Hola, recientemente fuimos víctimas de ingeniería social y le dimos acceso de administrador a un usuario comprometido. Según los registros, habilitó “Data Explorer” y no hizo nada más que suplantar a algunos usuarios.
¿Cuál es el impacto de este incidente en nuestro foro y hay algo grave?
La suplantación puede mostrarles que los usuarios envían correos electrónicos sin que esa parte se registre.
En cuanto a la exploración de datos…
Se puede recibir casi cualquier cosa con ella, incluyendo el correo electrónico de cada usuario, IP, CONTRASEÑAS (bueno, el hash y el algoritmo de hash, pero luego puedes obtener la contraseña con eso), etc., y se puede exportar con un solo clic. Y la creación y eliminación de consultas no se registran.
Recomendaría hacer una publicación fijada globalmente y un banner diciendo que a un usuario con malas intenciones se le dio acceso de administrador y que sus correos electrónicos, IPs, etc., pueden haber sido filtrados a ellos como resultado. Y que CAMBIEN SU CONTRASEÑA.
Pero las contraseñas se codificarían para que esa parte estaría segura, ¿verdad?
Creo que el algoritmo que pueden obtener (emparejado con el hash) les permitiría descifrar el hash.
¿Hay alguna forma de obligar a todos a restablecer su contraseña? Hice un anuncio, pero eso no va a cubrir a todos.
No lo creo. Lo que puedes hacer es usar la API y enviar un correo electrónico de restablecimiento de contraseña a cada usuario.
¿Qué? Es imposible. La criptografía hace imposible que restauremos la contraseña a partir del hash de la contraseña, a menos que se utilice ingeniería social.
En pocas palabras, aunque el hash de contraseña filtrado tiene un gran riesgo, puede ayudar a otros a adivinar la contraseña a través de información como el cumpleaños, el nombre, el número de teléfono, etc., pero nadie puede restaurar la contraseña basándose únicamente en el hash de la contraseña.
¿Qué pasa con la sal y el algoritmo?
Un algoritmo criptográfico es como tomar una foto de una contraseña. La misma persona, de hecho, tomará la misma foto, pero la persona que obtenga la foto no podrá restaurar tu ADN solo a partir de la foto.
La sal de la contraseña aumenta la seguridad de la contraseña, lo que dificulta su descifrado mediante tablas arcoíris y otros medios, incluso si se filtra.
¿Entonces, incluso con las 3 contraseñas filtradas, están seguras?
No es absolutamente seguro. Si sus usuarios tienen muy buenos hábitos de contraseña, como no usar ilovexxxx o nombre+cumpleaños como contraseñas, estos métodos pueden reducir en gran medida la probabilidad de que sus contraseñas sean descifradas. Si los usuarios no tienen buenos hábitos de contraseña, todas sus cuentas en todos los sitios web corren riesgo.
Podrías intentar restablecer las contraseñas de todos a contraseñas aleatorias en la consola de Ruby, lo que les obligará a restablecer sus contraseñas para iniciar sesión.
¡Gracias!
Pida a sus administradores y usuarios que habiliten la 2FA.
Haciendo eso también
Si vas a restablecer la contraseña de todos, asegúrate de colocar algún tipo de aviso para que la gente sepa que necesita cambiar su contraseña, y prepárate para esperar problemas con la gente que lo haga.
Creo que es engañoso que esta respuesta esté marcada como la “Solución”.
No creo que sea engañoso. La pregunta era sobre el impacto de que alguien hubiera obtenido temporalmente acceso de administrador y la respuesta es que básicamente todo podría verse comprometido porque el atacante podría haber descargado (partes de) la base de datos sin dejar rastro.
Y sí, las contraseñas hash pueden ser muy difíciles de descifrar, pero si tienes contexto adicional (como direcciones de correo electrónico de usuarios) y acceso a contraseñas filtradas de otra fuente, existe la posibilidad de que puedas juntar algunas cosas y tener éxito.
Con “entonces puedes obtener la contraseña” con “el hash y el algoritmo de hash” pensé que Ethan quería decir que armado solo con los hashes y el algoritmo de hash puedes obtener todas las contraseñas.
Ese es el significado que creí que se pretendía y que me pareció engañoso. Quizás solo sea engañoso para los no educados. ¡Investigaré este interesante tema tan pronto como tenga la oportunidad!
Con usuarios promedio se puede obtener la mayoría.
No se necesita mucho más que CPU en bruto para forzar la contraseña usando una lista de contraseñas una vez que se tienen los hashes, las sales y no hay limitación de velocidad.