Portál AbcLinuxu, 6. května 2025 20:05

Unikla databáze uživatelů WineHQ

Útočníci získali databázi uživatelů WineHQ včetně hesel, pravděpodobně pronikli kvůli chybě v nástroji phpMyAdmin. Uživatelům byl zaslán e-mail s novým heslem.

11.10.2011 22:04 | Zopper | Bezpečnostní upozornění


Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

Komentáře

Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře. , Tisk

Vložit další komentář

11.10.2011 22:53 Ladislav Nešněra | skóre: 30 | blog: ..+2
Rozbalit Rozbalit vše Re: Unikla databáze uživatelů WineHQ
Odpovědět | Sbalit | Link | Blokovat | Admin
By mě zajímalo, co tam kdo hledá za štěstí.. Nebo to je nějaký self audit OSS projektů?
Bedňa avatar 11.10.2011 23:07 Bedňa | skóre: 34 | blog: Žumpa | Horňany
Rozbalit Rozbalit vše Re: Unikla databáze uživatelů WineHQ
Odpovědět | Sbalit | Link | Blokovat | Admin
Neni nad to prehliadať bugzilly a hľadať exploity, keď sa nudím je to zábava, potom je šťastie na koho to padne, spravidla Widle servery a správne politické strany :) Ale použiť to na WineHQ by poukazovalo na jednu spoločnosť :D

Keď už sme pri tom, raz som len na skúšku spustil jeden skript na zhodenie Widle serveru istej politickej strany, jediný krát čo som nepoužil TOR (lenivosť) a odvtedy keď napíšem nmap mám banán od ISP tak na cca 5minút, proste ma ustrihnú. Už sa vám to stalo :) Vybabral som s tým, že spúšťam nmap na diaľku, ale toto som fakt nečakal :)
KERNEL ULTRAS video channel >>>
Dragon Jake avatar 11.10.2011 23:19 Dragon Jake | blog: Drakův zápisník | Praha
Rozbalit Rozbalit vše Re: Unikla databáze uživatelů WineHQ
Odpovědět | Sbalit | Link | Blokovat | Admin
teď jsem opravdu rád, že jsem si po incidentu s Mt.Goxem stáhl KeePass a nechal vygenerovat hesla, která si nemusím pamatovat, ke všem webům, ke kterým běžně přistupuji
12.10.2011 00:28 lyon
Rozbalit Rozbalit vše Re: Unikla databáze uživatelů WineHQ
Koukám, že nejsem sám, kdo má takové štěstí...
12.10.2011 07:50 Zopper | skóre: 15
Rozbalit Rozbalit vše Re: Unikla databáze uživatelů WineHQ
Keepass mi ovšem nepomůže, když nejsem na svém stroji. Teoreticky s sebou můžu nosit portable verzi (jestli je), ale stejně mi přijde lepší vymyslet hesla, která se snadno pamatují a přitom jsou bezpečná. Kombinaci slov, které mají něco společného s danou službou, případně i uživatelským jménem a "zašifrované" jednoduchými operacemi, které provedete v hlavě, to je moje metoda :-)

Nemluvě o tom, že "heslO*nA*abclinuxU" je bezpečnější, než "Ax*_@jjdR#de". Jen je to potřeba nějak jednoduše pozměnit, aby únik jednoho hesla neprozradil použitý "algoritmus" tak jako v tomto případě. :-)
"Dlouho ještě chcete soudit proti právu, stranit svévolníkům?" Ž 82,2
Dragon Jake avatar 12.10.2011 10:50 Dragon Jake | blog: Drakův zápisník | Praha
Rozbalit Rozbalit vše Re: Unikla databáze uživatelů WineHQ
Kdysi jsem příležitostně používal genpass.js od tuším Davida Grudla, který jsem měl jako bookmarklet v prohlížeči. Jenže podpora bookmarkletů je třeba v Androidu nulová a musí se to řešit externím HTML dokumentem. K tomu je vhodné, aby byl generující HTML dokument na bezpečném místě, protože je v něm uloženo master heslo.

Portable verze KeePassu naštěstí existuje a je jich mnoho, ta pro Android se jmenuje KeePassDroid. Synchronizaci řeším prostě přes SFTP a stáhnu data dle potřeby. Uznávám, že je sice trochu opruz datlit v mobilu 12 znaků a-zA-Z0-9 plus základní speciální znaky, ale za tu jistotu a všeobecné pohodlí (ChromeIPass na svých strojích) to přežiju :)
12.10.2011 12:04 Martin Lojda | skóre: 4
Rozbalit Rozbalit vše Re: Unikla databáze uživatelů WineHQ
KeePassDroid také používám a po otevření detailu položky se automaticky v tray objeví možnosti na kopírování loginu a hesla do schránky, odkud už jdou bez problémů vložit do přihlašovacího formuláře. Po vymazani traye nebo ukončení KeePassAndroid se smaže obsah schránky.
Dragon Jake avatar 13.10.2011 11:03 Dragon Jake | blog: Drakův zápisník | Praha
Rozbalit Rozbalit vše Re: Unikla databáze uživatelů WineHQ
aha! Měl jsem na mysli "číst to titěrně vypsané heslo a přepisovat ho do počítače/jiného telefonu". Posledně jsem se takhle logoval v terénu na Foursquare na jiném telefonu asi třikrát, protože mi díky slunci nešlo správně přečíst heslo :)
Stanislav Brabec avatar 14.10.2011 16:02 Stanislav Brabec | skóre: 45 | Praha
Rozbalit Rozbalit vše Re: Unikla databáze uživatelů WineHQ
Androidí aplikace Remote Web Desktop má skvělou věc zvanou Shared Clipboard. Ideální pomůcka na kopírování 20znakových nezapamatovatelných hesel z telefonu do počítače.
Dragon Jake avatar 12.10.2011 10:56 Dragon Jake | blog: Drakův zápisník | Praha
Rozbalit Rozbalit vše Re: Unikla databáze uživatelů WineHQ
Co se týče generování hesel z hlavy, nejsem velký fanda této metody. Cokoli totiž takto vymyslíte, má poměrně nízkou entropii a kdyby někdo byť jen trochu znal vaše myšlenkové pochody (třeba jste nám je teď právě prozradil :), má docela slušnou šanci metodou pokus/omyl na heslo přijít.

To už spíš fandím generování hesel metodou "kočka se projde po klávesnici" (ta ale může být natolik pomalá, že její pohyby se podaří předvídat) nebo "kuře a zrní kolem Enteru" (entropie je úměrná rozmístění zrní v klávesnici, které nemusí být vůbec náhodné) :D
12.10.2011 13:45 Zopper | skóre: 15
Rozbalit Rozbalit vše Re: Unikla databáze uživatelů WineHQ
Je otázka, jestli se bavíme o bezpečnosti hesel proti náhodnému, nebo cílenému útoku. Pokud budu mít přístup k citlivým datům (třeba v zaměstnání), nebo budu známá osobnost, určitě budu používat hesla s vyšší entropií, to by takový útok smysl dával. Ale v současné době by cílený útok neměl absolutně žádné ekonomické opodstatnění a jelikož při náhodných útocích útočník netuší, jaký typ hesla mám, jsou i hesla s nižší entropií bezpečná. :)

(Pochybuju, že se někdo bude koukat na každé heslo a snažit se přijít na nějaké spojení se službou, dešifrovat... Maximálně tak kdyby to bylo tak jak v mém příkladu jasně čitelné)
"Dlouho ještě chcete soudit proti právu, stranit svévolníkům?" Ž 82,2
Dragon Jake avatar 13.10.2011 11:04 Dragon Jake | blog: Drakův zápisník | Praha
Rozbalit Rozbalit vše Re: Unikla databáze uživatelů WineHQ
pak už jen záleží, jak moc velký jste paranoik ;)
12.10.2011 15:25 polymorf | skóre: 14 | blog: tar_zxpf
Rozbalit Rozbalit vše Re: Unikla databáze uživatelů WineHQ
Obligatory xkcd refference
12.10.2011 19:04 Sten
Rozbalit Rozbalit vše Re: Unikla databáze uživatelů WineHQ
Na situaci s WineHQ bych aplikoval spíše tohle xkcd
12.10.2011 15:58 Blbec
Rozbalit Rozbalit vše Re: Unikla databáze uživatelů WineHQ
Odpovědět | Sbalit | Link | Blokovat | Admin
Ať žije cloud. http://www.novinky.cz/zahranicni/evropa/247170-nemecke-urady-rozsirily-do-pocitacu-lidi-tajny-program-na-spehovani.html
12.10.2011 16:45 j AM | skóre: 2 | blog: skeptik
Rozbalit Rozbalit vše Re: Unikla databáze uživatelů WineHQ
Blbče, a souvislost s cloudem je kde?
Bedňa avatar 12.10.2011 19:33 Bedňa | skóre: 34 | blog: Žumpa | Horňany
Rozbalit Rozbalit vše Re: Unikla databáze uživatelů WineHQ
Si rozbeháš Widle cloud na Wine :-)
KERNEL ULTRAS video channel >>>
12.10.2011 23:42 j AM | skóre: 2 | blog: skeptik
Rozbalit Rozbalit vše Re: Unikla databáze uživatelů WineHQ
Asi jo, a pak si do toho cloudu nainstaluju ten špehovací program, ať mají Blbci radost.

Založit nové vláknoNahoru


ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.