Vlákno názorů k článku V úniku z Mallu je přes tři čtvrtě milionu jmen, hesel a telefonních čísel v čitelné podobě od ​ Bystroushaak - Lidi, píše vás takhle víc a zatím každému...

Lidi, píše vás takhle víc a zatím každému jsem to heslo poslal, pokud psali ze stejného emailu ke kterému chtějí to heslo vědět.Mail na mě je: bystrousak(at)ki­takitsune.org

Hele, mě je to fakt úplně ukradený. Prostě jsem něco pro osobní potřebu udělal, hodil to na github a dál mě to nezajímá. To že jsem hodil odkaz sem do diskuze je jen takový možný bonus pro ostatní, nic víc. Nemám žádné poplatky z použití. Když to nikdo nebude používat, tak prostě nebude, já do toho rozhodně nikoho nutit nebudu.

Nevím, kde jsi přišel na to že se lidi bojí o bezpečnost - lidi se bojí o to, že Mall lže v tom svém formuláři, stejně jako lhal při všemožných vyjádřeních. Sami imho pořádně neví, co se stalo, tak je oprávněná obava že budou dezinformovat i ohledně toho komu všemu hesla unikly. Tyhle názory si necucám z prstu, to píšou i lidi přímo v téhle diskuzi.

Jinak mi psali na mail dva lidi, že se jim to hodilo, že tam našli svůj email a ať jim pošlu i heslo co jim uniklo, aby věděli co maj změnit, takže minimálně dvěma lidem to užitečné bylo. Ale i kdyby nebylo, tak pro mě to těžko něco mění.

Při vší úctě. Kolik lidí z 1 000 si podle tebe bude kontrolovat ten kód? Kolik lidí bude schopno, nebo ochotno? Kolik z nich má dostatek znalostí, aby sami sebe přesvědčily, že ten kód je všechno, co se vykoná?

Rozuměj... Nedává to smysl. Člověk, co se tak bojí o svoji bezpečnost, že nevěří Mallu bude věřit neznámému scriptu? Někam má zadat svoji mailovou adresu, o kterou se bojí? Má někde něco prověřovat a přesvědčit sám sebe, že toho ví dost na to, aby mohl prohlásit, že je to všechno bezpečné?

Osobně mi připadá, že všechny ty předpoklady jsou proti sobě.

Myslíš ten 39 řádkový script v čistém pythonu, který má všeho všudy 23 řádků kódu, když vynechám mezery a komentáře? Řekl bych, že i člověk, který programování vůbec nerozumí by měl být schopný si zkontrolovat, že dělá co má dělat.

Jinak je tam i samotná databáze hashů emailů, takže pokud se někomu nechce ten script používat, může se do ní podívat třeba grepem, pokud si předtím vytvoří sha256 hash svého mailu v lowercase ručně.

No nevím... Člověk natolik paranoidní (nemyslím to ve zlém), že nevěří Mallu, bude vkládat do nějakého neznámého scriptu svoji emailovou adresu? Těžko uvěřit.

Já natolik paranoidní nejsem, ale svoji adresu bych ti tam asi nenapsal.

Pokud nevěříš mall.cz, tak tady jsem udělal jednoduchý script na základě té uniklé databáze, který zkontroluje zda tam tvůj mail je, nebo není: https://github.com/Bystroushaak/mall_checker

Je tam i SHA256 databáze všech uniklých mailů.

Jestli v tom souboru byla hesla v plaintextu, tak to už asi byl výsledek nějakého lámání hesel. Že by ty náhodné shluky písmen u některých osob byly nalezené kolize s heslem reálným?

Jen aby nedošlo k nedorozumění - nepíšeme, že na Uloz.to byla kompletní databáze se všemi hesly z Mallu - něco takového bychom těžko dokázali ověřit. Píšeme, že máme databázi uniklých hesel, která se objevila na Uloz.to, v tom je rozdíl.

Z našich testů vyplývá, že několik uživatelů se silnými hesly se buď v úniku vůbec nenašlo, nebo hesla u jejich mailu neodpovídala skutečnosti (byla tam ta šestimístná, která vypadal jako náhodně vygenerovaná). Na vyvozování obecného záměru ale neznáme dost takových případů.

A ano, tisková zpráva Mallu se patrně snažila věci zamlžovat, přesnější detaily zveřejnili až na blogu. A také máte samozřejmě pravdu v tom, že je to celé věcí důvěry.

Pokud vím, databázi dostali, tak by se tam snad měla taky brzo objevit.

Píšeme to v závěru textu: např. Mall zveřejnil aplikaci, která ověřuje, jestli váš účet v úniku je.

Odkaz je v posledním odstavci článku.