LINUX.ORG.RU
ФорумTalks

Kickstarter взломан

 ,


1

4

Сегодня администрация kickstarter.com сообщила, что их сайт был взломан. Им об этом сообщили, в свою очередь, в среду из правоохранительных органов. Как об этом узнали эти органы, админы не написали. Дыра была уже закрыта, предпринимаются дальнейшие меры по улучшению безопасности.

Информация о кредитных картах украдена не была. «Неавторизованные действия» обнаружены только на двух пользовательских аккаунтах.

Однако утекли имена пользователей, адреса e-mail, почтовые адреса, телефоны и хэши паролей. В связи с этим всем пользователям рекомендуется сменить пароль на случай, если его будут подбирать по хэшу.

★★★★★

PS: A technical note on Kickstarter's passwords — older passwords were uniquely salted and digested with SHA-1 multiple times. More recent passwords are hashed with bcrypt.

uniquely salted and digested with SHA-1 multiple times

Тысяча солей, интересно сколько итераций? Две, три, пять?

edigaryev ★★★★★
()
Ответ на: комментарий от reprimand

Напомнило один весьма посещаемый форум. Тематика не суть важна. Важно то что с форумом сосуществуют на одном аккаунте хостинга три сайта (один из них - тот от которого форум, и два - похожей тематики). Один из сайтов-сателлитов сделан на наколеночном движке, с SQL-инъекцией. Вытащить базу пользователей и сайтов, и форума можно с полпинка. Админы «защитились» - на форуме для входа в админку нужен дополнительный пароль, который пошифрован неизвестным (для не видящих код) алгоритмом. При этом мыльники пользователей и хэши паролей горе-админам пофигу. Главное что одминка на замке.

svr4
()
Ответ на: комментарий от svr4

лол, у них походу даже один пользователь в БД был для всех трёх проектов. А это уже крайне печально.

reprimand ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Talks