Haknut Twitter

Jel haknut ili su jednostavno spoofingom dosli do lozinki? U zadnje vrijeme sam dobivao dosta PM-ova na Twitteru od HR twiterasa sa spoof porukama.

Istina je da je posve čudno da se lozinke drže nekriptirane za tako veliki servis. Inače se to radi na taj način da se umjeto lozinke unese MD5 lozinke, pa se prilikom prijave provjerava dva MD5 (MD5 izračunatog od lozinke koju je korisnik uneo i onog u bazi).

Inače, evo ja provjerio. Može se upasti i na twitter ali i na email račun nekima.

Naravno nisam ništa čitao od pošte jer nisam idiot. Za razliku od anonimusa koji su govna. jedna je stvar borba protiv ACTAe i vlade, druga je stvar krađa privatnih informacija malih korisnika.

Recimo, neki zlikovci bi mogli upasti na e-mail account (kao što sam ja uspio u manje od 2 minute) i pronaći osobne informacije, bilo da se radi o adresi osobe, kreditnoj kartici ili jednostavno privatnim slikama. I onda bi se svi obrušili na twitter jer nisu dovoljno sigurni, a Anonymouse koji su ukrali informacije i prikazali ih na netu bi doživljavali kao narodne heroje.

Kao sto sam vec rekao, twitter vjerovatno nije haknut nego je ekipa spoofana https://snakeriverbbb.wordpress.com/2012/04/25/is-someone-really-saying-nasty-things-about-you-its-a-twitter-scam/

trazi "gmail", "yahoo" i "hotmail".

A gdje piše da su lozinke ukradene Twitteru i odakle ti podatak kako su čuvane lozinke?

Nabadaš. I išao si se logirati sa tuđim podacima. I ne vjerujem da nisi čitao mail.

"Identificirati, locirati, uhititi, transferirati"

Da, može se brute force metodom provjeriti MD5 za svaki mogući string i konačno dobiti odgovarajuću lozinku. Ovo u teoriji predstavlja opasnost. Ali OK, može se koristiti bcrypt   ili dvostruki tj. trostruki MD5 :-)))

Jednako tako ni AES nije opasan. Btw, za lozinke je, ako si spreman prihvatiti da su algoritmi brzi, koristi SHA256 recimo, a ne MD5.

Kakve to veze ima?

ma išao sam malo proučavati po netu nakon što si rekao da je MD5 probijen, pa sam našao na taj bcrypt (nisam nikad prije čuo za njega). Do sada sam koristio MD5 (zbog ugrađenog algoritma unutar ASP.NETa), ali budem predložio firmi neki drugi način (kako ti veliš možda i SHA256).

I ja koristim SHA, ubacis dobar salt i siguran si.

 Rekao bi da su i ti accounti random generirani... Kako mislis da su dosli do 150M korisnika?

sha256 + salt + enryption key. Čisto dovoljno.

Mada sad brijem na phpass odnosno crypt_blowfish u kombinaciji sa sha256, salt-om i encryption key-om.

čuo sam Bypass, čuo sam i za AES, DES, Blowfish, Twofish, TripleDes, Rjindael, MD5, SHA1 i sad po novome bcrypt. Nisam ekspert u enkripciji i moje znanje po tom pitanju je skromno i osnovno. Nisam hodajuća wikipedija i ne mogu znati odgovor na baš svaki problem. Mogu ponuditi moje skromno mišljenje. A ako netko ima portal koji je na udaru hackera i dnevno ga posjeti, neznam, 5 milijuna ljudi tada se neće obazirati na mišljenje osobe na forumu. Portalima i web servisima s realnim brojkama posjete (recimo 20 - 200 ljudi dnevno) sasvim će biti dobar i funkcionalan i MD5 hash.