł, którym nie towarzyszą loginy oraz adresy e-mail. Nie oznacza to jednak, że nie powinniście zmienić hasła dostępowego w serwisie benchmark.pl – o ile z niego korzystaliście. Co więcej, w wypadku, gdy stosowaliście identyczne hasło w innym serwisie, również powinniście je zmodyfikować.
Reakcja administratorów serwisu Benchmark.pl na zgłoszenie była błyskawiczna. Jego przedstawiciele potwierdzili autentyczność znaleziska i zaplanowali niezbędne działania. Przy okazji zakomunikowano, że serwis wprowadził haszowanie haseł bcryptem mniej więcej dwa lata temu. Każdy, kto logował się w tym czasie na stronie internetowej ma hasło zabezpieczone w ten właśnie sposób.
Źródło: Zaufana Trzecia Strona, Hashes.org