Как известно, больше месяца назад компания Adobe сообщила о хакерской атаке на свои сервера, в результате которой была украдена база данных пользователей, включающая ФИО, зашифрованные пароли и номера банковских карт, а также исходники её главных продуктов. Изначально говорилось о 2.9 миллионах скомпрометированных учетных записей, но реальность оказалась намного страшнее.
Вскоре файл с 130 324 429 уникальными записями весом в 10GB был выложен в открытый доступ и любой желающий смог скачать и покопаться в нем.
Каждый зашифрованный пароль в дампе базы имеет длину 8, 16, 24, 32, 40 или 48 символов в шестнадцатеричной системе. Хотя Adobe заверяла, что данные надежно зашифрованы, при внимательном изучении базы паролей, оказалось, что использовался симметричный блочный шифр 3DES в режиме Electronic Code Book (ECB), при этом перед шифрованием к каждому паролю добавлялся ноль в конце (ASCII NUL).
Быстро был составлен Топ 100 самых популярных паролей в базе:
Использование вместо хеширования с солью, довольно древнего механизма симметричного шифрования с единственным ключом, для такой солидной компании кажется невиданно глупостью. Большой размер базы упрощает нахождение мастер-ключа, а тот кто его вычислит, сможет полностью расшифровать весь дамп. Данный эпикфейл Adobe уже породил несметное количество грустных шуток среди безопасников:
Вдохновившись комиксом xkcd, ребята сделали на основе 1000 наиболее популярных пользовательских паролей целый кроссворд :)
В качестве вопросов предлагается зашифрованный вариант, для ответа надо вписать пароль в plaitext. При клике в белом блоке отображается до 50 самых популярных подсказок для этого пароля. Нескучных выходных!
Вскоре файл с 130 324 429 уникальными записями весом в 10GB был выложен в открытый доступ и любой желающий смог скачать и покопаться в нем.
Каждый зашифрованный пароль в дампе базы имеет длину 8, 16, 24, 32, 40 или 48 символов в шестнадцатеричной системе. Хотя Adobe заверяла, что данные надежно зашифрованы, при внимательном изучении базы паролей, оказалось, что использовался симметричный блочный шифр 3DES в режиме Electronic Code Book (ECB), при этом перед шифрованием к каждому паролю добавлялся ноль в конце (ASCII NUL).
Быстро был составлен Топ 100 самых популярных паролей в базе:
Использование вместо хеширования с солью, довольно древнего механизма симметричного шифрования с единственным ключом, для такой солидной компании кажется невиданно глупостью. Большой размер базы упрощает нахождение мастер-ключа, а тот кто его вычислит, сможет полностью расшифровать весь дамп. Данный эпикфейл Adobe уже породил несметное количество грустных шуток среди безопасников:
Вдохновившись комиксом xkcd, ребята сделали на основе 1000 наиболее популярных пользовательских паролей целый кроссворд :)
В качестве вопросов предлагается зашифрованный вариант, для ответа надо вписать пароль в plaitext. При клике в белом блоке отображается до 50 самых популярных подсказок для этого пароля. Нескучных выходных!
