Взлом сайта Hookers.nl: как угнали 57% паролей за 3 дня

 

Голландский сайт, предназначенный для эскорт услуг, который довольно посещаем был взломан. База данных этого сайта была украдена и теперь неофициально продается примерно за 2 евро. В дампе базы находятся данные о сотрудниках, которые работают в государственных учреждениях таких как: министерство обороны, правоохранительные органы, а также министерство иностранных дел. Ожидается, что вскоре начнется шантаж и вымогание денег.

Сайт Hookers.nl официально заявил, что взлома не было и никакой утечки в сеть нет. Честно говоря так и есть, в базе данных нет паролей в виде простого текста. Они содержатся в виде хэша. Ресурс Scatteredsecrets.com смог за 3 дня взломать 57% паролей от сайта Hookers.nl. Вот как это было.

Уязвимость

Взломанный сайт запущен на форумном движке vBulletin. Это довольно старый движок, который существует с 2000 года. Версия которая используется на сайте Hookers.nl — 5.5.4. 23 сентября так называемый 0-day эксплоит, был опубликован как уязвимость в новостной рассылке. В этот день естественно не было фикса. Этот эксплойт касался уязвимостей, которые существовали в пятой версии vBulletin. Это означало, что любой форум построенный с такой же версией мог быть взломан.

Атака

Используя инструменты сканирования, можно легко проанализировать и выбрать сайты, форумы или все вместе и узнать какие популярные ресурсы используют булочный движок пятой версии. Когда жертва выбрана остается только привести эксплоит 0-day в действие и база данных будет украдена. Сайт Hookers.nl был взломан с 25 на 26 сентября. Мы получили доступ к 292 853 аккаунтам и можно предположить, что эти данные являются подлинными.

Влияние

Hookers.nl это открытый форум. Многие данные можно получить и не регистрируясь. Посты на форуме пишутся с помощью регистрации.

Большинство пользователей предполагают, что если разместить пост и подписаться вымышленным ником, они остаются анонимными.

Однако, получив доступ к базе данных, зная ник можно узнать и e-mail, который был введен при регистрации. Во многих случаях e-mail используется реальный. Такие пользователи могут попасть под влияние шантажа.

Необработанная база данных содержит всю информацию, необходимую шантажисту, в незашифрованном виде, включая электронную почту и IP-адреса.

Это не относится конкретно к Hookers.nl. Сам движок vBulletin работает таким образом. Пользовательские пароли в виде простого текста не сохраняются: вместо этого используется так называемый «хэш пароля».

Взлом хэша паролей, нужен чтобы получить простой текстовый пароль, ради которого весь сыр-бор. Многие люди используют один и тот же пароль для нескольких сервисов. Если вы сможете взломать их пароль на Hookers.nl, вы также сможете взломать их другие учетные записи.

Хорошая новость в том, что подбор хэша паролей требуют времени и усилий. Плохая новость – это можно сделать оффлайн и если базу слили, вероятность что ваш пароль подберут – очень высока.

Хэши паролей

Scattered Secrets, как служба безопасности интернет паролей, заинтересована во взломе простых текстовых паролей. Итак, как нам взломать хеши паролей Hookers.nl?

Сначала нужно узнать какой алгоритм хэширования используется. Официальная документация движка vBulletin гласит, что по умолчанию используется bcrypt. Взлом хешей bcrypt – это медленный процесс: bcrypt – один из лучших вариантов защиты паролей.

Однако vBulletin 5 был выпущен в 2012 году, а если верить веб-сайту, Hookers.nl он находится в сети с 2002 года. Используя веб архив, нетрудно обнаружить, что Hookers.nl раньше использовал предыдущие версии vBulletin. В ранних версиях проще взломать хеши паролей: там использовался MD5. Фактически это означает, что существует два типа хэшей паролей: устаревшие (до 2012 г.) и bcrypt (с 2012 г.).

Устаревшие хэши – это как правило, пользователи, которые неактивны довольно продолжительное время, их значительно легче взломать, чем обновленные хэши bcrypt. В полученной базе данных содержится 292 853 учетные записи, из них – 241 547 (82,5%) с устаревшими хэшами и 49 324 (16,8%) с новым типом шифрования. Остальные учетки содержат фейковые e-mail адреса.

Затем нужно выяснить какой тип взлома подойдет в данной ситуации. Как в старых, так и в последних версиях vBulletin используется механизм, который в криптографии называется Соль. Взломать устаревшие хэши vBulletin значительно быстрее, чем современные.

В данном случае 16 666 667: 1 (~ 12,5 Гбит / с против 750 хэшей в секунду на Nvidia RTX 2080 Ti, bcrypt “коэффициент работы” равен 10). Внушительная разница означает, что гораздо проще взломать устаревшие хеши. На практике это значит, что устаревшие пароли могут быть взломаны с использованием универсального оборудования для взлома, а взлом хэшированных bcrypt требует огромных вычислительных мощностей: примерно в 16 миллионов раз больше.

Для подбора шестизначного пароля в 50 тысяч пользователей Hookers.nl уйдет примерно 27 лет…

В сервисе Scattered Secrets работают много специалистов по информационной безопасности, которые специализируются в том числе на алгоритмах bcrypt. Они не пользуются стандартными ноутбуками, а прибегают к помощи программируемой шлюзовой матрицы («FPGA», специализированное оборудование). Это означает, что один из этих серверов соответствует или даже превосходит вычислительную мощность серверной стойки полной высоты (180 см / 6 футов), заполненной высококлассными обычными взломщиками паролей на основе видеокарт.

Общий процесс взлома составил 3 дня.

Результаты

Команде Scattered Secrets удалось взломать 154 653 устаревших (64%) и 11 675 паролей bcrypt (24%). Это составляет 166,328 из 290,871 (57%). Топ 35:

Бросается в глаза пароль, который в списке под номером 1 “vRbGQnS997”. Ему соответствует много e-mail адресов, которые отличаются точками в названиях. Можно предположить, что данные адреса были созданы на автомате, так как встречаются во всей базе 1320 раз и применялись спамерами.

Некоторые пароли оставляют желать лучшего, всеми любимые (‘123456’, ‘password’ и т.д.), названия городов, футбольных клубов, марки автомобилей и другие. Однако есть несколько строк, которые выделяются строка  №6 и №14, “qwerty” против “azerty”. Скорее всего  много Бельгийцев и Французов, зарегистрированы на этом сайте, так как раскладка клавиатуры AZERTY, распространены именно в этих двух странах.

Немного статистики по остальной части базы данных

  • Почти 100 пользователей используют 10-значный пароль, который соответствует телефонному коду  голландского мобильного телефона.
  • Взломанные учетные записи включают, пользователей голландской правительственной структуры, таких как министерство обороны, иностранных дел и правоохранительных органов.
  • Анализ IP-адресов показывает, что многие из этих пользователей посещают Hookers.nl с работы.

Заключение

Взлом Hookers.nl привлек большое внимание средств массовой информации из-за деликатного характера их данных. Многие другие сервисы, использующие движок на булке, также были взломаны. В случае этого специфического эксплойта vBulletin владельцы форумов не могли защитить себя, так как фикса не завезли. В результате ваша личная информация может быть украдена и на других сайтах. Поскольку рыночные цены на последние наборы данных, включая Hookers.nl, составляют всего несколько евро, эти данные практически никому не интересны.

Более 80% паролей Hookers.nl хешируются с использованием устаревшего алгоритма. Взломать устаревшие хэши паролей может каждый, у кого есть более-менне приличный игровой ПК. Для взлома большого количества современных хэшей bcrypt требуется специализированное оборудование.

Если вы используете один и тот же пароль от на разных сайтах и сервисах, стоит задуматься и поменять пароль на новый, более надежный. Чтобы хоть немного обезапасить себя в будущем используйте сложные пароли не менее 12 символов. Также не ассоциируйте пароль с названием чего-либо. В идеале – это набор цифр и символов с нижним и верхним регистром.

 

Оригинальная статья: Hookers.nl breach: cracking 57% of the passwords in three days

Перевод: Stupidnet.ru

Bookmark(0)
Если вам понравилась статья, поделитесь ей, где вам удобно:
Программы, предназначенные для открытия образа диска
Программы, предназначенные для открытия образа диска
Двухфакторная аутентификация: как 2FA приспособилась в сегодняшних реалиях
Двухфакторная аутентификация: как 2FA приспособилась в сегодняшних реалиях
null
Здесь подписка по почте:

Для подписки нужен только e-mail:

null
Ключевые слова, по которым возможно наткнуться на этот поток мыслей:

2 комментария. Оставить новый

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Заполните поле
Заполните поле
Пожалуйста, введите корректный адрес email.
Вы должны согласиться с условиями для продолжения

Не пропустите похожие статьи
Меню