13 grudnia 2010

Mały serwis internetowy = duże zagrożenie?

poniedziałek, grudnia 13, 2010 | Autor: \m/ojtek
Czytelnicy śledzący nasz mikroblog, czy też zaprzyjaźnieni z naszą facebookową stroną, wiedzą już za pewne, że w ostatnim czasie doszło do kradzieży i upublicznienia kolejnej sporej dawki danych pochodzących tym razem ze znanych serwisów internetowych należących do grupy Gawker Media (Gawker, Fleshbot, Deadspin, Lifehacker, Gizmodo,). Tego typu przypadki są zawsze bardzo głośne, co daje internautom szansę na szybką reakcję. Spójrzmy jednak na pewnym przykładzie praktycznym na to, jak tego typu incydenty wyglądają w przypadku mało znanych serwisów internetowych.

Po tym, jak w sieci upublicznione zostały kody źródłowe serwisów grupy Gawker Media oraz kopie baz danych z nazwami użytkowników, adresami e-mailowymi oraz skrótami haseł, Gawker podjął stosowne działania. Opublikowano odpowiednie wyznanie/ostrzeżenie, dzięki czemu wszyscy zainteresowani swym bezpieczeństwem użytkownicy mogli przedsięwziąć stosowne kroki (tutaj możecie w najprostszy możliwy sposób sprawdzić, czy przypadkiem Wasze dane również nie zostały wykradzione):
Przy okazji po raz kolejny mogliśmy się również przekonać o tym, że internauci bardzo często korzystają z niewystarczająco silnych haseł. Zestawienie najpopularniejszych haseł w opublikowanych bazach wygląda bowiem następująco (ilość wystąpień hasło):
  • 2516 123456
  • 2188 password
  • 1205 12345678
  • 696 qwerty
  • 498 abc123
  • 459 12345
  • 441 monkey
  • 413 111111
  • 385 consumer
  • 376 letmein
  • 351 1234
  • 318 dragon
  • 307 trustno1
  • 303 baseball
  • 302 gizmodo
  • 300 whatever
  • 297 superman
  • 276 1234567
  • 266 sunshine
  • 266 iloveyou
  • 262 fuckyou
  • 256 starwars
  • 255 shadow
  • 241 princess
  • 234 cheese
Spójrzmy teraz na przykład związany z zupełnie innym, mało znanym serwisem internetowym. Wczoraj jeden z czytelników (użytkownik Gmaila: bartek46op) powiadomił mnie, że niezaszyfrowane kopie baz danych serwisu Laboteka (zawierające m.in. dane użytkowników oraz skróty haseł), są przez administratorów przechowywane w ramach... ogólnie dostępnej strony internetowej. Wszystko wyglądało dokładnie tak i było już oczywiście zindeksowane przez Google Search:
Po tym jak skontaktowałem się z właścicielem wspomnianego serwisu, reakcja była natychmiastowa. Pan Arek zgodził się ze mną, że kopie bazy nie powinny być ogólnie dostępne i na swój sposób zabezpieczył dostęp. Jednak moja sugestia co do tego, że należy również ostrzec swych użytkowników o potencjalnym zagrożeniu (wynikającym chociażby ze skłonności internautów do stosowania podobnych haseł w różnych serwisach internetowych) związanym z dotychczasowym publicznym dostępem do całej bazy serwisu, spotkała się z następującą odpowiedzią:
Wszystko racja, tylko te hasła są zakodowane. (..) nie wiem jakie jest to kodowanie ale raczej dobre, nie sądzę żeby ktoś chciał się trudzić ich łamaniem.
Sytuacja ta świetnie obrazuje to, w jaki sposób administratorzy oraz właściciele małych serwisów internetowych traktują kwestie bezpieczeństwa swych użytkowników. Co najgorsze, w takich wypadkach możemy w ogóle nie być świadomi tego, że z jednego z odwiedzanych przez nas serwisów wyciekły wszystkie dane, dzięki czemu intruz poznał nasze hasła i w konsekwencji uzyskał dostęp do naszych kont w innych serwisach internetowych.

Pamiętajmy więc zawsze, że korzystając z mało znanych serwisów internetowych, zazwyczaj powierzamy swe dane osobom o niewielkiej wiedzy technicznej i bardzo mglistym pojęciu na temat bezpieczeństwa. W takim wypadku zawsze powinniśmy więc korzystać z danych (w tym haseł), których upublicznienie nie narazi nas na żadne daleko idące konsekwencje. Jeśli natomiast mamy problem z zapamiętywaniem dziesiątek różnorakich haseł, powinniśmy opracować swój własny system haseł.

[źródło]
Etykiety: , , ,
Subskrybuj: Komentarze do posta (Atom)

Blogger Template created with Artisteer by Wojciech Smol.