Ludek.biz - weblog a osobní web

ČSFD a (ne)bezpečnost hesel

Měl jsem ČSFD za sympatický web. Ovšem to, čehož se vedení v současné chvílí dopustilo na svých uživatelích, mi přijde do nebe volající.

Jakýsi igigi jim hacknul databázi. Získal přihlašovací jména všech uživatelů, jejich maily a zakódovaná hesla. Hromada mailů by se dala použít pro spam. Ovšem co je ještě horší, jsou daná hesla.

Hacker to byl inteligentní. Nejedná se o člověka, který by chtěl napáchat škodu, neboť většině uživatelů rozeslal mail, aby si hesla změnili. ČSFD na toto reagovalo.

Milí uživatelé, v pátek v noci někteří z vás obdrželi e-mail ohledně doporučené změny hesel pro přihlášení do ČSFD. Berte prosím tento e-mail jako drobnou chybku v systému a ignorujte ho. Děkujeme za pochopení.

Čímž od změny hesel odradilo. Momentálně jsem na webu ČSFD přihlášen pod uživatelským jménem Douglas. Neboť hacker zveřejnil MD5 hash jeho hesla, byl jsem schopen získat heslo původní (respektive s největší pravděpodobností původní). Je zajímavé, že člověk, který je 7. v pořadí oblíbenosti uživatelů na serveru, má tak triviální heslo, jako je slovo parodie.

Tento případ jasně dokazuje, že používat pro každou službu jiné heslo je dobrý nápad, neboť bezpečnostní chyba v ČSFD umožní komukoli získat vaše heslo, které zde používáte.

Heslo daného uživatele jsem pochopitelně změnil a na mail mu zaslal nové, aby nedošlo k přímému zveřejnění hesla.

22.55:12 - Úterý, 8. 12. 2009 - Helou, aj tý - Trvalý odkaz

---