Vlákno názorů k článku
Mall.cz resetuje hesla, k části databáze se mohli dostat hackeři [AKTUALIZOVÁNO]
od Xxx - Nic takového z toho neplyne a je to...
-
Jirka (neregistrovaný)
Nikoli, to je jen vaše interpretace.
To je samozřejmě možné. Všichni věštíme pouze z dat, poskytnutých Mallem, které jsou pravděpodobně různě zkreslené (čímž neříkám, že nutně úmyslně). Je docela dobře možné, že "starší datábází" mysleli nějakou starší zálohu.
Budeme-li soudit podle toho, co tu padlo v diskuzi, tak to, co nám Mall předkládá, není celá pravda. Viz reset hesla u relativně nově založeného účtu, viz dedukce o poštovních adresách. A ten informační mail je dost fiasko.
Za sebe Mallu nedůvěřuju a účet pravděpodobně zruším. Zajímalo by mě, zda v rámci současného zákona o ochraně osobních údajů jde požádat i o to, aby mé osobní údaje smazali ze starších záloh, a jak by to realizovali ;-)
-
Ve FAQ přiznávají, že mají více databází s uživatelskými účty podle toho, kdy byl účet založen
Nikoli, to je jen vaše interpretace.Mít více oddělených databází účtů by bylo velmi krkolomné a muselo by to mít nějaký velmi vážný důvod. Který by se teď najednou těžko vyřešil, navíc v době, kdy řeší únik hesel a nějaká migrace databáze by bylo to poslední, co by teď chtěli řešit.
Já bych si spíš tipnul, že „starší databáze“ znamená, že jim utekla nějaká starší záloha – jak je v těchhle případech obvyklé. No a pokud si u hesla neukládají, kdy bylo změněno (což není moc časté), nezbývá jim než změnit hesla všem účtům, které existovaly v době, kdy byla pořízena ta záloha. Neresetovat heslo jenom proto, že bylo hashováno silnějším algoritmem, by bylo dost riskantní riskantní. Útočník nemusí jenom těžit nová hesla, může také použít hesla z jiných útoků, a jenom si ověří, že má dotyčný stejné heslo i u Mall.cz – tomu nezabrání sebenovější hashovací algoritmus (zabránilo by tomu, pokud by do hashování vstupovala i sůl uložená mimo databázi, pokud by ji útočník nezískal).
-
Jirka (neregistrovaný)
Ve FAQ přiznávají, že mají více databází s uživatelskými účty podle toho, kdy byl účet založen. Dále tam pak uvádějí: "U starších účtů jsme proto změnili heslo a automaticky je převedli na zmiňovanou nejnovější šifrovací metodu bcrypt". Podle příspěvku Arcao zde v diskuzi bylo heslo resetováno i lidem, kteří si ho měnili nedávno. Z toho mi vyplynulo, že až teď zkonvertovali účty z nejstarší databáze (která používala MD5 na hashování hesel) do nenovější databáze (která používá bcrypt). Nebylo by to moc překvapivé, pokud si nikam neukládají, jaký algoritmus je pro heslo použit a dedukují to pouze z toho, která databáze byla použita.
Ale možná je to jen nešťastné vyjádření.
Navíc se tu mezitím někdo vyjádřil, že to rozesílají i novým účtům. Takže bůhví, co se tam vlastně děje.
-
Jirka (neregistrovaný)
Spíš je dost neuvěřitelné, že při změně hesla rozhoduje o tom, jaký algoritmus se použije, datum založení účtu. Takže pokud si člověk založil účet před pěti lety, tak se i při změně hesla minulý týden použilo MD5.
Podle těch jejich FAQ (které se mimochodem tváří, jako by ten únik byla chyba uživatelů a ne chyba Mall, zní to sakra arogantně) teď ty MD5 účty ručně převedli na bcrypt. Což znamená, že tři roky staré účty stále jedou na SHA1, i když si teď změníte heslo.
Takhle pojatá bezpečnost si koleduje o další průšvih.
-
Arcao (neregistrovaný)
Jop, mohli si potichu hashovat stará hesla novým algoritmem při přihlášení. A pak ten zbytek účtů, na které se nikdo dlouho nepřihlásí zablokovat.
Mimochodem 27.8.2017 jsem měnil heslo na 16 místný generovaný a stejně mi zablokovali účet a musel jsem si nechat vygenerovat nové heslo. Takže ty hesla blokli všem. :/
ČLÁNKY DO MAILU