«Сегодня утром мы выявили нарушения безопасности, в результате которых некоторые пользовательские пароли, возможно, стали доступны злоумышленникам», написал в своем блоге генеральный директор Formspring Аде Олоно (Ade Olonoh). «В ответ на это мы отключили все пароли пользователей. Приносим свои извинения за причиненные неудобства, однако мы предпочитаем не рисковать и поэтому попросили всех подписчиков сбросить свои пароли. Пользователям будет предложено сменить свои пароли при повторном входе в Formspring». В записи подчёркивается, что опубликованы были только хэши, — без какой-либо информации о пользователях. Отвечая на вопросы ресурса TechGeek, представитель Formspring сказал, что они узнали о том, что 420 тыс. хэшей паролей были опубликованы. Проверка показала, что все они находились в базах данных сервиса. Компания подтвердила, что намерена модернизировать свои системы поддержки BCrypt. На вопрос о том, каким образом злоумышленники получили доступ к данным, находящимся на сервере, представитель компании в электронном письме заявил: «Мы обнаружили, что кто-то посторонний проник в один из наших серверов и имел возможность извлечь информацию об учетных записях из базы данных». «Мы смогли сразу же исправить брешь. Компания пересматривает свою внутреннюю политику безопасности и методы ее реализации, чтобы гарантировать, что подобное никогда не повторится». Источник Злободневный вопрос - где скачать хэши?
Утечка паролей Formspring Популярный сервис вопросов и ответов Formspring последовал примеру Linkedin, Last.fm и прочих сайтов, которые признались в утечке баз данных с парольными хэшами. Исполнительный директор компании подтвердил в корпоративном блоге, что база из 420 тыс. хэшей, опубликованная на одном из хакерских форумов, действительно принадлежит пользователям Formspring. Расследование выявило, что неизвестный злоумышленник проник на один из серверов разработки и скопировал базу хэшей. Уязвимость в системе уже закрыта. Пароли всех пользователей Formspring (их более 22 млн) принудительно деактивированы, и для входа на сайт требуется сменить пароль. Интересно, что в рассылке пользователям руководство сервиса решило не распространяться об инциденте, видимо, чтобы не пугать людей. В письме сказано, что пароли нужно сменить по «причинам безопасности». Представители Formspring также сказали, что они ещё не перешли на более продвинутую функцию хэширования BCrypt, но зато используют соль для изменения хэшей. Таким образом, подобрать хэши для паролей Formspring будет не так просто, как для Linkedin. В корпоративном блоге директор Formspring рекомендует пользователям использовать пароль из 10 и более символов и хранить его в безопасном месте. Дата: 11.07.2012 http://www.xakep.ru/post/58974/