Gawker отказался пользоваться авторизацией, состоящей из электронной почты и
пароля, в пользу более современной системы аутентификации OAuth и использованию
анонимных однократных учетных записей.
Том Планкет, главный технический директор Gawker Media, кратко пояснил планы
в ответ на обнаружение очередной неразберихи, связанной с паролями, вовлеченным
в которую оказался сайт медиа-новостей и сплетен. Ученые-компьютерщики
Кембриджского университета выяснили, что еще 2 недели назад сайт не мог
обрабатывать содержащиеся в паролях знаки, не входящие в ASCII. Вместо этого,
перед хешированием все знаки, не входящие Американский стандартный код для
обмена информацией, были преобразованы в знак '?'.
В результате этой ошибки, учетные записи говорящих на корейском языке
пользователей (и это лишь один пример), могли быть взломаны хакерами, которые
просто догадались набрать ряд вопросительных знаков вместо пароля.
Джозеф Боно, специалист Кембриджского университета в области теории
вычислительных машин и систем, наткнулся на брешь в системе безопасности, изучая
то, как решается проблема знаков, не входящих в стандарт ASCII, в паролях. "Сайт
Gawker использовал относительно малоизвестную библиотеку Java с известной
ошибкой в программе, превращающей перед хешированием все знаки, не входящие в
ASCII, в ‘?’", - объяснил Боно.
Боно отдает дань компании Gawker, которые быстро отреагировали на его
открытие и исправилась в течение трех дней, хотя количество незащищенных учетных
записей было невелико. Блог Gawker есть только на английском языке и, как
полагает Боно, меньше чем один из 50 000 пользователей пользуется паролем,
который состоит полностью из не латинских букв.
Этот последний сбой следует за гораздо более серьезным проникновением,
которое произошло в прошлом месяце, когда
ошибки в системе
безопасности сайта Gawker повлекли за собой раскрытие миллионов пользовательских
паролей. Распечатка базы данных, включающая реквизиты доступа пользователей,
записи чатов и другие материалы с сайта Gawker, была выгружена в Torrent-ы
группой хакеров Gnosis. Группа Gnosis получила данный материал, получив доступ к
серверам Gawker. Атака была мотивирована большей частью
онлайн-войной между
хакерами, связанными с анархической группой 4chan и Gawker.
Gawker ответил на взлом, попросив пользователей поменять пароли, и
аналогичная реакция возникла и сейчас как ответ на гораздо менее серьезную
проблему со знаками, не входящими в код ASCII. Пользователям, на которых может
повлиять данная ошибка, рекомендуют поменять пароль, как только они зайдут на
сайт по своим старым (уязвимым) реквизитам. Тем временем, Gawker проводит
изменения в базе данных, которые позволят ему перейти на более надежную систему
паролей, объяснил Планкет.
"Позднее (начиная с февраля), мы будем переводить всех наших пользователей на
новую платформу комментирования, которая будет позже в этом месяце описана в
блоге tech.gawker.com", - пояснил Планкет. "Это устранит необходимость хранения
электронных адресов или паролей на нашей платформе. Как только это изменение
произойдет, новые комментаторы не смогут регистрироваться при помощи
пользовательского пароля – мы будем поддерживать только OAuth или анонимные
учетные записи, которые мы называем 'горящими'".
Ранее Gawker заявил, что он собирается внедрить двухфакторную аутентификацию
для своих сотрудников – в ответ на нарушение системы безопасности сайта, которое
произошло в прошлом месяце.
