Следите за нами:
56.3554
70.6471

Поделитесь с друзьями:

Доступ к учётным данным клиентов открывала уязвимость в eBay Japan

11.02.2018 15:46:00

Доступ к учётным данным клиентов открывала уязвимость в eBay JapanПопулярный сетевой аукцион eBay в стране восходящего солнца имел брешь, воспользовавшись которой, злоумышленники могли получить доступ к учётным данным пользователей. Уязвимость появилась по причине того, что все без исключения пароли к аккаунтам создавались на базе сочетания строк случайных данных и имени клиента. Подобные строки сочетания данных у программистов известны под названием соль. Однако все дело в том, что сетевой аукцион eBay использовал одинаковую для всех, статичную соль. Благодаря этому каждый пользователь, знающий ее, мог получить полный доступ к любой учётной записи.

Информация о найденной бреши была опубликована Ионутом Церником (Ionut Cernica), являющимся ведущим румынским IT-специалистом. В данном случае солью выступала классическая комбинация таких цифр, как 12345. Стоит отметить, что данная комбинация уже давно признана как самый ненадёжный пароль из всех возможных. При этом данная комбинация была одинаковой для всех без исключения пользователей онлайн-аукциона eBay, и все что оставалось сделать злоумышленникам, так это подобрать имена пользователей. Сделать это можно было случайным подбором. Данная брешь в системе аукциона eBay была обнаружена ещё в прошлом месяце и об ее существовании эксперт, обнаруживший уязвимость, опубликовал в своём блоге. Пока что брешь была обнаружена только в eBay Japan и не известно, присутствует ли она в других региональных подразделениях онлайн-аукциона.

По мнению Тейлора Хорнби (Taylor Hornby), являющегося представителем Defuse Security, неоднократное повторное использование соли является самой распространённой ошибкой системных администраторов в рамках предоставления безопасности. Подобная политика малоэффективна, так как если 2 клиента получат один и тот же пароль, то они также будут иметь идентичный хэш. Таким образом, хакеры смогут осуществлять табличную атаку, непосредственно по словарю и единовременно на каждый хэш.


Назад в раздел

Оставить коментарий:

Если вы хотите оставить комментарий авторизуйтесь или зарегистрируйтесь



Зачем?