Ciao, siamo stati recentemente vittime di social engineering e abbiamo concesso i permessi di amministratore a un utente compromesso. Per quanto dicono i log, ha abilitato “Data Explorer” e non ha fatto altro se non impersonare alcuni utenti.
Qual è l’impatto di questo incidente sul nostro forum e c’è qualcosa di grave?
L’impersonificazione può mostrare loro l’email degli utenti senza che quella parte venga registrata.
Per quanto riguarda l’esplorazione dei dati…
Quasi tutto può essere ricevuto utilizzandola, incluse le email di ogni utente, IP, PASSWORD (beh, l’hash e l’algoritmo di hashing, ma puoi ottenere la password con quello), ecc. e può essere esportata con un solo clic. La creazione e l’eliminazione di query non vengono registrate.
Consiglierei di creare un post fissato globalmente e un banner che avvisi che a un utente con cattive intenzioni è stato concesso l’accesso amministrativo e che le sue email, i suoi IP, ecc. potrebbero essergli stati divulgati di conseguenza. E di CAMBIARE LA LORO PASSWORD.
Ma le password verrebbero sottoposte ad hashing, quindi quella parte sarebbe al sicuro, giusto?
Penso che l’algoritmo che possono ottenere (abbinato all’hash) permetterebbe loro di decifrare l’hash.
C’è un modo per forzare tutti a reimpostare la propria password? Ho fatto un annuncio ma questo non coprirà tutti.
Non credo. Quello che puoi fare è usare l’API e inviare un’email di reimpostazione della password a ogni utente.
Cosa? È impossibile. La crittografia rende impossibile ripristinare la password dall’hash della password, a meno che non venga utilizzata l’ingegneria sociale.
In parole povere, sebbene l’hash della password trapelato comporti un grande rischio, può aiutare altri a indovinare la password attraverso informazioni come compleanno, nome, numero di telefono, ecc., ma nessuno può ripristinare la password basandosi solo sull’hash della password.
E per quanto riguarda il sale e l’algoritmo?
Un algoritmo crittografico è come scattare una foto di una password. La stessa persona scatterà la stessa foto, ma la persona che riceve la foto non può ricostruire il tuo DNA dalla sola foto.
Il sale della password aumenta la sicurezza della password, rendendola più difficile da decifrare con tabelle arcobaleno e altri mezzi, anche se viene trapelata.
Quindi anche con tutte e 3 le password trapelate sono al sicuro?
Non è assolutamente sicuro. Se i suoi utenti hanno abitudini di password molto buone, come non usare ilovexxxx o nome+compleanno come password, questi metodi possono ridurre notevolmente la probabilità che le loro password vengano violate. Se gli utenti non hanno buone abitudini di password, tutti i loro account su tutti i siti web sono a rischio.
Potresti provare a reimpostare le password di tutti con password casuali nella console Ruby, il che li obbligherà a reimpostare le loro password per accedere.
Grazie!
Chiedi ai tuoi amministratori e utenti di abilitare l’autenticazione a due fattori (2FA).
Facendolo anche
Se stai reimpostando la password di tutti, assicurati di mostrare un banner che informi le persone che devono cambiare la loro password e preparati ad aspettarti problemi con le persone che lo fanno.
Penso che sia fuorviante che questa risposta sia contrassegnata come “Soluzione”.
Non credo sia fuorviante. La domanda riguardava l’impatto di qualcuno che aveva temporaneamente ottenuto l’accesso admin e la risposta è che fondamentalmente tutto potrebbe essere compromesso perché l’attaccante avrebbe potuto scaricare (parti di) database senza lasciare traccia.
E sì, gli hash delle password potrebbero essere molto difficili da decifrare, ma se hai un contesto aggiuntivo (come gli indirizzi email degli utenti) e l’accesso a password trapelate da un’altra fonte, allora c’è la possibilità di mettere insieme alcune cose e avere successo.
Con “allora puoi ottenere la password” con “l’hash e l’algoritmo di hashing” pensavo che il significato di Ethan fosse che armato solo degli hash e dell’algoritmo di hashing si possono ottenere tutte le password.
Questo è il significato che pensavo fosse inteso e che ho trovato fuorviante. Forse è fuorviante solo per gli ignoranti. Approfondirò questo interessante argomento non appena ne avrò la possibilità!
Con gli utenti medi si può ottenere la maggior parte.\n\nNon ci vuole molto più di CPU grezza per forzare brutalmente usando una lista di password una volta che si hanno gli hash, i sali e nessun limite di frequenza.