Opera выпустила уведомление безопасности, в котором призывает пользователей своего сервиса Opera sync как можно скорее сменить свои пароли аккаунтов. Сообщается, что один из серверов компании оказался скомпрометированным и злоумышленники получили доступ к информации аккаунтов, включая, логины и пароли пользователей (в зашифрованном виде). Для сброса пароля от аккаунта следует воспользоваться этой ссылкой.
«Earlier this week, we detected signs of an attack where access was gained to the Opera sync system. This attack was quickly blocked. Our investigations are ongoing, but we believe some data, including some of our sync users’ passwords and account information, such as login names, may have been compromised.»
Комментарии (29)
Sild
26.08.2016 22:16Мне тут что-то в голову стрельнуло… а не все ли равно? Не зная соли и алгоритма хеширования же все-равно авторизоваться не выйдет.
Sild
26.08.2016 23:15Не могу, ввиду отсутствия учётной записи в опере. Но теоретический интерес от этого не пропадает.
deniskreshikhin
26.08.2016 23:45+2Судя по строчке "один из серверов компании оказался скомпрометированным" соль и алгоритм им известен.
dimka11
27.08.2016 10:42Может и дырявое, но как сделать синхронизацию между устройствами без облака?
rkfg
27.08.2016 21:08+1Теоретически, через DHT-подобную структуру можно. Происходит поиск нескольких узлов, которые находятся «близко» (по XOR-метрике) к вашему уникальному ID, который выводится, скажем, из логина-пароля. На эти узлы периодически отсылается шифрованный пакет данных вместе с его версией (просто увеличивающееся число), шифруется он мастер-ключом, который зашифрован вашим паролем, и подписывается секретным ключом авторизации, а публичный высылается в комплекте. При сохранении первой версии узел сохраняет у себя пару ID+PubKey и потом позволяет обновлять данные только при верной подписи пакета для этого публичного ключа.
Понятно, что люди приходят и уходят, но браузер запущен в течение дня почти постоянно, да и число узлов можно подобрать, чтобы хранилось с нужной степенью надёжности. Тем более, что близость к ID означает, фактически, детерминированный рандом, так что люди будут из разных часовых поясов.
В итоге, все будут хранить немного чужих данных, но так как они зашифрованы (даже не паролем, а ключом), это не является проблемой. Для большей надёжности можно хранить эти ключи отдельно от данных под другим ID (который вычисляется из логина + некая соль), так что они попадут на другие машины. При синхронизации сначала запрашивается шифрованный ключ, расшифровывается паролем (операция однократная для новой инсталляции), потом аналогично выкачиваются данные с нескольких близких узлов, выбирается самая новая версия, проверяется подпись, потом всё это расшифровывается и синхронизируется.
Плюсы очевидны — не нужно облако, система (почти) неограниченно масштабируется, надёжна настолько, насколько защищён сам пользователь, отказоустойчива (нужны эксперименты). Минусы также известны пользователям торрента, это долгий поиск цели, необходимость проброса портов (можно обойти с помощью мастернод-релеев и UDP hole punching), также возможна ситуация, когда в сети нет ни одного узла с вашими данными. Но если хотя бы раз в час посылать обновления, эту вероятность можно свести к минимуму.
Varkus
27.08.2016 04:29-1Очередное дырявое облако.
Мой внутренний параноик не даёт даже фото с котиками в облаке держать, не то что личный данные.
gluck59
27.08.2016 12:11+4И Дропбокс туда же. Только прямо заявить о причине стесняется и прячет ее за словами:
Это исключительно профилактическая мера, и мы приносим извинения за доставленные неудобства.
Artyom_Silchenko
27.08.2016 20:39Причину Дропбокс все-таки написал. На странице по указанной в письме ссылке:
Зачем Dropbox просит изменить пароли?
Наши сотрудники из отдела безопасности постоянно отслеживают все, что может угрожать нашим пользователям. В процессе этой непрерывной работы мы узнали, что в 2012 году были получены старые пользовательские данные Dropbox (эл. адреса и пароли (хэш с солью)). Наш анализ показал, что эти данные связаны со сбоем, который мы как раз тогда обнаружили.
rauch
27.08.2016 23:00Вот в таких случаях благодарю себя самого, что не доверил данные банковской карты какому-то таксо сервису Uber, у которых приватность точно не на первых местах
Каомн, даже Dropbox ломали, Paypal ломали… как можно доверять что-то секурное новым сервисам?
NeoCode
Опять хранение паролей в интернете.
sumanai
Пароли зашифрованы. А вот информация по логинам и прочая метаинформация может помочь злоумышленникам.
Поэтому хранить в интернете можно только полностью зашифрованную информацию, чтобы даже посещаемые сайты нельзя было узнать при взломе сервера синхронизации.
valera5505
Зашифрованы или захэшированы? Если первое, то ничего хорошего это не сулит.
sumanai
Как вы себе представляете хеширование паролей в сервисе синхронизации? Конечно же они зашифрованы, иначе бы их нельзя было отдать обратно при добавлении нового устройства или синхронизации с любым другим.
Вот пароль от аккаунта, скорее всего, хеширован.
bolk
В нашей системе (это документооборот) у аккаунта несколько клиентских устройств. У каждого свой пароль (=токен), у каждого своя карточка доступа, любое устройство можно отключить, не отключая остальные. Каждый токен хранится в захешированном виде. Не вижу проблем.
serg0v
Хеширование, в идеале конечно, это необратимый процесс. А нам нужно получать эти пароли в изначальном виде, чтобы браузер подставил его в нужное поле, то есть нужно как-раз шифрование.
А вот сам пользовательский пароль к серверу синхронизации стоит хешировать.
bolk
Понятно. Я думал речь о пароле к самой синхронизации.
valera5505
Подумал не о тех паролях, прошу прощения.
kalmarius
В настройках синхронизации, если ставить галочку на «пароли», просят ввести парольную фразу для шифрования.