Bezpečnost | Únik dat

Katalogu titulků OpenSubtitles.org v létě totálně vykradli databázi. Přiznal se až teď

Katalogu filmových a seriálových titulků OpenSubtitles.org unikla kompletní uživatelská databáze. Pokud jste se tedy do služby také přihlašovali a stejné heslo používáte i na ostatních webech, je čas na velký úklid. Útok se týká zhruba 6,7 milionů uživatelů.

Správci katalogu zveřejnili detaily přímo ve svém fóru a není to zrovna lichotivé čtení – byť do jisté míry pochopitelné. Útočník je po Telegramu poprvé kontaktoval už loni v srpnu. Překonal slabé heslo administrátora a dostal se k nezajištěnému skriptu, pomocí kterého si nechal vypsat obsah celé databáze. Poté požádal o výkupné v BTC.

Klepněte pro větší obrázek
V létě nám vykradli celou databázi, přiznává se ve fóru správce OpenSubtitles.org 

Web samozřejmě odmítl, opravil některé chyby, nicméně je s podivem, že celý průšvih zveřejnil až nyní po mnoha měsících s tím, že si mají všichni uživatelé změnit hesla.

Omlouváme se, kód OpenSubtitles.org je prostě strašný

Správci se omlouvají s tím, že web pochází z roku 2006, kdy byly standardy zabezpečení ještě relativně nízké. Bohužel s nimi nic neudělali, a tak třeba celou dobu používali pro hešování hesel v databázi dávno překonaný algoritmus md5 a bez soli – kryptografického šumu.

Hešování nahradí původní text hesla v databázi zdánlivě náhodným sledem znaků, který ale matematicky vždy odpovídá původnímu heslu, takže při ověřování hesla se neporovnává jeho skutečná podoba, kterou správce webu ideálně vůbec nezná, ale jen tyto dva heše.

Klepněte pro větší obrázek
Naivní postup zpětného dekódování zahešovaných hesel. Pro zvýšení výkonu se používají předpočítané duhové tabulky a další techniky 

Problém spočívá v tom, že u slabších hešovacích algoritmů včetně md5 lze z heše při současném výkonu počítačů a kvůli chybám v designu znovu spočítat původní heslo. Právě proto se k heslu přidává ještě ona sůl – další textové znaky –, které to mají případnému útočníkovi ještě více znesnadnit.

The site was created in 2006 with little knowledge of security, so passwords were stored in md5() hashes without salt Klepněte pro větší obrázek It means, if you used strong password (lets say at least 10 characters with lowercase, uppercase, number and special characters) you should be safe, but short easy passwords, specially if they are in the english dictionary can rather easily be extracted from these data.

Správce OpenSubtitles.org

Pokud k tomu ale připočítáme skutečnost, že zejména v počátcích používali návštěvníci webu poměrně jednoduchá a krátká hesla, reverzní výpočet bude snadný, uznávají správci webu.  

Diskuze (6) Další článek: „Pokud nebude dost lidí pro Zemi, pak rozhodně ani pro Mars,“ varuje Musk před poklesem porodnosti

Témata článku: Bezpečnost, Web, Telegram, Heslo, Únik dat, Katalog, Správce, Titulky, Úklid, Passwords, Databáze, BTC, Org



Jak nainstalovat Windows 11 na nekompatibilní počítač. Instalačku upraví každý

Jak nainstalovat Windows 11 na nekompatibilní počítač. Instalačku upraví každý

**Windows 11 můžete nainstalovat i na starší počítače, které nesplňují požadavky na hardware. **Instalace je ale na vlastní riziko, všechno nemusí fungovat správně. **Aby instalace proběhla, stačí si vytvořit upravené instalační médium.

Petr Urban
Windows 11Operační systémyMicrosoft
Powerfoyle je fotovoltaická vrstva, která vypadá jako dřevo, kůže nebo třeba plast. Už se prodává

Powerfoyle je fotovoltaická vrstva, která vypadá jako dřevo, kůže nebo třeba plast. Už se prodává

** Co kdyby fotovoltaický panel nevypadal jako fotovoltaický panel? ** Teď to zkouší švédský startup Exeger ** Vyrobil speciální vrstvu, kterou už mají první komerční produkty

Jakub Čížek
FotovoltaikaTechnologie
Konec českého poskytovatele internetu v přímém přenosu. Připomíná to krachující energetické firmy
Lukáš Václavík
CETINPoskytovatelé internetuPřipojení k internetu
Jsou vůbec DALL-E, Midjourney nebo Copilot legální? Někdo by to měl rozčísnout, dokud je ještě čas

Jsou vůbec DALL-E, Midjourney nebo Copilot legální? Někdo by to měl rozčísnout, dokud je ještě čas

** Z textových a obrázkových AI generátorů se stávají komerční služby ** Už to není experiment pro pár geeků a programátorů ** Právní experti začínají řešit, jestli náhodou neporušují autorské právo

Jakub Čížek
Autorské právoUmělá inteligence
Výsledky testů GeForce RTX 4090. Grafické monstrum s nesmyslným výkonem zesměšňuje všechny karty na trhu

Výsledky testů GeForce RTX 4090. Grafické monstrum s nesmyslným výkonem zesměšňuje všechny karty na trhu

** K dispozici jsou podrobné nezávislé testy nové grafické karty GeForce RTX 4090 ** Nvidia splnila sliby, mezigenerační skok ve výkonu je obrovský ** DLSS 3 přináší revoluci v počtu fps

Karel Javůrek
GeForce RTX 4000Grafické kartyNvidia
Srovnávací test: Wi-Fi 6 mesh do 5 000 Kč. Víc antén neznamená lepší signál, vyhrály nenápadné krabičky

Srovnávací test: Wi-Fi 6 mesh do 5 000 Kč. Víc antén neznamená lepší signál, vyhrály nenápadné krabičky

Pro pokrytí domů či větších bytů rychlou Wi-Fi je ideální mesh řešení, a to takové, které už myslí na budoucnost, a tedy podporuje Wi-Fi 6. Otestovali jsme jich pro vás rovnou osm.

Antonín Trčálek
Srovnávací testRouterWi-Fi
Facebook má nejspíš vaše telefonní číslo, i když jste mu ho nikdy nedali. Tímto tajným nástrojem ho můžete smazat

Facebook má nejspíš vaše telefonní číslo, i když jste mu ho nikdy nedali. Tímto tajným nástrojem ho můžete smazat

**Meta poskytuje nástroj na vymazání telefonních čísel a e-mailových adres z Facebooku a Instagramu **V minulosti Mark Zuckebrg popřel, že by Facebook vytvářel stínové profily **Metě teď můžete sebrat klíčové iddentifikátory, pořád o vás ale nejspíš ví mnoho dalšího

Petr Urban
MetaSledováníSociální sítě