Όταν οι hackers απέκτησαν πρόσβαση στους 36 εκατομμύρια λογαριασμούς της Ashley Madison, μια ιστοσελίδα για παντρεμένους, πολλοί ήταν εκείνοι που ανησυχούσαν και ήθελαν να μάθουν τι είχε κλαπεί.
Ένα μήνα μετά τη γνωστοποίηση της παράβασης, οι hackers κυκλοφόρησαν το πρώτο πακέτο των κλεμμένων δεδομένων. Οι διευθύνσεις ηλεκτρονικού ταχυδρομείου, κωδικοί πρόσβασης, και οι συναλλαγές που είχαν πραγματοποιηθεί με πιστωτική κάρτα, διέρρευσαν από τις 18 Αυγούστου. Λίγες μέρες μετά εμφανίστηκαν περισσότερα δεδομένα, που συμπεριλάμβαναν: εσωτερικά μηνύματα ηλεκτρονικού ταχυδρομείου με τη μητρική εταιρεία της ιστοσελίδας, Avid Media Life.
Οι δεκάδες εκατομμύρια κωδικοί πρόσβασης, που διέρρευσαν από τη σελίδα Ashley Madison, ήταν κρυπτογραφημένοι, με bcrypt. Ο Robert Graham ερευνητής ασφαλείας στην Errata Security, ανέφερε στο blog τους, ότι το γεγονός ήταν μια “αναζωογονητική αλλαγή.” Αυτό σημαίνει ότι χρήστες με ισχυρούς κωδικούς πρόσβασης είναι “ασφαλείς.”
Δεν μπορούμε να πούμε όμως το ίδιο για τους αδύναμους κωδικούς πρόσβασης.
Ο ειδικός σε θέματα ασφάλειας Dean Pierce ανέφερε πως κατάφερε να σπάσει την κρυπτογράφηση των αδύναμων κωδικών πρόσβασης με “cracking rig.”
Τα αποτελέσματα δεν θα πρέπει να μας εκπλήξουν. Η χρήση αδύναμων κωδικών πρόσβασης στην ιστοσελίδα, ήταν τρομερή.
Ο Pierce πέρασε πέντε ημέρες εκτελώντας μια αυτοματοποιημένη διαδικασία “σπασίματος” κωδικών πρόσβασης, και σταμάτησε περίπου στο 0,0006 τοις εκατό του συνόλου των δεδομένων που διέρρευσαν. Αυτό όμως σημαίνει 4.000 αποκρυπτογραφημένοι κωδικοί πρόσβασης.
Ο πιο κοινός κωδικός πρόσβασης ήταν το γνωστό “123456”, ενώ το επίσης γνωστό “password” κατετάγη στη δεύτερη θέση. (Μπορείτε να κατεβάσετε την πλήρη λίστα από το Google Drive, του Pierce.)
Αξίζει να σημειωθεί ότι στην περίπτωση της Ashley Madison, δεν είναι σαφές από ποια χρονική στιγμή είναι τα δεδομένα με τους κωδικούς πρόσβασης που διέρρευσαν. Είναι πιθανό ότι η ιστοσελίδα επέτρεπε αδύναμους κωδικούς πρόσβασης στις πρώτες ημέρες της λειτουργίας της, και αργότερα απαιτούσε ισχυρότερους κατά την εγγραφή στο site. .
“Μπορεί επίσης να είναι ανέφικτο να σπάσει κάθε κωδικός πρόσβασης με bcrypt, αλλά με δεδομένο ότι αρκετοί χρήστες χρησιμοποιούν αδύναμους κωδικούς, δεν έχει σημασία αν οι κωδικοί πρόσβασης είναι bcrypted και salted. Μερικοί θα σπάσουν.”
Δείτε τους χειρότερους κωδικούς πρόσβασης από το hack της Ashley Madison
Κωδικός πρόσβασης |
Χρησιμοποιήθηκε |
---|---|
123456 | 202 |
password | 105 |
12345 | 99 |
qwerty | 32 |
12345678 | 31 |
ashley | 28 |
baseball | 27 |
abc123 | 27 |
696969 | 23 |
111111 | 21 |
football | 20 |
f**kyou | 20 |
madison | 20 |
a**hole | 19 |
superman | 19 |
f***me | 19 |
hockey | 19 |
123456789 | 19 |
hunter | 19 |
harley | 18 |