アカウント名:
パスワード:
暗号化されたパスワードってかかれると、復元が可能なように聞こえるけどこう書かれた場合ってハッシュ化も含むものなんですかね
暗号化の定義にハッシュ化を含むかどうかは議論の的だと思いますが、今回はどういうわけかSalt付SHA1によるハッシュ化パスワードから割り出したと見られる平文パスワード112万件がハッキングフォーラムで公開されているそうで、復号されたとみて行動した方がよいです。
不正アクセスによるPeatixの情報流出についてまとめてみた - piyolog [hatenadiary.jp]
昨日発表された #Peatix の情報漏えいですがハッキングフォーラム上に流出したとみられるデータが出回っており、パスワードハッシュをdehashしたと主張するリスト(約122万件)も公開されています。パスワードの変更と他サービスでの使いまわしがないか今一度確認されることを推奨します。...
https://twitter.com/piyokango/status/1328819030715600896 [twitter.com]
peatixの復号化されたもの本物っぽいねしっかり載っててID・PASS正しいものだ。...
https://twitter.com/furatocoin/status/1328910262062116870 [twitter.com]
もしかしたら、辞書攻撃してdehashしただけかもしれない……。どっかのバグ有りサンプルプログラムをコピっていて、塩が一緒でレインボーテーブルが既に準備済みだったとかだったら笑うしかないけど。
何かのログに生パスワードが吐かれてたとか、プログラムが改変されてたとか、SSL/TLSアクセラレータやリバースプロキシがやられてタップされてたとか。東映ビデオ [security.srad.jp]のカード情報流出と言い、何か未知の穴を突かれてる気がして仕方ない。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
192.168.0.1は、私が使っている IPアドレスですので勝手に使わないでください --- ある通りすがり
暗号化されたパスワード (スコア:0)
暗号化されたパスワードってかかれると、復元が可能なように聞こえるけど
こう書かれた場合ってハッシュ化も含むものなんですかね
Re:暗号化されたパスワード (スコア:2, 参考になる)
暗号化の定義にハッシュ化を含むかどうかは議論の的だと思いますが、今回はどういうわけかSalt付SHA1によるハッシュ化パスワードから割り出したと見られる平文パスワード112万件がハッキングフォーラムで公開されているそうで、復号されたとみて行動した方がよいです。
不正アクセスによるPeatixの情報流出についてまとめてみた - piyolog [hatenadiary.jp]
https://twitter.com/piyokango/status/1328819030715600896 [twitter.com]
https://twitter.com/furatocoin/status/1328910262062116870 [twitter.com]
Re: (スコア:0)
もしかしたら、辞書攻撃してdehashしただけかもしれない……。
どっかのバグ有りサンプルプログラムをコピっていて、塩が一緒でレインボーテーブルが既に準備済みだったとかだったら笑うしかないけど。
何かのログに生パスワードが吐かれてたとか、プログラムが改変されてたとか、SSL/TLSアクセラレータやリバースプロキシがやられてタップされてたとか。
東映ビデオ [security.srad.jp]のカード情報流出と言い、何か未知の穴を突かれてる気がして仕方ない。