Kis fejlemény „HUNGARIAN pass Email Leak 2018” ügyben

Nem minden cleartext, ami annak tűnik…

Az jutott eszembe, hogy mindenki azon lovagol, hogy „a szerencsétlenek, cleartext-ben tárolták a jelszavakat” – holott ez nem biztos, lehet, hogy csak gyenge, visszaállítható kódolással (ne lovagoljunk azon, hogy az ugyanolyan, mintha cleartext lenne).

Úgyhogy vettem a kedvenc 29 rekordos blokkomat, és MD5 után betoltam a kódokat a hashkiller online-ba.

Nem igazán számítottam eredményre, de:

md5.png

BAZINGAAAA, hát ezek vissza lettek állítva!

Milyen következtetést lehet ebből levonni?

Ezeknél a usereknél az adott forrásrendszer MD5-ben tárolta a jelszavakat, és a csúnyabácsi/csúnyanéni megszerezve az adatbázist, visszaállította a jelszavakat pl. a hashkiller online-on, vagy offline, és aztán feltöltötte.

Jó, mi?

Nem, annyira nem.

Eszembe jutott, hogy ha már MD5-tel megnéztem, akkor meg kellene nézni unalmas SHA1-el is (ezt egy konferencián hallottam, amikor rákérdeztem, kiderült, hogy sótlanra gondolt). Nosza, ugyanezekből a jelszavakból unalmas SHA1, majd be vele a hashkillerbe!

Bmeg, ez is BAZINGAAA*

Na jó, de akkor mit jelent ez?

Szerintem a legvalószínűbb, hogy legalább KÉT olyan rendszerből is történt szivárgás korábban, illetve azok a kedves felhasználók, akiknél az MD5 és az SHA1 is megtalálható a haskiller-en (ergó a jelszavukat az egyik forrásrendszerben MD5-ben, a másikban pedig SHA1-ben is tárolták) – a két rendszerben ugyanazt a jelszót használták.

Igazából ez borítékolható volt, de legalább a feltételezés mellé lett gyártva valami konkrét alap is.

*: (az évszámot hagyjuk ki ebből, az ugye eleve alap, hogy megvan mindkét kódolásban)

Forrás: http://kiber.blog.hu/