Здравствуйте, нас недавно обманом заставили предоставить права администратора скомпрометированному пользователю. Согласно данным журналов, он включил «Data Explorer» и больше ничего не делал, кроме имперсонации нескольких пользователей.
Каковы последствия этого инцидента для нашего форума и есть ли что-то серьёзное?
Использование функции подмены пользователя может показать им, что адреса электронной почты пользователей отправляются без регистрации этого факта.
Что касается инструмента исследования данных…
С его помощью можно получить практически любую информацию, включая адреса электронной почты всех пользователей, их IP-адреса, ПАРОЛИ (хотя на самом деле это хеш и алгоритм хеширования, но с их помощью можно восстановить пароль) и многое другое. Экспорт данных осуществляется в один клик. Кроме того, создание и удаление запросов не регистрируются.
Я рекомендую опубликовать закрепленное сообщение и разместить баннер с уведомлением о том, что администраторские права были предоставлены пользователю с недобрыми намерениями, и в результате его могли получить доступ к адресам электронной почты, IP-адресам и другим данным пользователей. Также необходимо призвать всех СМЕНИТЬ ПАРОЛИ.
Но пароли будут хешированы, так что эта часть должна быть в безопасности, верно?
Я думаю, что алгоритм, который они смогут подобрать (совпадающий с хешем), позволит им расшифровать хеш.
Есть ли способ принудительно заставить всех сбросить пароль? Я сделал объявление, но этого недостаточно, чтобы охватить всех.
Я так не думаю. Вы можете использовать API и отправить письмо для сброса пароля каждому пользователю.
Что? Это невозможно. Криптография делает невозможным восстановление пароля из его хеша, если не применяется социальная инженерия.
Если говорить просто: хотя утечка хеша пароля действительно представляет серьёзный риск, так как злоумышленники могут использовать его для подбора пароля на основе такой информации, как дата рождения, имя, номер телефона и т. д., никто не сможет восстановить пароль, имея только сам хеш.
А как насчёт соли и алгоритма?
Криптографический алгоритм похож на фотографирование пароля. Один и тот же человек действительно сделает одинаковое фото, но тот, кто получит это фото, не сможет восстановить ваши данные (например, «ДНК») только по фотографии.
Соль пароля повышает его безопасность, усложняя взлом с помощью радужных таблиц и других методов, даже если пароль будет скомпрометирован.
Так что даже при наличии всех 3 утечек паролей они в безопасности?
Это не абсолютно безопасно. Если его пользователи придерживаются очень хороших привычек в выборе паролей, например, не используют «ilovexxxx» или комбинацию имени и даты рождения в качестве паролей, эти методы могут значительно снизить вероятность взлома их паролей. Если у пользователей нет хороших привычек в выборе паролей, все их учетные записи на всех веб-сайтах находятся под угрозой.
Вы можете попробовать сбросить пароли всех пользователей на случайные в консоли Ruby — это заставит их сбросить пароли для входа в систему.
Спасибо!
Попросите администраторов и пользователей включить двухфакторную аутентификацию (2FA).
Делаю то же самое
Если вы сбрасываете пароли для всех пользователей, обязательно разместите какое-либо уведомление, информирующее людей о необходимости смены пароля, и будьте готовы к возможным проблемам при этом.
Думаю, помечать этот ответ как «Решение» — вводит в заблуждение.
Я не думаю, что это вводит в заблуждение. Вопрос касался последствий временного получения административного доступа, и ответ заключается в том, что в принципе всё может быть скомпрометировано, поскольку злоумышленник мог скачать (часть) базы данных, не оставив следов.
Да, хэши паролей могут быть очень сложными для взлома, но если у вас есть дополнительный контекст (например, адреса электронной почты пользователей) и доступ к утечкам паролей из других источников, то есть шанс восстановить часть данных и преуспеть.
Под фразой «затем вы можете получить пароль» с упоминанием «хеша и алгоритма хеширования» я понял, что Этан имел в виду: имея только хеши и алгоритм хеширования, можно восстановить все пароли.
Именно это значение я считал подразумеваемым и посчитал его вводящим в заблуждение. Возможно, оно вводит в заблуждение только неопытных людей. Как только у меня появится возможность, я займусь изучением этой интересной темы!
С обычными пользователями можно получить большинство.
Как только у вас есть хеши, соли и отсутствует ограничение скорости, для перебора по списку паролей с использованием грубой силы требуется не так много больше, чем чистая мощность процессора.