Специалист по брутфорсу и анализу парольных хэшей Трой Хант похвастался очередным достижением. 45 секунд — ровно столько ему понадобилось, чтобы расшифровать более половины парольных хэшей пользователей сайта ABC Australia, которые сегодня просочились в открытый доступ в результате атаки Анонимов в рамках операции #OpWilders.

Ссылки на части документа перечислены в сообщении на Pastebin, база с хэшами разбита на десять частей, можно скачать одним архивом с зеркала.

Опубликованная база содержит имена, парольные хэши, адреса электронной почты, IP-адреса и другую приватную информацию 49 561 пользователя сайта ABC Australia, в том числе модераторов. В частности, приведено содержимое следующих полей базы данных.

  1. user_id
  2. user_age
  3. user_town
  4. user_nick
  5. user_regip
  6. addedtomap
  7. user_email
  8. user_gender
  9. isModerator
  10. user_password
  11. user_updateip
  12. hhscore_score
  13. user_postcode
  14. postcode_state
  15. user_lastLogin
  16. user_statusText
  17. user_info_public
  18. user_regDateTime
  19. hhscore_testDate
  20. user_latitude_min
  21. user_latitude_max
  22. user_longitude_min
  23. user_info_approved
  24. user_longitude_max
  25. user_statusFlagged
  26. user_updateDateTime
  27. user_statusDateTime

Интересующая нас колонка user_password содержит хэши в таком виде:

7907c2d05ed0039357d08433049877341e2b635d
08207f637617d60a7f5d478ebab54e5e9d160dff
f7a9e24777ec23212c54d7a350bc5bea5477fdbb
ef9e6d538efda4b736776330850218adc2f8e6b1
ae5728815eff76b748cddab86f926642c5d168dd
96f0878719d2d667ecf68687f3b93d29af64ac14
7323517c3c74dea82eb14a152110f5f8e8575c28

Чтобы осуществить подбор и сравнение хэшей по словарной базе паролей, нам нужно знать, какой алгоритм хэширования здесь используется. Для этого достаточно погуглить какой-нибудь из хэшей. Сразу видно, что это SHA1.

Проверить результат можно в справочнике по хэш-функциям.

Трой Хант пишет, что из 49 561 хэшей уникальными являются 41 585, а остальные почти 8000 — это повторы. Поскольку алгоритм хэширования используется в чистом виде, без добавления случайных значений (без соли), то это облегчает расшифровку базы.

Трой Хант говорит, что при использовании программы hashcat у него ушло всего лишь 45 секунд на восстановление 18 406 паролей из 41 585 уникальных записей, в том числе около 8000 паролей, которые использовались повторно.

Трой Хант использовал маленький словарь из 23 млн слов. Для взлома остальных паролей нужно найти словари большего размера, а также использовать радужные таблицы, мутации с подстановкой символов и прямой брутфорс с перебором всех символов подряд. В конце концов, за несколько суток наверняка можно расшифровать более 90% паролей. Посмотрим, как с задачей справится Трой Хант (он уже наверняка занялся этим делом).

Оставить мнение