Утечка базы пользователей eBay. SourceForge инициировал смену паролей
21 мая 2014 года
Интернет-аукцион eBay уведомил пользователей об утечке базы паролей и временно заблокировал возможность входа до выполнения процедуры смены пароля. Сообщается, что в результате атаки злоумышленники получили доступ к хэшам паролей пользователей и их персональным данным, таким как ФИО, email, дата рождения, номер телефона и адрес. Связанные с финансовыми операциями данные и параметры счетов в PayPal не пострадали, так как они размещены на отдельных изолированных серверах и хранятся в зашифрованном виде.
Проникновение было совершено приблизительно три месяца назад через аккаунты нескольких работников eBay, параметры доступа которых были перехвачены злоумышленниками. При помощи данных аккаунтов атакующие смогли проникнуть в корпоративную сеть eBay и получить доступ к некоторым серверам. Факт проникновения был обнаружен две недели назад. Сообщается, что eBay привлёк ведущих юристов и экспертов по безопасности для расследования инцидента и проведения модернизации, которая позволит предотвратить подобные атаки в будущем. В настоящее время уже точно известно к каким БД получили доступ атакующие. Пользователям, параметры которых могли попасть в руки атакующих, отправлены уведомления о необходимости смены пароля. Доказательств совершения неавторизированных действий с использованием параметров входа пользователей не найдено.
Почти сразу после заявления о взломе eBay, популярный хостинг открытых проектов SourceForge объявил о инициировании процесса смены паролей для всех пользователей. Поясняется, что смена паролей является следствием перехода на более надёжный метод хранения параметров доступа. При следующем входе на сайт пользователю будет предложено поменять свой пароль. Про какие-либо инциденты с безопасностью не сообщается. При этом непонятно, почему потребовалась обязательная смена паролей во время очередного входа, в то время как замену хэша пароля можно было организовать прозрачно для пользователя (базу хэшей нельзя преобразовать автоматически, но при входе в систему пользователь вводит пароль, который во время процедуры аутентификации виден системе в открытом виде, т.е. при успешном прохождении проверки можно было прозрачно сгенерировать и сохранить новый хэш).
Дополнение: представители SourceForge пояснили, что смена паролей для всех пользователей обусловлена изменением требований к минимальной длине пароля, переходом на новый движок аутентификации и изменением алгоритма хэширования. Кроме предложения сменить пароль при входе, сегодня осуществлена рассылка на email с предложением изменить пароль.
Источники[править]
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии[править]
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.
