RSS

Tag Archives: Passwords

Υποκλοπή στοιχείων χρηστών το 2012 από την Disqus εντοπίστηκε τώρα

Η Disqus (την οποία χρησιμοποιούν πολλές online κοινότητες για την διαχείριση των συζητήσεων), αποκάλυψε πως έπεσε θύμα υποκλοπής το 2012 και οι επιτιθέμενοι πήραν πληροφορίες χρηστών της από το 2007 ως το 2012.

Η διαρροή έγινε γνωστή την Πέμπτη, όταν ειδοποιήθηκε από τον διαχειριστή του Have I Been Pwned – Troy Hunt, ο οποίος απέκτησε αντίγραφο των κλεμμένων πληροφοριών. Η Disqus ξεκίνησε την ενημέρωση των χρηστών και το force reset των passwords τους.

Yesterday, on October 5th, we were alerted to a security breach that impacted a database from 2012. While we are still investigating the incident, we believe that it is best to share what we know now. We know that a snapshot of our user database from 2012, including information dating back to 2007, was exposed. The snapshot includes email addresses, Disqus user names, sign-up dates, and last login dates in plain text for 17.5mm users. Additionally, passwords (hashed using SHA1 with a salt; not in plain text) for about one-third of users are included.

We sincerely apologize to all of our users who were affected by this breach. Our intention is to be as transparent as possible about what happened, when we found out, what the potential consequences may be, and what we are doing about it.
Timeline Of Events:

Thursday, October 5, 2017 at 4:18 PM PDT, we were contacted by an independent security researcher, who informed us that the Disqus data may be exposed.
Thursday, October 5, 2017 at 4:56PM PDT we obtained the exposed data and immediately began to analyze the data and verify its validity.
Friday, October 6, 2017, we started contacting users and resetting the passwords of all the users that had passwords included in the breach.
Friday, October 6, 2017, before 4:00PM PDT, we published this public disclosure of the incident.

Potential Impact For Users:

Right now there isn’t any evidence of unauthorized logins occurring in relation to this. No plain text passwords were exposed, but it is possible for this data to be decrypted (even if unlikely). As a security precaution, we have reset the passwords for all affected users. We recommend that all users change passwords on other services if they are shared.

Email addresses are in plain text here, so it’s possible that affected users may receive spam or unwanted emails.

At this time, we do not believe that this data is widely distributed or readily available. We can also confirm that the most recent data that was exposed is from July, 2012.

What We Are Doing to Address This:

As a precautionary measure, we are forcing the reset of passwords for all affected users. We are contacting all of the users whose information was included to inform them of the situation.

We’ve taken action to protect the accounts that were included in the data snapshot. Right now, we don’t believe there is any threat to a user accounts. Since 2012, as part of normal security enhancements, we’ve made significant upgrades to our database and encryption in order to prevent breaches and increase password security. Specifically, at the end of 2012 we changed our password hashing algorithm from SHA1 to bcrypt.

Our team is still actively investigating this issue, but we wanted to share all relevant information as soon as possible. If more information surfaces we will update this post and share any updates directly to users. Again, we’re sorry about this. Your trust in Disqus is important to us and we’re working hard to maintain that.

Thank you to Troy Hunt for initially alerting us of this.

Σύμφωνα με τον Hunt, υποκλοπές έχουν γίνει και στα Bit.ly και Kickstarter, ενώ ερευνά άλλες 3 περιπτώσεις.

[via]

Advertisements
 
Leave a comment

Posted by on 7 October, 2017 in MinOtavrS blog

 

Tags: , , , ,

Σοβαρά κενά ασφαλείας εντοπίζονται στο LastPass για Chrome και Firefox

 

Σύμφωνα με το Engadget ο ερευνητής του Project Zero της Google Tavis Ormandy, που είχε εντοπίσει εμφανή προβλήματα ασφάλειας στον δημοφιλή password manager LasrPass, “ξαναχτύπησε “.

Αυτήν την φορά εντόπισε αρχικά exploit σε μια έκδοση του extension του για τον Firefox και μετά ένα νέο bug που επηρεάζει τόσο τον Chrome όσο και τον Firefox. Τα ευρήματα του όμως δεν τελειώνουν εδώ, αφού εντόπισε και τρίτη ευπάθεια που επιτρέπει την υποκλοπή passwords από οποιοδήποτε domain.

The first vulnerability has apparently not been addressed yet, which Ormandy mentions may be the result of Mozilla needing time to review the updated extension before pushing it to users. Based on his tweet, it could reveal a user’s password, but not all of the details have been revealed yet.

The second issue could be more serious, with the ability to steal a user’s passwords or, if the binary version of the extension is installed, run any code the attacker tells it to (in an example, Ormandy causes the target’s computer to open a Calculator program.) According to LastPass the issue has been resolved, although a promised follow-up blog post with more details has yet to appear.

There’s even less info available about the latest vulnerability identified, although the version number (4.1.35) matches a LastPass changelog note for its most recent Internet Explorer add-on.

[via]
 
Leave a comment

Posted by on 27 March, 2017 in MinOtavrS blog

 

Tags: , , ,

Android: Κενά ασφαλείας σε 9 δημοφιλείς εφαρμογές διαχείρισης password

Σύμφωνα με το XDA Developers ερευνητές της TeamSIK πέρασαν από έλεγχο ασφαλείας τις 9 κορυφαίες εφαρμογές διαχείρισης password για Android, και εντόπισαν προβλήματα ασφαλείας σε αυτές.

Οι εφαρμογές που έλεγξαν και ο αριθμός των κενών ασφαλείας είναι παρακάτω :

  • MyPasswords με 3 ευπάθειες
  • Informaticore Password Manager με 1 ευπάθεια
  • LastPass Password Manager με 3 ευπάθειες
  • Keeper Passwort-Manager με 2 ευπάθειες
  • F-Secure KEY Password Manager με 1 ευπάθεια
  • Dashlane Password Manager με 4 ευπάθειες
  • Hide Pictures Keep Safe Vault με 1 ευπάθεια
  • Avast Passwords με 6 ευπάθειες
  • 1Password – Password Manager με 5 ευπάθειες

Οι developers των εφαρμογών, μετά την αποκάλυψη των προβλημάτων σε αυτές, τις έκλεισαν όλες και από την 1η Μαρτίου είναι ασφαλείς από αυτές.

[via]

 
Leave a comment

Posted by on 4 March, 2017 in MinOtavrS blog

 

Tags: , , ,

Όλοι οι κωδικοί WiFi των αεροδρομίων σε έναν χάρτη

Τα ταξίδια με αεροπλάνο μπορεί να έχουν το ενδιαφέρον τους, ωστόσο η διαδικασία μέχρι να μπείτε και να κάτσετε στη θέση σας, πολλές φορές είναι απίστευτα βαρετή. Αν δε, δεν έχετε κάποιο πρόγραμμα για να αξιοποιήσετε το πακέτο δεδομένων σας εκτός Ελλάδος, τα πράγματα χειροτερεύουν.

Ο blogger Anil Polat κατανόησε αυτό το πρόβλημα περισσότερο από κάθε άλλον με τα ταξίδια που έκανε τα τελευταία χρόνια και έτσι δημιούργησε έναν αλληλεπιδραστικό χάρτη, το οποίο επιτρέπει σε οποιονδήποτε να βρει τον κωδικό του WiFi πολλών αεροδρομίων με ένα click.

Το μόνο που έχετε να κάνετε είναι να πατήσετε πάνω στο χάρτη, να εντοπίσετε την πόλη στην οποία βρίσκεστε (ή σκοπεύετε να ταξιδέψετε) και να κάνετε click πάνω στο αεροδρόμιό της για να βρείτε τα σχετικά δεδομένα που θα σας λύσουν τα χέρια: από το που είναι καλύτερο να κινηθείτε εντός του κτιρίου του αεροδρομίου, μέχρι και το πως θα εισάγετε τον κωδικό.

[via]

 
Leave a comment

Posted by on 2 January, 2017 in MinOtavrS blog

 

Tags: , , ,

Δείτε τα χειρότερα Passwords του 2015

Αν σε αυτή τη λίστα είναι και το δικό σας password, είναι καιρός να το αλλάξετε. Η λίστα της SplashData βρίσκεται πλέον στην 5η της έκδοση.

Η λίστα δημιουργείται από περισσότερα από 2 εκατομμύρια passwords που έχουν διαρρεύσει κατά τη διάρκεια της χρονιάς. Σε σχέση με πέρυσι μερικά νέα και μεγαλύτερα password έχουν εμφανιστεί.

Όμως, το να είναι ένα password μεγάλο δεν σημαίνει ότι είναι και περισσότερο ασφαλές

Ακολουθεί η λίστα με τα χειρότερα password του 2015. Αν ανάμεσα τους δείτε το δικό σας, αλλάξτε το άμεσα!

Κατάταξη Κωδικός Αλλαγή από το 2014
1 123456 Unchanged
2 password Unchanged
3 12345678 Up 1
4 qwerty Up 1
5 12345 Down 2
6 123456789 Unchanged
7 football Up 3
8 1234 Down 1
9 1234567 Up 2
10 baseball Down 2
11 welcome New
12 1234567890 New
13 abc123 Up 1
14 111111 Up 1
15 1qaz2wsx New
16 dragon Down 7
17 master Up 2
18 monkey Down 6
19 letmein Down 6
20 login New
21 princess New
22 qwertyuiop New
23 solo New
24 passw0rd New
25 starwars New

[via]

 
Leave a comment

Posted by on 21 January, 2016 in MinOtavrS blog

 

Tags: , ,

H λίστα με τα 25 χειρότερα passwords του 2014

Ακολουθεί η λίστα με τα περισσότερο συνηθισμένα, τα πλέον προφανή και πλέον ακατάλληλα passwords. Αν χρησιμοποιείτε κάποιο από αυτά… μάλλον φτάσατε τυχαία εδώ.

Η SplashData δημοσιεύει κάθε χρόνο μία λίστα με τα χειρότερα passwords που θα μπορούσατε να επιλέξετε για το λογαριασμό σας, καθώς είναι τα πιο κοινά.

Δυστυχώς, η λίστα με τα 25 ευρέως χρησιμοποιούμενα passwords ελάχιστα έχει μεταβληθεί σε σχέση με πέρυσι, ενώ ευτυχώς παρατηρήθηκε μείωσηστο ποσοστό των ατόμων που τα χρησιμοποιούν.

Δημοφιλέστερος κωδικός είναι το 123456 και ακολουθεί το password, ενώ ψηλά έφτασε ο κωδικός 12345.

Θυμίζουμε ότι ένας “σωστός” κωδικός ασφαλείας, θα πρέπει να αποτελείται από τουλάχιστον 8 ψηφία, θα περιέχει αριθμούς, κεφαλαία και πεζά γράμματα, καθώς και μερικά σύμβολα.

Ακολουθεί η λίστα με τα 20 πιο συνηθισμένα passwords για το 2014 που δεν πρέπει να χρησιμοποιείτε και η μεταβολή στην κατάταξη σε σχέση με το 2013.

Η λίστα δημιουργείται από αρχεία που περιέχουν εκατομμύρια κλεμμένα passwords και έχουν γίνει διαθέσιμα στο internet.

[via]

 
Leave a comment

Posted by on 21 January, 2015 in MinOtavrS blog

 

Tags: , ,

Δείτε τα hidden passwords στον Browser σας

Καμιά φορά μπορεί να συμβεί να ξεχάσετε τον κωδικό πρόσβασης ή τους κωδικούς (passwords) που χρησιμοποιείτε. Βέβαια γνωρίζετε ότι υπάρχουν αποθηκευμένοι στο πρόγραμμα περιήγησης σας.

Το αποτέλεσμα φυσικά, σας είναι γνωστό. Πριν κάνετε login στη σελίδα που σας ενδιαφέρει ο κωδικός σας δεν διακρίνεται γιατί υπάρχει κάτω από τις τελίτσες που εμφανίζονται.

Στον Firefox όλοι οι κωδικοί πρόσβασης υπάρχουν στην διαδρομή Εργαλεία/ Επιλογές/ Καρτέλα «Ασφάλεια» / Αποθηκευμένοι Κωδικοί»
Στο Google  Chrome τα πράγματα είναι ακόμα πιο εύκολα, απλά πηγαίνετε στη διεύθυνση

chrome://settings/passwords

Αν είστε από αυτούς που χρησιμοποιούν ακόμα Interent Explorer μπορείτε να δείτε τους κωδικούς πρόσβασης που χρησιμοποιείτε με την δωρεάν εφαρμογή IE PassView.

Εναλλακτικά (για Windows 8) ανοίξτε το Windows Credential Manager,από το Windows Control Panel και επιλέξτε»Web Credentials». Click στο βελάκι από κάθε website για να δείτε τις πληροφορίες που συμπεριλαμβάνουν και τα passwords σε τελίτσες. ΓΙα να δείτε τπ password, click  στο «Show.» Θα σας ζητηθεί ο κωδικός του χρήστη των Windows.

Αν πάλι θέλετε να το παίξετε hacker στους φίλους σας και δεν θέλετε να χρησιμοποιήσετε κάποιον από τους παραπάνω τρόπους, ανοίξτε μια σελίδα που εμφανίζει ένα αποθηκευμένο password με τελίτσες κάντε copy και paste το παρακάτω κείμενο (javascript) στη γραμμή διευθύνσεων του browser σας.

javascript: var p=r(); function r(){var g=0;var x=false;var x=z(document.forms);g=g+1;var w=window.frames;for(var k=0;k

enjoy!
 
Leave a comment

Posted by on 28 September, 2014 in MinOtavrS blog

 

Tags: , , , ,