¿Alguien sabe acerca de cómo se comprometió LinkedIn?

5

Sé algo muy básico sobre la seguridad del sitio web (p. ej., usando HTTPS, evitando las aportaciones de los usuarios), pero escuchar que los sitios de alto perfil se ven comprometidos me hace preguntarme de qué manera se introdujeron y qué podría hacer para prevenir tales ataques. en mis propios sitios web. Unas pocas búsquedas en Google no revelaron cómo exactamente el atacante logró tomar 6.5 millones de hashes de contraseña de LinkedIn, así que quería ver si alguien aquí tenía una idea de lo que sucedió ese día.

    
pregunta wrongusername 26.09.2012 - 03:47
fuente

2 respuestas

9

Es casi seguro que fue SQL Injection. Esta es realmente la mejor herramienta cuando se trata de un pirata informático que lee información de la base de datos. Es fácil decir "oah, desinfectamos la entrada del usuario", pero solo toma las comillas que faltan en una variable, u olvidando una sola llamada, una rutina de escape para filtrar 6.5 millones de hashes de contraseña. Las consultas parametrizadas (cuando se usan correctamente) detienen estos errores comunes.

Dicho esto, no todas las fugas de contraseñas son inyecciones SQL. La fuga reciente de IEEE se debió a un archivo de registro HTTP en su servidor FTP . El registro inseguro o no tener cuidado con una copia de seguridad de la base de datos también puede provocar una fuga enorme como esta. Como pentester veo estos errores todo el tiempo.

    
respondido por el rook 26.09.2012 - 03:53
fuente
9

Fue una inyección SQL, pero no hay informes detallados por ahí. Recuerdo haber leído algo sobre un plugin de Facebook de algún tipo, que era el punto de entrada. Pero eso fue solo la brecha. Si desea saber por qué se comprometieron las contraseñas, fue por la forma en que LinkedIn las almacenó. Lo almacenaron como un hash SHA1 sin sal, lo que significaba que los atacantes podrían descifrar fácilmente las contraseñas con tablas de arco iris.

    
respondido por el sudhacker 26.09.2012 - 04:01
fuente

Lea otras preguntas en las etiquetas