آخرین پست های بخش آموزشی بلاگ
طراحی وب با پایتون و فریم ورک جنگو
...فصل سوم: آدرس دهی و URLها
فصل چهارم: فرم
فصل پنجم: اعتبارسنجی
بخش ششم: Django ORM
بخش هفتم: Class-Based Views
آموزش هک و امنیت
در حال راه اندازی...
افشا
افشاء ۱۳ میلیون ایمیل و پسورد از 000Webhost
ارسال شده توسط tamadonEH در پ., 10/29/2015 - 02:33سلام
سایت 000Webhost سایت بسیار مشهوریه که امکانات رایگان هاستینگ به شما میده. حداقل من چندتا از دوستام رو میشناسم که از این سرویسدهنده برای سایتهای شخصیشون استفاده کردند.
حدود ۵ ماه پیش این سایت هک میشه و هکر از دیتابیس مربوط به اکانتها (نام+نام خانوادگی+آیپی+یوزرنیم+ایمیل+پسوردها) تعداد ۱۳ میلیون! رکورد رو دامپ میکنه. جالب اینه که این سایتِ مشهور!! برای ذخیرهسازی پسوردها از الگوریتم هشکردن استفاده نکرده و تمام پسوردها به صورت plaintext ذخیره شدند.
این مورد دیروز (۶ آبان ۹۴) توسط «تروی هانت» در وبلاگش به صورت عمومی منتشر میشه. البته فعلا ایمیلها و پسوردها به صورت عمومی منتشر نشده و هانت سایتی (haveibeenpwned.com) رو راه انداخته که با وارد کردن یوزرنیم یا ایمیلتون میتونید از هک شدن/نشدن اکانتتون با خبر شید.
آیا خبر هک شدن ۵ میلیون اکانت جیمیل حقیقت داره؟
ارسال شده توسط tamadonEH در جمعه, 09/12/2014 - 18:18سلام
آپدیت اول: تنها لیستی که از پسوردها در اینترنت منتشر شده در این آدرسه و منتشر کننده اون هم خود هکره. [در این لیست، علاوه بر یوزرنیم ها تنها یک حرف از پسورد مشخص شده. حالا سوال اینه که سایت isleaked.com چه جوری داره دو حرف از پسورد رو میگه!] و هکر افشاء کننده گفته که «قصد انتشار این پسوردها و یا فروختن اونها رو نداره و نخواهد داشت» حالا راست و دروغش با خودش. اما حداقل می دونیم که «پسوردهای کامل» تا الان به صورت عمومی جایی منتشر نشده. ضمنا هکر در پاسخ یکی از کاربرا به جای واژه ی hack از leak استفاده کرده و گفته که این اطلاعات افشاء شده و این عدم استفاده از واژه ی «هک» به صورت عمدی بوده.
یکی از دوستان در ایمیلی که به من زده بود پرسیده بود که «آیا امکان داره این هک توسط روش بروت فورس صورت گرفته باشه؟». که مسلما جواب منفیه. برای ۵ میلیون حساب باید میلیارد ها آزمایش انجام بشه که عملا به اکانت دوم نرسیده، IDSهای جیمیل، حمله رو شناسایی می کنند و ...
<پایان آپدیت اول/>
برای نوشتن این مطلب کمی صبر کردم و الان که دارم می نویسمش تقریبا از چیزی که می خوام بگم، مطمئنم. اما اگر اشکالی دیدید لطفا از طریق با خبرم کنید تا اون رو اصلاح کنم. خوب بیاید ببینیم که اصل ماجرا چی بود؟
یه دفعه، این خبر همه جا پخش شد که در ۹ سپتامبر ۲۰۱۴ یعنی ۱۸ شهریور ۱۳۹۳ حدود ۵ میلیون حساب جیمیل از طرف کاربری به اسم tvskit در فروم btcsec.com افشاء شده و تنها چیزهایی که از اون داشتیم یه لیست کامل از ایمیل ها (و البته بدون پسورد) با حجم حدود ۱۰۰ مگابایت + عکس زیر بود:
و بعضی جاها گفته شد که لیست ۱۰۰ مگابایتی از ایمیل ها در ابتدا شامل پسورد ها هم میشده ولی مدیر سایت اون رو حذف کرده و لیست جدید رو قرار داده. حالا چند تا سوال مطرح میشه: