Olá, fomos recentemente vítimas de engenharia social e demos acesso de administrador a um usuário comprometido. Pelo que os logs indicam, ele ativou o "Data Explorer" e não fez mais nada além de se passar por alguns usuários.
Qual o impacto deste incidente em nosso fórum e há algo sério a se preocupar?
A personificação pode mostrar a eles que os e-mails dos usuários são exibidos sem que essa parte seja registrada.
Quanto à exploração de dados…
Quase tudo pode ser recebido usando-a, incluindo o e-mail de todos os usuários, IP, SENHAS (bem, o hash e o algoritmo de hash, mas você pode obter a senha com isso), etc., e pode ser exportado em apenas um clique. E a criação e exclusão de consultas não são registradas.
Eu recomendaria fazer uma postagem fixada globalmente e um banner dizendo que um usuário com más intenções recebeu acesso de administrador e seus e-mails, IPs, etc., podem ter sido vazados para eles como resultado. E para TROCAR A SENHA DELES.
Mas as senhas seriam hasheadas, então essa parte estaria segura, certo?
Eu acho que o algoritmo que eles podem obter (correspondido com o hash) permitiria que eles decifrassem o hash.
Existe uma maneira de forçar todos a redefinir suas senhas? Fiz um anúncio, mas isso não vai abranger todo mundo.
Eu não acho. O que você pode fazer é usar a API e enviar um e-mail de redefinição de senha para todos os usuários.
O quê? É impossível. A criptografia torna impossível restaurarmos a senha a partir do hash da senha, a menos que a engenharia social seja usada.
Simplificando, embora o hash da senha vazado apresente um grande risco, ele pode ajudar outros a adivinharem a senha por meio de informações como aniversário, nome, número de telefone, etc., mas ninguém pode restaurar a senha apenas com base no hash da senha.
E quanto ao sal e ao algoritmo?
Um algoritmo criptográfico é como tirar uma foto de uma senha. A mesma pessoa, de fato, tirará a mesma foto, mas a pessoa que obtiver a foto não poderá restaurar seu DNA apenas a partir da foto.
O sal da senha aumenta a segurança da senha, tornando mais difícil sua quebra por tabelas arco-íris e outros meios, mesmo que ela seja vazada.
Então, mesmo com todas as 3 senhas vazadas estão seguras?
Não é absolutamente seguro. Se os usuários tiverem hábitos de senha muito bons, como não usar ilovexxxx ou nome+aniversário como senhas, esses métodos podem reduzir muito a probabilidade de suas senhas serem quebradas. Se os usuários não tiverem bons hábitos de senha, todas as suas contas em todos os sites estarão em risco.
Você poderia tentar redefinir as senhas de todos para senhas aleatórias no console Ruby, o que os forçará a redefinir suas senhas para fazer login.
Obrigado!
Peça aos seus administradores e usuários para ativarem a 2FA.
Fazendo isso também
Se você estiver redefinindo a senha de todos, certifique-se de exibir um banner informando às pessoas que elas precisam alterar suas senhas e esteja preparado para esperar problemas com as pessoas fazendo isso.
Acho que é enganoso que esta resposta seja marcada como a “Solução”.
Não acho que seja enganoso. A pergunta era sobre o impacto de alguém ter obtido acesso de administrador temporariamente e a resposta é que basicamente tudo poderia ser comprometido porque o invasor poderia ter baixado (partes de) o banco de dados sem deixar rastros.
E sim, hashes de senha podem ser muito difíceis de quebrar, mas se você tiver contexto adicional (como endereços de e-mail de usuários) e acesso a senhas vazadas de outra fonte, há uma chance de você conseguir juntar algumas coisas e ter sucesso.
Por “você pode então obter a senha” com “o hash e o algoritmo de hash” eu pensei que o significado de Ethan era que, munido apenas dos hashes e do algoritmo de hash, você pode obter todas as senhas.
Esse é o significado que eu pensei que era pretendido e que achei enganoso. Talvez seja enganoso apenas para os não instruídos. Vou investigar este assunto interessante assim que tiver a chance!
Com usuários médios você pode obter a maioria.
Não é preciso muito mais do que CPU bruta para forçar senhas usando uma lista de senhas assim que você tiver os hashes, salts e nenhuma limitação de taxa.