Nvidia lagala korisnicima? Nvidia forum hack

Prije nekoliko dana Nvidia je poslala mail korisnicima svog foruma mail u kojem kazu da su uočili hack i da privremeno suspendiraju rad foruma. Zanimljivi dio maila je u onaj u kojem tvrde da su hackeri došli do salted hasheva passworda što bi značilo da ih se ne može dictionary napadom pretvoriti u passworde:

 Our investigation has identified that unauthorized third parties gained access to some user information, including:

    •  username
    •  email address
    •  hashed passwords with random salt value
    •  public-facing “About Me” profile information

No pojavio se sljedeći pastebin http://pastebin.com/G21ytATD u kojem imamo oko 800 hashiranih passworda pa možemo lagano provjeriti da li su paswordi saltani ili ne.

Pošto iz nedavnog yahoo hacka imamo manju (350k jedinstvenih) bazu passworda možemo ju hashirati i usporediti hasheve. md5sum je linux utility koji će nam pomoći u tome. Ako ste lijeni, izgenerirani file (napravio yours truly) možete skinuti s 4shareda: md5 hashes of yahoo passwords File je u formatu hash password.

Nakon toga cemo grepati hasheve s pastebina u tom fileu, da vidimo da li možemo naći koji:

Nažalost po NVidiju, nekoliko hasheva se poklapa te to znači da su lijepo lagali korisnicima da se njihovi passwordi saltaju.