Группа хакеров из Сан-Диего значительно продвинулась вперед в деле расшифровки 36 млн паролей, утекших в результате атаки на Ashley Madison — сайт для любителей романов на стороне. Этот прогресс может означать высокую вероятность взлома других аккаунтов, принадлежащих жертвам, из-за возможности использования одного и того же пароля для различных сервисов.

Хакеры уже предприняли успешную попытку взлома паролей Ashley Madison, сумев расшифровать только небольшую часть из них, в большей степени благодаря их откровенной слабости.

Члены хакерского коллектива CynoSure Prime, специализирующегося на взломах паролей, в прошлый четверг объявили о том, что обнаружили изъян в токенах, найденных во второй порции данных, слитых в онлайн группировкой Impact Team. Напомним, что данные, оказавшиеся в открытом доступе, содержали рабочую переписку главы материнской компании Avid Life Media и исходный код Ashley Madison.

Вместо того чтобы нацелиться на пароли с хешем bcrypt, что в итоге обернулось бы долгим и затратным с точки зрения усилий мероприятием, хакеры из CynoSure Prime обнаружили в кэше 15,26 млн авторизационных токенов, хешированных при помощи алгоритма MD5, в котором имеются уязвимости, и решили сконцентрировать усилия на них.

«Вместо того чтобы ломать медленные bcrypt-хеши, чего бы все ожидали, мы решили действовать более эффективно и просто атаковали токены MD5. Взломав токен, мы сопоставили его с соответствующим ему bcrypt-хешем», — прокомментировали хакеры в своем блоге.

Хотя это и заняло несколько дней, но, сопоставив взломанные токены с соответствующими им bcrypt-хешами, взломщики смогли расшифровать более 11,2 млн паролей и готовы заняться следующими 4 млн.

Проанализировав метод хакеров, в Ars Technica отметили, что участники CynoSure Prime не планируют публиковать где-либо полученные пароли, но не откажут в предоставлении информации, необходимой для их взлома.

Изъян кроется в некорректной передаче пароля в незашифрованном формате через MD5 с переменной $loginkey. В CynoSure Prime не уверены, для чего использовалась эта переменная, но предполагают, что она предназначалась для автоматического входа в аккаунт.

«Она создавалась при регистрации нового аккаунта и затем создавалась заново, когда пользователь менял какие-либо учетные данные вроде логина, пароля или email-адреса», — говорится в блоге CynoSure Prime.

Один из членов CynoSure Prime подтвердил, что взлом хешей MD5 происходит «в миллион раз» быстрее, чем в случае с хешами bcrypt. Группа использует для взлома паролей инструмент под названием MDXfind; хакерам осталось взломать около 4 млн паролей.

Категории: Уязвимости, Хакеры