Meio Bit » Baú » Internet » Brecha no Ashley Madison comprometeu milhões de senhas

Brecha no Ashley Madison comprometeu milhões de senhas

Protegido uma ova: falha banal no sistema do Ashley Madison permitiu que crackers tivessem acesso a mais de 11 milhões de senhas dos usuários

11/09/2015 às 15:01

ashley-madison

A internet em geral está se deliciando com os mais de 37 milhões de usuários homens iludidos pelo site de encontros extraconjugais Ashley Madison, que além de ser povoado por bots femininas e nenhuma real utilizar o serviço (uma ou outra se manifestou mas sinceramente, são menos de 0,00001% da base de usuários), foi atacado e teve sua base de dados comprometida, e posteriormente divulgada para quem quisesse ver.

Foi um barata voa, adúlteros incompetentes foram desmascarados, houveram casos de demissões, suicídios, pacote completo. Ainda assim, os imbecis se agarravam ao fato de que as suas senhas eram protegidas devido a criptografia decente utilizada pela Avid Media Life, a dona do site.

Bem, você já sabe o que vem a seguir.

Fembots

Exemplo de duas usuárias do Ashley Madison

Digamos que os hackers do grupo conhecido como CynoSure Prime encontraram uma bela porta dos fundos escancarada nos dados criptografados do site. A AML havia utilizado a técnica bcrypt, que embora não seja 100% segura força o hacker a utilizar ataques de força bruta, o método de tentativa e erro a fim de descobrir as senhas corretas. Até aí tudo bem, enquanto outros dados eram conhecidos o acesso às conta per se estava blindado.

Estava do verbo “a casa caiu, mano”: o CSP descobriu uma falha crítica nos dados, uma segunda chave de criptografia que utiliza a tecnologia MD5. Ela foi desenvolvida nos anos 1990 e visa muito mais a eficiência do que a segurança. Assim, um computador preparado pode quebrar o código em um tempo ridiculamente curto.

Resultado: o grupo conseguiu com sucesso quebrar a segurança de 11,2 milhões de senhas em apenas DEZ DIAS, quase um terço de toda a base de usuários do Ashley Madison. Ao todo 15,26 milhões de contas contém a falha, e o CSP promete terminar o serviço nos próximos dias Aí meu caro...

kabooooom

O método de armazenamento das senhas é risível. Como o código-fonte da página também foi vazado, os hackers conseguiram descobrir como a chave MD5 era formada e assim, descobriram que ela contém a senha propriamente dita, convertida inteiramente para caracteres minúsculos. Dessa forma, foi possível criar um algoritmo que testa cada senha com as configurações possíveis de Caps Lock ligado e desligado, o que é muito mais rápido do que tentar quebrar o bcrypt, que pode levar muito tempo dependendo da força das mesmas.

No mais, fica aqui o registro de que a história toda é muito legal. Ora, um bando de patetas entra numa rede social achando que teriam um caso fora do casamento, são enganados por uma legião de bots e ainda tiveram seus dados pessoais e financeiros roubados, além de muito provavelmente verem suas vidas pessoais descerem pelo ralo? Seria engraçado se não fosse tão patético.

renault1984 — What the heck, I'll laugh anyway

Fonte: CynoSure Prime.

relacionados


Comentários