Популярный сервис вопросов и ответов Formspring последовал примеру Linkedin, Last.fm и прочих сайтов, которые признались в утечке баз данных с парольными хэшами. Исполнительный директор компании подтвердил в корпоративном блоге, что база из 420 тыс. хэшей, опубликованная на одном из хакерских форумов, действительно принадлежит пользователям Formspring. Расследование выявило, что неизвестный злоумышленник проник на один из серверов разработки и скопировал базу хэшей. Уязвимость в системе уже закрыта.
Пароли всех пользователей Formspring (их более 22 млн) принудительно деактивированы, и для входа на сайт требуется сменить пароль. Интересно, что в рассылке пользователям руководство сервиса решило не распространяться об инциденте, видимо, чтобы не пугать людей. В письме сказано, что пароли нужно сменить по «причинам безопасности».
Представители Formspring также сказали, что они ещё не перешли на более продвинутую функцию хэширования BCrypt, но зато используют соль для изменения хэшей. Таким образом, подобрать хэши для паролей Formspring будет не так просто, как для Linkedin.
В корпоративном блоге директор Formspring рекомендует пользователям использовать пароль из 10 и более символов и хранить его в безопасном месте.