Cred că una dintre primele companii care admit deschis că au fost umiliți atât de tare încât băiatul care făcea asta era pe cale să descarce baza de date cu utilizatori. Și l-au oprit pe la 250.000 utilizatori, zic ei.
Mai departe scrie în carte: IPurile erau din China, China nu cooperează, hackerii chinezi ne-au atacat. Nu spune nimeni că, la 600 milioane de utilizatori de internet, computerele din China sunt vulnerabile grupa mare și oricine cu un scanner din ăla de Windows (adică pentru retarzi) poate găsi computere pe care să le folosească apoi în astfel de atacuri.
Asta ar fi una. A doua: când folosești astfel de computere, viteza este inamicul tău numărul 1. Adică Gigelul care a făcut asta a avut acces la tot, dar n-a apucat să descarce decât o parte din baza de date. La fel cum nigerianul care a spart ROTLD a spart tot, dar a modificat doar ce a vrut, nu cum declară idioții de la ICI.
Cred că lucrurile astea se întâmplă, inevitabil, la orice nivel.
Nu te apuci să arunci cu noroi în compania ale cărei servere au fost sparte decât dacă ești idiot și îți închipui că atacul informatic e făcut, ca în filme, de un băiat cu font verde pe fundal negru.
În rest, dacă ești cât de cât întreg la minte, înccepi să te gândești la lucrurile pe care ești dispus să le pierzi online. Și pui mâna și-ți iei un HDD extern, DVD-uri și-un seif
Cei cărora li s-au descărcat datele, au fost anunțați cumva?
Adevarul nu se spune niciodata. Nici tu nu ai declara proportiile reale ale unei astfel de situatii.
Eu am fost una din „victime”. Nu știu dacă chiar a fost spart contul dar știu că de câteva săptămâni cineva îmi tot trimitea cereri de schimbare de parolă. Ieri mi-a fost resetată parola de către Twitter și eu a trebuit să o schimb.
@eugen plesa: nu astepta sa te anunte, mai bine schimba-ti parola de la cont si basta.
In alta ordine de idei, pentru cei de la Twitter nu este prima data cand au asemenea probleme de securitate si se pare ca tot nu vor sa investeasca niste bani in sporirea securitatii. Nu au nici o scuza.
@Stefan: Ai scris vreodată vreo bucățică de cod? Sunt lucruri care-ți pot scăpa din vedre, oricât de bun ai fi.
La twitter nu mai e vorba de o bucatica de cod … iar la nivelul la care sunt trebuiau sa investeasca niste bani in sporirea securitatii.
@ Andrei Ionita: gluma buna Is perfect de acord cu tine doar ca lor le-au scapat din vedere cam multe lucruri
Uita-te si tu un pic in lista de vulnerabilitati pe care le-a avut Twitterul de-a lungul timpului si o sa vezi ca sunt cam multe pentru un site care se respecta.
off * Fail` list is down again
dar de ce le-au spart? distractie…?
ce criptare aveau datele?
In functie stii daca e de porc sau te doare la basca.
Chestii rele se intampla si la case mari. Banuiesc ca aveau criptare ca doara e twitteru. Si vad ca nu invata nimic din istorie.
Am primit doua mesaje de la Twitter, cel de mai jos si unul cu un link de schimbare a parolei.
Dear Twitter User:
As a precautionary security measure, we have reset your Twitter account password. Check your inbox for a separate email from Twitter with instructions on how to reset your password. If you don’t see an email, you can go to this page in our Help Center to request a password reset. More information is below.
We recently detected an attack on our systems in which the attackers may have had access to limited user information – specifically, your username, email address and an encrypted/salted version of your password (not the actual letters and numbers in your password). Further information about the attack can be found in this blog post.
Since your password has been reset, your old password will not work when you try to log into Twitter. We strongly encourage you to take this opportunity to select a strong password – at least 10 (but more is better) characters and a mixture of upper and lowercase letters, numbers, and symbols – that you are not using for any other accounts or sites. Using the same password for multiple online accounts significantly increases your odds of being compromised.
For more information about making your Twitter and other Internet accounts more secure, read our Help Center documentation or the FTC’s guide on passwords.
This attack was not the work of amateurs, and we do not believe it was an isolated incident. The attackers were extremely sophisticated, and we believe other companies and organizations have also been recently similarly attacked. For that reason we felt that it was important to reset your password and publicize this attack while we still gather information. We are also helping government and federal law enforcement in their effort to find and prosecute these attackers to make the Internet safer for all users.
Twitter
Facebook pe cand?
@auras: faptul ca primeai cereri de schimbare de pass probabil ca nu are nici o legatura cu hacking-ul despre care e vorba aici.
Alea ar putea sa arate ca cineva incerca sa-ti ghiceasca parola, pe cind hack-ul a insemnat ca aia au avut acces la baza de date de useri: usernames, emails, passwords (hash-uri, nu clear text).
In articol zice ca passwords erau criptate (probabil MD5) si salted. Asta inseamna ca chiar daca au informatiile alea, hakerii au hash-urile, insa nu au cum sa intre in contul cuiva pt ca MD5 nu e reversibil deci nu poti ajunge de la hash-uri la textul necriptat, care iti trebuie pt login.
Daca nu erau salted, cu rainbow tables, dictionare si ceva inteligenta se pot gasi usor parolele care genereaza MD5-urile pt majoritatea userilor. E foarte greu pt 10+ caractere daca sunt random, adica nu sunt folosite cuvinte de dictionar combinate cu cifre si eventual e-urile inlocuite cu 3-uri.
Twitter cere probabil user-ilor sa reseteze passwords ca sa fie on the safe side, dar cu salting ar trebui ca aia sa recalculeze tot (rainbow tables & shit) pt fiecare salt in parte, si ar fi probabil prea time consuming.
@alxzen: nu stii sa citesti ? Vrei mura-n gura ? E un link acolo. Citeste. Criptate (probabil MD5) cu salt. Good enough.
Tare asta