Wyciekły dane użytkowników dużego polskiego portalu technologicznego

Maksym SłomskiSkomentuj
Wyciekły dane użytkowników dużego polskiego portalu technologicznego
{reklama-artykul}Wpadki w postaci wycieków danych zdarzają się nawet największym i z pozoru najlepiej zabezpieczonym serwisowym. Problemy tego rodzaju dotykały już Facebooka, Yahoo, PlayStation Network, eBay, czy nawet sieć hoteli Marriott. Tym razem w tarapatach znalazł się jeden z najstarszych polskich serwisów poświęconych tematyce komputerowej i nowym technologiom. Wyciek danych z Benchmark.pl ujawniła Zaufana Trzecia Strona.

Wyciek danych użytkowników Benchmark.pl

Lista haszy haseł użytkowników serwisu Benchmark.pl została odkryta na stronie Hashes.org, na której to znajduje się ona już od przeszło miesiąca. Wewnątrz paczki danych znalazło się łącznie 183 794 hashy, spośród których 98 110 zostało złamanych. Wśród informacji widnieją zarówno hashe MD5, ale także bcrypta, uchodzącego za znacznie doskonalszy mechanizm.

Pobieżna analiza danych wewnątrz paczki pokazuje, że odkodowane zostały przede wszystkim hasła MD5 – przeważnie te dość nieskomplikowane. Pośród haseł bcrypt rozszyfrowane zostały wyłącznie te najbardziej oczywiste – najkrótsze i najmniej skomplikowane. Płynie z tego prosta nauka: hasła do każdego z serwisów powinny być nie tylko unikalne, ale także złożone, składające się z ciągów cyfr i znaków, a nie wyrazów, które da się znaleźć w słowniku. W ich zapamiętaniu pomoże dobry menadżer haseł.

hasla md5 2

Przykładowe odkodowane hasła w MD5. Tylko z pozoru skomplikowane (długie, ale „słownikowe”). | Źródło: Zaufana Trzecia Strona
hasla bcrypt
Przykładowe odkodowane hasła w BRCYPT. Złamano tylko najprostsze hasła zakodowane w ten sposób. | Źródło: Zaufana Trzecia Strona

Nie wyciekły inne dane, ale… zmieńcie swoje hasła

Jak już wspomniałem, w paczce danych znajdują się hashe haseł, którym nie towarzyszą loginy oraz adresy e-mail. Nie oznacza to jednak, że nie powinniście zmienić hasła dostępowego w serwisie benchmark.pl – o ile z niego korzystaliście. Co więcej, w wypadku, gdy stosowaliście identyczne hasło w innym serwisie, również powinniście je zmodyfikować.

Reakcja administratorów serwisu Benchmark.pl na zgłoszenie była błyskawiczna. Jego przedstawiciele potwierdzili autentyczność znaleziska i zaplanowali niezbędne działania. Przy okazji zakomunikowano, że serwis wprowadził haszowanie haseł bcryptem mniej więcej dwa lata temu. Każdy, kto logował się w tym czasie na stronie internetowej ma hasło zabezpieczone w ten właśnie sposób.

Źródło: Zaufana Trzecia Strona, Hashes.org

Udostępnij

Maksym SłomskiZ dziennikarstwem technologicznym związany od 2009 roku, z nowymi technologiami od dzieciństwa. Pamięta pakiety internetowe TP i granie z kumplami w kafejkach internetowych. Obecnie newsman, tester oraz "ten od TikToka". Miłośnik ulepszania swojego desktopa, czochrania kotów, Mazdy MX-5 i aktywnego uprawiania sportu. Wyznawca filozofii xD.