„CityBee“ skelbia rekomendacijas klientams, nukentėjusiems nuo duomenų vagystės

kas turit dump`ą parašykit pm

Užsiregistruok ir parsisiųsi https://raidforums.com/Thread-CityBee-L ... d-Download

ten reikia virtualiu pinigeliu uzsidirbti arba nusipirkti.

Slaptažodžiai md5 unsalted. Nėra sunku kažkam susigeneruoti krūvos md5 hash'ų iš standartinio slaptažodžių žodyno, ir patikrinti kas tokius naudoja. Ok esu senamadiškas, tai jau buvo padaryta, ir yra didžiulės duombazės, kur galima daryti reverse search. Įvedate tą md5 eilutę, ir spaudžiate "Find it". Jei sugrąžino tą patį tekstą, kuris buvo įvestas generatoriuje, slaptažodis savaime yra nesaugus, ir jis bus lengvai atkoduotas. Jei gaunate "1020", tai jo nėra toje konkrečioje duombazėje. Nesiūlau to daryti su savo slaptažodžiu, ir jei visgi padarėt ir jį atrado, nesiūlau toliau naudoti to slaptažodžio.

Iš kur tokios žinios? Nesinorėtu tikėti, kad ju appsą indusai programino

aš kažkur užmačiau, kad sha1 unsalted. Didelio skirtumo tai nesudaro.

Tai, kad ne MD5, o SHA1. Pasiūlytas finderis turbūt ieško ir per SHA1 įrašus jei pavyko kažką rast. Šitą greičiausiai NFQ sukodino, bent jau prieš 3 metus jie kodino, tai nemanau, kad pakeitė kažką nuo to laiko, o kas sugalvojo bazės kopiją įkelt į Azure blob'ą, tai tam tikrai dabar rūgštu subinėj.

Man tik keista, koks šaršalas kilo dėl citybee, ir kaip visiems buvo px ir nulis viešai informacijos apie tai, kai VU, E-sveikata, savivaldybių duomenys nutekėjo. VU duomenis pavogė, įskaitant mano slaptažodį, su kuriuo pavyko jiems rasti kur gali prisijungti. (ne nesu VU studentas). Niekas nei pranešė, nei ką. Po policijos tyrimo tik buvo išsiaiškinta, kad duomenis pavogė iš VU. Vėlgi, VU nuostolių neatlygino, net pranešimo nebuvo, kad pavogė ir pasikeisti psw reiktų. Čia kažkas kiša pinigus, kad Modus susilpninti ir savo pozicijas sustiprinti?

duokit man tą bazę, aš irgi noriu paieškot.

Nu tai į pasteBin'ą netilpo P.S. tiems, kurie nelabai supranta - paprastai tariant duomenų bazės atsarginė kopija buvo įkelta į viešą "web puslapį", kuris tipiškai naudojamas web puslapių viešo turinio saugojimui, pvz., paveiksliukai, vieši parsisiuntimai ir pan. Todėl techniškai niekas niekur neįsilaužė, tiesiog rado viešumoje besimėtančius duomenis.

Na jei taip, tai VU yra blogiau nei citybee. Geriau pranešti apie problemą, kad paskyrų savininkai galėtų reaguoti, nei tylėt ir laukti kol silpnų slaptažodžių turėtojai nukentės. Sakyčiau jei kažkas tyli, ir nepraneša, jį reikia patraukti atsakomybėn, kaip nusikaltimo bendrininką. Aišku gali būti problema, kai nelaužtos sistemos savininkas net nežino apie tai. Bet esame to požiūrio, kad nežinojimas neatleidžia nuo atsakomybės.

Įtariu tai buvo ne įmonės politika, o kažkurio darbuotojo sprendimas perdarinėjant sistemą... Tas žmogus dabar turbūt jau pardavinėja skubotai turtą ir slepia viską Šveicarijoje ar Karibuose

Spėju, čia buvo eksperimentas. Azure blob servisas yra pigus būdas saugoti daug duomenų ir vienas iš pagrindinių panaudojimo būdų yra big data analitika ("data lake"). Greičiausiai eksperimentavo su tuo, ką gali išspausti iš savo duomenų, o paskui tiesiog nukrito kiti darbai ir tą eksperimentą banaliai pamiršo.

https://www.reddit.com/r/lithuania/comm ... baz%C4%97/ Girdėjot naujienas?

Gandais labai pasitikėti neverta, netikiu, kad būtų be druskos, o su druska net MD5 nelabai iššifruosi, geriausiu atveju gausi tūkstančius galimų slaptažodžio variantų viena hash'ui.

Jei turi druską, ir žinai kur ją dėti, gali susigeneruoti savo slaptažodžių lentelę. Kad md5 unsalted parašė tas kuris buvo įdėjąs visą duombazę.

Beprasmiška, druska kiekvienam slaptažodžiui skirtinga, "pigiau" gaunasi bruteforce'inti.

Priklauso nuo implementacijos. Argon2id atveju taip, bet kažkas gali tiesiog sukurti globalų kintamąjį iš 16 atsitiktinių simbolių, ir hashinti $static_salt + $password stringą. Ir net toks variantas bus geriau, nes jam reikia generuotis naują slaptažodžių lentelę.

Jeigu jau taip tinginys suėmęs, tai hash($name+hash($pass+$email))? Ar elementariai, pass+email? Realiai jokio overhead`o programuojant, o slaptažodžio hashas nieko gero nerodys, reikės viską bruteforcinti.

.NET standartinėje implementacijoje druska randominė (insertinant). Nelabai įsivaizduoju, kas ir kodėl galėtų "implementuoti" kitaip, vėlgi, nebent legacy sistema, bet citybee pernelyg naujas reikalas.