Nick Denton: muž silných slov a slabých hesel
Web Gawker byl prolomen hackerskou skupinou, která si říká Gnosis, jak vyšlo najevo o víkendu. Na torrentech se objevil zhruba půlgigový soubor obsahující jména, hesla a e‑maily asi 1,3 milionu registrovaných uživatelů, ale i pracovníků Gawker Media; dále unikla jejich vnitřní komunikace i dokumenty a zdrojové kódy.
Skupinu Gnosis prý k útoku podnítila „nadutost“ zakladatele a šéfa Gawker Media, Nicka Dentona, se kterou se „obouval“ do subkulturního webu 4chan. Útok umožnilo slabé zabezpečení Gawkeru. Gnosis tvrdí, že servery firmy běžely na starých linuxových jádrech a všude byla „spousta děr“; jejich databáze se prý takřka „válela na ulici“; navíc Gawker Media užívala šifrovacího algoritmu DES. Hackeři získali přístup ke všem webům skupiny Gawker Media. Přístup k vnitrofiremní komunikaci prý měli už po nějaký čas.
Prolomení odhalilo nejen slabé zabezpečení serverů Gawker Media, ale i selhání lidská: například Nick Denton prý užíval hesla „24862486“, a to dokonce pro různé servery.
Ohroženi jsou všichni uživatelé, kteří měli na některém webu Gawker Media (Lifehacker, Gizmodo, Gawker, Jezebel, io9, Jalopnik, Kotaku, Deadspin, Fleshbot) heslo do osmi znaků délky. Více než osm znaků hesla se údajně z databáze zašifrované DES dostat nedá.
Za povšimnutí stojí, že ti uživatelé, kteří se připojovali pod svým účtem facebookovým, skrze Facebook Connect, popřípadě přes Twitter, ohroženi prý nejsou. Do databáze Gawkeru se tak totiž nedostala jejich hesla. Ostatní údaje, jako jméno profilu, a možná e‑mail, asi ano. Jed Smith připravil snadný nástroj k prověření, zda se váš e‑mail nebo uživatelské jméno v uniklých datech nachází.
K případům nabourání dochází na internetu průběžně; v souvislosti s útoky v odplatu za WikiLeaks však nabývají na ohlasu. Vůbec lze říci, že na internetu je neklidno a že internet začíná připomínat Divoký západ: než o někom pohybujícím se v šeru na pokraji zákona, a nebo rovnou mimo zákon, prohlásíte něco špatného, měli byste se ujistit, že kolty máte vyčištěny, promazány, nabity a zavěšeny proklatě nízko, a nestavět se zády do prostoru… anebo raději dobře zabezpečte své servery.
I na server neprolomitelný lze zaútočit alespoň útokem DDoS, který však server jen dočasně přetíží a znemožní přístup k němu.
Další poučení platí pro obyčejné uživatele webů: neregistrujte se na různé weby pod stejným heslem, a hlavně na nějakém takovém webu nemějte totéž heslo jako na službách opravdu důležitých, například pro e‑mail, přístup do banky nebo profil na společenské síti.
1 foto
