Rabota.ua заподозрили в хранении паролей пользователей незашифрованными. В компании это отрицают

12722
23

Популярный ресурс вакансий Rabota.ua уличили в том, что он возвращает пользователям их пароли по email в незашифрованном виде. Это говорит о том, что пароли могут храниться в базе данных сервиса в первозданном виде, что делает их легкой добычей для злоумышленников. Более того, через пароль к Rabota.ua хакеры могут получить доступ к аккаунтам пользователей в сторонних сервисах. Все это может привести к масштабной компрометации персональных данных огромного количества людей. В Rabota.ua отрицают наличие уязвимостей, однако обещают решить проблему с письмами.

Первым проблему обнаружил пользователь Георгий Исаченко, ее опасность также подтвердил Егор Папышев, который занимает должность cybersecurity lead в компании DATAS Technology.

[fb_embed_post href=»https://www.facebook.com/photo.php?fbid=976538499168225&set=a.976540062501402.1073741826.100004362514579&type=3&theater/» width=»775″/]

По данным Исаченко, Rabota.ua хранит пароли пользователей в незашифрованном виде с 2002 года. «Если базу данных сайта сольют из-за мельчайшей дыры в безопасности — плохие ребята сразу увидят ваш пароль. Кто не знает, нормальная ситуация — это когда паролей нет в базе, и даже если ее сливают, ничего настолько страшного не происходит. Что хуже, практически любой сотрудник rabota с доступом к базе данных знает ваш пароль и почту», — отметил он.

По словам Папышева, это критическая уязвимость и проверить ее может любой пользователь, просто попытавшись восстановить свой пароль.

«Они хранят пароли в нехешированном виде, и таким образом позволяют возвращать их по запросу открытым текстом. Это крайне плохо, и означает что любой сотрудник, имеющий доступ к базе хотя бы раз за последние 16 лет, потенциально мог вытянуть всю базу и получить все логины-пароли пользователей в открытом виде, чистым текстом.

В качестве пруфа можно просто попробовать восстановить свой пароль и получить его открытым. Так быть не должно. Это критический риск компрометации пользовательских данных», — пояснил он в комментарии AIN.UA.

По словам эксперта, для хранения паролей должна использоваться функция необратимого хеширования, при этом, учитывая текущие возможности по брутфорсу хешей, кроме хеширования должна использоваться «соль», то есть добавление случайной строки с последующим хешированием, что дополнительно усложняет брутфорс полученных злоумышленником хешей. «А тут, выходит, просто подготовлено на вынос — бери и пользуйся, как говорится», — заключил Папышев.

«Учитывая возможные риски компрометации этих данных в течение длительного времени, я крайне рекомендую немедленно сменить пароли ко всем сервисам и ресурсам, которые могут хотя бы отчасти совпадать с тем, что вы когда-либо использовали на ресурсе rabota.ua. Самому ресурсу я советовал бы внедрение базовых практик информационной безопасности в плане защиты пользовательских данных», — написал Папышев в Facebook.

В Rabota.ua наличие уязвимостей опровергают. По словам продукт- и маркетинг-директора по направлению «Соискатели» Константина Павлова, все пароли пользователей хранятся в зашифрованном виде. Проблему с отправкой паролей в письме он признал и пообещал устранить до конца дня.

[fb_embed_post href=»https://www.facebook.com/konstantin82/posts/2061204440576298/» width=»775″/]

«Алгоритм разработал один из наши программистов, а за надежность шифрования самой процедуры отвечает компания Microsoft«, — заявил он в комментарии AIN.UA. Павлов также предложил вознаграждение в $3000 любому, кто сможет расшифровать пароли на скриншоте базы данных Rabota.ua.

Напомним, на украинском госсайте для судей уже 2 года размещается фишинговая ссылка.

Оставить комментарий

Комментарии | 23

  • Несмотря на частичную обоснованность претензии, представитель rabota.ua — наиболее вменяемый из всех упомянутых в заметке. К сожалению, т.н. «эксперты» — некомпетентные истерики, работающие на эпатаж.

    • а в чем некомпетентность специалистов профильного комьюнити и в чем компетентность представителя работа.уа?)

      • Единственное обоснованное утверждение, вытекающее из принципиальной возможности восстановления оригинала пароля — это указание на хранение сервисом не хэшей, а открытого текста или других производных, допускающих восстановление оригинала. Отдельно следует обратить внимание, что эксперты не обладают информацией, которая бы позволила им утверждать о хранении данных в чистом виде.

        Соответственно все остальные выводы из статьи, сообщений, включая каждое, в том числе, использование слова «незашифрованный» — это ересь, позёрство и годный материал для обсуждения на сайте Ё.IT.

        Ну серьёзно, «на вынос», «сольют из-за мельчайшей дыры», «бери и пользуйся» — это беспричинный лепет, и если это мнение профильного сообщества, то по сути — грош ему цена.

        Представитель сайта rabota.ua достаточно аккуратным образом обозначил именно это.

        • Так я об этом и говорил, разве нет? Не в этом ли и есть основная проблема? В этом. То есть проблема есть и она реальна. Представитель Работы.уа вообще не понимает, о чем идет речь, потому что написал в своем посте массу глупостей. Пост он, кстати, уже потер, после того как на написанные им глупости ему указал чуть меньше, чем каждый.
          «Ну серьёзно, «на вынос», «сольют из-за мельчайшей дыры», «бери и пользуйся» — это беспричинный лепет» — уязвимость есть? Да. Многочисленные инциденты по аналогичным кейсам есть? Да. В чем ваша проблема? В том что вы пытаетесь рассуждать о темах, к которых разбираетесь намного хуже, или не разбираетесь совсем. Тут два пути: перестать нести чушь либо начать поднимать свой скилл чтобы говорить хоть как-то по теме.

          • У меня нет проблем. Я в отличии от т.н. «экспертов» понимаю разницу между незахэшированным и незашифрованным.

            Есть не лучший подход к хранению паролей. Критической уязвимости нет.

            Настоящие эксперты не должны писать чушь. А написана откровенная чушь. «практически любой сотрудник rabota с доступом к базе данных знает ваш пароль и почту» — к примеру это нелепейшая чушь.

            Георгий Исаченко: «Один из популярных сайтов поиска работы в Украине хранит пароли в открытом виде». Ну вот он получил на скриншоте свой открытый вид! Всё, можно идти за баунти в три штуки. Успехов грамотею!

          • Роман, вы работали в Веризон, A&H и т.д., вы разработчик, такой же как товарищ Исаченко, который не знает разницы между хешированием и шифрованием, но нашел проблему на конкретном ресурсе и написал о ней. Хотя к безопасности он не имеет отношения, насколько я знаю. Но лучшие практики кибербезопасности и разницу между хешировнием и шифрованием знаю я. И я подтверждаю наличие проблемы и указываю на пути решения этой проблемы. Роман, пишите на плюсах и не ходите в безопасность, мы вам сами скажем что и как делать, когда придет время. Ваша задача будет делать, а не высказывать свое мнение — оно в целом интересно, но не учитывается.

          • [decom_attached_image_1523687660162]

          • Эй, аля улю! Докинешь к 3К баксов еще от себя, или слабо? Писатель чуши.

          • В целом это отличная новость, что та часть претензии, на которую было указано (а кто не понимает, то из всего-всего написанного «экспертами» объективно обоснованным является лишь один единственный тезис: «если механизм восстановления паролей принципиально позволяет вернуть оригинал пароля, значит механизм аутентификации не использует хэшей паролей», что в свою очередь говорит о том, что не используется простой и действенный метод хранения производных паролей в виде результата выполнения односторонней функции), послужила достаточным основанием для компании для вознаграждения нашедшего.

            Все остальное в этой истории — это просто анекдот. То, что пароли не обязательно хранятся в открытом виде подтвердил уже один только скриншот базы, который никто не оспаривал. Нет, это не своем то же самое, как если бы пароли были в открытом виде (как попытался позже выкрутиться один из «экспертов»). Так называемые эксперты невпопад путаются между хэшами и шифрами. Публикующий эту и последующую новость очевидно тоже не шибко понимает деталей, так как не понимает что же именно признала работа.уа. Признала, что система хранения паролей несовершенна? Да. Признала, что их пароли доступны, как это говорилось, любому кто соприкасался с базой? Нет. Признала, что якобы расшифрованные пароли соответствуют дейтсвительным? Нет. По сути даже нет объективного подтверждения, что скриншот соответствует реальной базе.

            Сухой остаток таков, что к проблеме привлекли внимание довольно скандальным и непрофессиональным образом. Вместе с тем, компания, вышла из ситуации защитив репутации, хоть и со слегка облегчавшим кошельком.

            И тут я возвращаюсь к тому, с чего начал: «…представитель rabota.ua — наиболее вменяемый из всех упомянутых в заметке.»

          • да-да, понятно. Ты облажался, если коротко, ок?)))) Можешь не разглагольствовать)) Никто не в чем не путался, все изначально написано верно. А ты чувак не лезь когда не шаришь, потому что такие как я тебя сразу макнут в какули твои, да так что даже если на носочках стоять будешь, то не факт что сможешь высунуть нос на поверхность)

  • Не спеціаліст, но смущає що паролі мають багато схожих символів, наприклад декілька паролів мають спільний початок 311ОСЕ0П30СF…, хоча сіль начебто різна, щось похоже на обфускацію символів 🙂

  • То не «баунти», а ху..нти. Полных солей и некоторых хешей и айдишников юзеров там не видно. Информации не хватит для взлома хитрых алгоритмов от мелкомягких даже для специалистов.

      • єммм. Что именно раскодировали и как именно?

        • ну как видите раскодировали все пароли с предложенного скриншота. С помощью криптоанализа.

          • Как можно понять по этим скришотам, что именно раскодировали и как именно? Уточняю, если я беру изначальный скриншот с хешами и солями, пишу туда свои варианты паролей от балды, по длине похожие на хеши, еще и приправляю это меткими комментами о стойкости этих паролей. Потом выкладываю это на своей странице и говорю — расшифровал, алгоритм тупой. В чем будет отличие от того варианта что сейчас? ГДЕ САМ ФАКТ ЧТО ЭТО ВЕРНЫЕ ПАРОЛИ? ГДЕ ОПИСАНИЕ АЛГОРИТМА РАСШИФРОФКИ? ГДЕ САМОЕ ГЛАВНОЕ — официальный ответ от работы.юа и их подтверждение что алгоритм слабый и благодарности (в том числе и в материальном выражении) мегахакеру открывшему такую дыру?

          • Пока нет нормальных пруфов, со стороны для искушенного пользователя, это все выглядит как целенаправленная провокация против rabota.ua, а не реальная брешь в безопасности.

          • ну, во-первых работа.уа уже признали факт раскодирования предложенных паролей и обговаривают передачу денег с человеком. Во-вторых использованный алгоритм понятен и прост. Насколько я знаю, в понедельник будет официальное заявление представителя работа.уа. Еще вопросы есть? Можно еще капсом написать))) Готов поставить бутылку дом периньон на то, что все именно так, как я написал. И что пароли именно те, которые написаны на скриншоте и они не от балды. А ты что готов поставить? Или твои слова не стоят даже бутылки бухла? )

          • Пропустил момент где потерял ваше уважение к моей персоне. — Давно мы с вами на ты? Как будет официальное заявление и пруфы, тогда и признаю свою неправоту. Сейчас это пустой спор. Для меня лично это выглядит как фейк, для вас — нет. На том и закончим.

          • Да, я был неправ. Признаю свои ошибки. Хорошо, что не спорил на бухло.

          • ? в общем, Den Den, это оказалось:
            1) не провокация против Rabota
            2) реальная опасность для пользователей
            3) хорошие парни должны доказывать всем подряд, что они хорошие, но им не верят.
            4) в открытом виде пароли или нет — в этом примере совершенно неважно.

            p.s. «вы» в интернетах давно не пишут.

Поиск