¿Con qué facilidad se descifrarán los datos de vBulleting de vBulletin y Foxit? ¿Qué datos están en riesgo? ¿Cómo fue incrustado?

2

VBulletin Solutions y Foxit Software fueron violados. El culpable (ColdZer0 o Coldroot) afirma tener datos de 479,895 vBulletin Service y cuentas de Foxit Software que incluyen identificadores, preguntas y respuestas de seguridad, y sales y hashes de contraseñas.

¿Qué datos se expusieron realmente?
¿Cómo fueron encriptadas las respuestas y contraseñas? ¿Qué tan fácil será obtener los valores originales?

Tenga en cuenta, hace un par de años, otro sitio basado en vBulletin, MacRumors Forum, fue violado. Se informó que más de la mitad de las ~ 860,000 sales tenían solo 3 bits de longitud. Aparentemente, estas eran cuentas más antiguas que no habían cambiado su contraseña recientemente.

    
pregunta BillR 05.11.2015 - 00:45
fuente

1 respuesta

1

No tengo una copia de vBulletin para inspeccionar, pero multiple sources afirma que su esquema de hashing es:

  

md5 (md5 (contraseña) + sal)

Esto es desafortunado ya que md5 tiene algunas debilidades documentadas , y también es un hash "rápido". Los procesos de hash utilizados para las contraseñas deben ser lentos para que los ataques de fuerza bruta sean lentos (y, con suerte, prácticamente imposibles).

La buena noticia (ish) es:

a. Fueron procesados y no almacenados en texto simple

b. Están salados, por lo que un simple ataque de mesa de arco iris probablemente no funcionará

Las principales amenazas son los ataques de fuerza bruta (especialmente los basados en diccionarios).

Hashcat ha sido benchmarked a 8,581,000,000 md5 hashes / second en básicamente una PC de juego normal. Suponiendo que las sales estuvieran expuestas en el volcado, se requieren una contraseña de a-z y 2 operaciones x md5 por combinación, entonces tomará aproximadamente 48 segundos forzar la contraseña de 8 caracteres o 9 horas por 10 caracteres. Las PC dedicadas al cracking son considerablemente más rápidas, y un ataque basado en un diccionario sería mucho más rápido nuevamente.

A menos que tenga una contraseña muy larga y esté seguro de que no estará en un diccionario, consideraría que su contraseña está comprometida. En la práctica, consideraría su contraseña comprometida independientemente.

    
respondido por el thexacre 05.11.2015 - 01:07
fuente

Lea otras preguntas en las etiquetas