Пароли от почты Mail.ru теперь известны всем. Спасибо vBulletin

29-08-2016 Пароли от почты Mail.ru теперь известны всем. Спасибо vBulletin

Недавно обнаруженная уязвимость в бесплатно распространяемом ПО доски объявлений (bulletin board) vBulletin привела к раскрытию регистрационных данных более чем 25 миллионов пользователей Mail.ru Уязвимость была использована посредством SQL-инъекции и привела к утечке конфиденциальных данных пользователей родственных сервисов:

  1. tanks.mail.ru - 3 236 254 аккаунта;
  2. parapa.mail.ru (форум) - 3 986 234 аккаунта;
  3. parapa.mail.ru (игра) - 5 029 530 аккаунта;
  4. cfire.mail.ru - 12 881 787 аккаунта;

Данные состояли из имён пользователей, их email-ов, дат рождения и хэшей паролей. Большим недостатком хранения хэшей паролей явился используемый в vBulletin алгоритм хэширования — устаревший MD5. Его расшифровка современными средствами достигается очень быстро.

Пресс-служба Mail.ru Group отреагировала на публикации об утечке, сообщив, что взломанные пароли уже не актуальны и владельцам скомпрометированных почтовых ящиков направлено уведомление о необходимости смены пароля. Однако даже в случае смены паролей пользователи почтового сервера Mail.ru лишились заметного пласта приватной информации — email пользователи из-за инцидента вряд ли будут менять, а дату рождения и вовсе не изменить. Комбинация уже только этих двух элементов может дать массу возможностей киберпреступникам для таргетированного спама и рассылки вредоносных вложений пострадавшим пользователям.

Автор:

Количество просмотров 558 просмотров

← Шифровальщик CryptXXX распространяется через рассылки

Новые и лучшие

03-06-2014
Очередные сбои от Mail.ru
Очередные сбои от Mail.ru

«Уважаемый пользователь! По техническим причинам Ваш почтовый ящик временно недоступен» - это весьма неприятное сообщение ожидало пользователей сервиса Майл.ру. Дальнейшее развитие событий и решение вопроса читайте в статье.

06-12-2014
HTTPS - безопасность прежде всего!
HTTPS - безопасность прежде всего!

Сайт www.korporativnaya-pochta.com теперь доступен по защищенному соединению HTTPS.

29-11-2015
Популярные почтовые сервисы провалили тест безопасности шифрования
Популярные почтовые сервисы провалили тест безопасности шифрования

Должно ли популярное быть безопасным? Иногда факт, который кажется таким очевидным, на проверку оказывается полной противоположностью ожиданиям.

07-02-2014
Россию накроет волна спама
Россию накроет волна спама

Правительство России серьезно озабочено очередным нововведением. В этот раз оно призвано для усовершенствования системы коммуникаций между государственными учреждениями и гражданами страны.