Утечка базы пользователей eBay. SourceForge инициировал смену паролей
Проникновение было совершено приблизительно три месяца назад через аккаунты нескольких работников eBay, параметры доступа которых были перехвачены злоумышленниками. При помощи данных аккаунтов атакующие смогли проникнуть в корпоративную сеть eBay и получить доступ к некоторым серверам. Факт проникновения был обнаружен две недели назад. Сообщается, что eBay привлёк ведущих юристов и экспертов по безопасности для расследования инцидента и проведения модернизации, которая позволит предотвратить подобные атаки в будущем. В настоящее время уже точно известно к каким БД получили доступ атакующие. Пользователям, параметры которых могли попасть в руки атакующих, отправлены уведомления о необходимости смены пароля. Доказательств совершения неавторизированных действий с использованием параметров входа пользователей не найдено.
Почти сразу после заявления о взломе eBay, популярный хостинг открытых проектов SourceForge объявил о инициировании процесса смены паролей для всех пользователей. Поясняется, что смена паролей является следствием перехода на более надёжный метод хранения параметров доступа. При следующем входе на сайт пользователю будет предложено поменять свой пароль. Про какие-либо инциденты с безопасностью не сообщается. При этом непонятно, почему потребовалась обязательная смена паролей во время очередного входа, в то время как замену хэша пароля можно было организовать прозрачно для пользователя (базу хэшей нельзя преобразовать автоматически, но при входе в систему пользователь вводит пароль, который во время процедуры аутентификации виден системе в открытом виде, т.е. при успешном прохождении проверки можно было прозрачно сгенерировать и сохранить новый хэш).
Дополнение: представители SourceForge пояснили, что смена паролей для всех пользователей обусловлена изменением требований к минимальной длине пароля, переходом на новый движок аутентификации и изменением алгоритма хэширования. Кроме предложения сменить пароль при входе, сегодня осуществлена рассылка на email с предложением изменить пароль.
Источник: http://www.opennet.ru/opennews/art.shtml?num=39832
|
0 | Tweet | Нравится |
|