Con quale facilità verranno violati i dati vBulleting di vBulletin e Foxit? Quali dati sono a rischio? Come è stato incarcerato?

2

vBulletin Solutions e Foxit Software sono stati violati. Il colpevole (ColdZer0 o Coldroot) afferma di avere dati da 479.895 account vBulletin Service e Foxit Software che includono identificatori, domande e risposte di sicurezza, e password sali e hash.

Quali dati sono stati effettivamente esposti?
Come sono state crittografate le risposte e le password? Quanto sarà facile ottenere i valori originali?

Nota, un paio di anni fa è stato violato un altro sito basato su vBulletin, MacRumors Forum. Più della metà degli ~ 860.000 sali sono stati segnalati come lunghi 3 bit. Si trattava di account apparentemente più vecchi che non avevano avuto una recente modifica della password.

    
posta BillR 05.11.2015 - 00:45
fonte

1 risposta

1

Non ho una copia di vBulletin da me stesso per ispezionare, ma multiplo fonti richiesta che il loro schema di hashing sia:

md5(md5(password)+salt)

Questo è un peccato visto che md5 ha alcune debolezze documentate , ed è anche un hash "veloce". I processi di hash utilizzati per le password dovrebbero essere lenti per rendere gli attacchi di forza bruta lenti (e, si spera, praticamente impossibili).

Le notizie buone (ish) sono:

a. Sono stati sottoposti a hash e non sono stati memorizzati in testo semplice

b. Sono salati quindi un semplice attacco da tavolo arcobaleno probabilmente non funzionerà

Le principali minacce sono gli attacchi di forza bruta (specialmente quelli basati su dizionario).

Hashcat è stato benchmark a 8.581.000.000 md5 hash al secondo su un normale PC da gioco. Supponendo che i sali siano stati esposti nella discarica, sono necessarie una password z e 2 operazioni di md5 per combinazione, quindi occorrerebbero circa 48 secondi per forzare la forza con una password di 8 caratteri o 9 ore per 10 caratteri. I PC di cracking dedicati sono considerevolmente più veloci e un attacco basato sul dizionario sarebbe di nuovo molto più veloce.

A meno che tu non abbia una password molto lunga e sei sicuro che non sarà in un dizionario, considererei la tua password compromessa. In pratica, considererei la tua password compromessa a prescindere.

    
risposta data 05.11.2015 - 01:07
fonte

Leggi altre domande sui tag