Вчера стало известно об утечке личных данных 42 тысяч пользователей сайта для игры в онлайн-покер sealswithclubs.eu. Администрация портала в экстренном порядке сбросила пароли пользователей на следующий день после того, как база данных была выложена в открытом доступе. В официальном заявлении на сайте говорится: «Датацентр, в котором располагались наши серверы до ноября допустил неавторизованный доступ к серверу баз данных и наша база данных была скорее всего также скомпрометирована. Пароли пользователей хранились в виде хешей, основанных на соли, однако в целях безопасности все пользователи должны сменить свои пароли». Сайт Seals with Clubs для игры в покер использует исключительно валюту Bitcoin и доступ к учетным данным пользователей может стать лакомой добычей хакеров. Анализ выложенных паролей, защищенных алгоритмом SHA1 и солью, как обычно показал, что пользователи используют простые пароли. В течении первых раундов брутфорса были подобраны пароли "sealswithclubs", "88seals88", "bitcoin1000000" и "pokerseals". В течение 1 дня исследователям удалось подобрать пароли к учетным записям 60% пользователей сайта. Этот инцидент демонстрирует сразу 2 проблемы, которые существуют в настоящий момент у владельцев онлайн-сервисов: первая – слабы пароли пользователей; вторая – отказ от использования надежных методов шифрования данных. Вместо подсоленных SHA1, MD5 лучше использовать PBKDF2 или bcrypt. База sealswithclubs.eu - http://www.sendspace.com/file/wi5x6u
