Apple-fans og Mac-interesserede, der har diskuteret iPhone 6-rygter på Macrumors.com, skal gå ud fra, at deres e-mail-adresse og passwords nu er i hænderne på hackere. Det skriver Macrumors.com selv til brugerne i en besked, der derfor opfordrer til, at man skifter password, både på Macrumors og alle andre steder, man har brugt samme password.
For selvom passwords i den stjålne database er blevet hashet, altså udsat for en-vejs-kryptering, der burde gøre det matematisk umuligt at regne sig frem til selve passwordet ud fra hash-værdien, har sikkerheden ikke været høj.
Macrumors har nemlig brugt den forældede MD5-hash-funktion, som ikke længere regnes for sikker, og som gør det nemt at teste et stort antal muligheder med brute-force. Ifølge Wikipedia kan et grafikkort i den dyre ende afprøve 200 millioner mulige passwords i sekundet, og dermed vil hackerne med tiden kunne komme igennem alverdens tænkelige passwords.
Hackerne, som stjal databasen med brugeroplysninger, loggede på en moderator-konto og kunne derfra så arbejde sig videre ind i systemerne, skriver Ars Technica. Hvordan hackerne i første omgang fik fat i et moderator-password, er ikke opklaret. Der er endnu ikke tegn på, at de mange stjålne data cirkulerer på nettet, hverken i hashet eller dekrypteret form.
Lækket fra Macrumors er blot ét ud af mange eksempler. Senest er en enorm kundedatabase fra softwarefirma Adobe blevet stjålet og florerer nu på nettet, med e-mail-adresser og password-tips for 38 millioner brugere. Her er passwords ikke beskyttet af hashing, men af traditionel kryptering. Dermed kan alle passwords blive dekrypteret på én gang, hvis hackerne finder frem til ’hovednøglen’ til databasen.
Leave a Reply