427 millioner dårligt krypterede kodeord fra Myspace.com sat til salg

Illustration: leowolfert/Bigstock
Myspace.com er i dag en skygge af sin fortidige storhed, men hvis du engang havde en Myspace-konto, så er der grund til at være på vagt efter gigantisk læk.

427 millioner kodeord fra Myspace.com er blevet sat til salg af en hacker, som hævder at have fået fat i kodeordene fra det sociale netværk. Myspace bekræfter, at der skulle være tale om brugernavne og adgangskoder, fra før selskabet opgraderede sin platform i juni 2013.

De 417 millioner kodeord tilhører cirka 350 millioner brugere, der mellem 2003 og 2013 har oprettet sig på Myspace.com, der de første år var langt større end konkurrenten Facebook. Når der er flere kodeord end brugere, skyldes det, at et antal brugere har mere end ét kodeord i databasen.

Kodeordene er krypteret, men ifølge Vice Motherboard havde Myspace brugt en usaltet SHA1-hashfunktion til kodeordene.

Da SHA1 regnes for usikker, og det især gælder, når der ikke er brugt et salt, så er der tale om et enormt læk af kodeord, som forholdsvis nemt vil kunne knækkes. Et salt er et ekstra tal, man indsætter i hashfunktionen, når man krypterer kodeordet. Hvis man ikke kender saltet, skal man altså gætte både saltet og kodeordet. Det er ikke nødvendigt i dette tilfælde, og ifølge Vice Motherboard vil det være muligt at knække 98 procent eller mere af kodeordene i løbet af en måned.

Det kan virke irrelevant, hvis man ikke har brugt sin Myspace-konto i årevis, men der kan alligevel være grund til at være på vagt, skriver sikkerhedsekspert Graham Cluley.

Hvis man har genbrugt den kode, man valgte til Myspace, andre steder på nettet, og især i kombination med samme brugernavn, så kan man have andre tjenester, der bliver sårbare, hvis hackere forsøger sig med loginoplysningerne fra Myspace, når de bliver knækket.

Myspace.com ejes i dag af Time-gruppen og er blevet relanceret til at være et socialt medie med fokus på musik og bands.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (2)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Karsten Nyblad

Salt har normalt til formål at sikre, at hvis to brugere har samme passwords, så lagres de med forskellig værdi i databasen. Man vil typisk bruge brugernavnet til at initiere beregningen af det krypterede password. Når der ikke er brugt salt kan man finde brugere, der har samme password, bare ved at se, hvem der har samme krypterede værdi af deres password.

I en database af den størrelse vil der være masser af brugere, som har let gættelige passwords, så som password, 123456 og lignende. Disse brugere kan findes ved at optælle, hvilke værdier af krypterede password, der forekommer hvor mange gange. Sammenholder man disse med lister over populære dårlige password, burde det ikke tage lang tid at finde ud af den præcise måde, Myspace.com har implementeret krypteringen. Derefter kan man hurtigt finde resten af passwordene.

  • 0
  • 0
Henrik Pedersen

Vil lige tilføje det måske er en dum idé at linke salten til noget specifikt, mest af hensyn til den alligevel skal gemmes, for ellers ville man skulle re-hashe hvis brugeren ændrer brugernavn, og det kan man ikke uden deres password i klartekst. At et brugernavn skift så nok burde spørge om password alligevel, er out-of-scope.

Bcrypt laver tilfældige salts og gemmer det som starten af det beskyttede kodeord, når det bliver gemt.

(Bemærk jeg vælger ordet beskyttede, da "krypterede" er forkert, da det ikke kan vendes om og give klarteksten igen ud fra det beskyttede indhold, og selvom "hashede" er den korrekte betegnelse, fordi det er en envejsfunktion, så kan det for ikke-kyndige forvirres med andre hash-funktioner, og så tror de måske det er det samme, hvis de en dag selv står og skal implementere tingene.)

  • 0
  • 0
Log ind eller Opret konto for at kommentere