Our investigation has identified that unauthorized third parties gained access to some user information, including:No pojavio se sljedeći pastebin http://pastebin.com/G21ytATD u kojem imamo oko 800 hashiranih passworda pa možemo lagano provjeriti da li su paswordi saltani ili ne.
• username
• email address
• hashed passwords with random salt value
• public-facing “About Me” profile information
Pošto iz nedavnog yahoo hacka imamo manju (350k jedinstvenih) bazu passworda možemo ju hashirati i usporediti hasheve. md5sum je linux utility koji će nam pomoći u tome. Ako ste lijeni, izgenerirani file (napravio yours truly) možete skinuti s 4shareda: md5 hashes of yahoo passwords File je u formatu hash password.
Nakon toga cemo grepati hasheve s pastebina u tom fileu, da vidimo da li možemo naći koji:
Nažalost po NVidiju, nekoliko hasheva se poklapa te to znači da su lijepo lagali korisnicima da se njihovi passwordi saltaju.
No comments:
Post a Comment