Propust na sajtu Amazon.com: prijavljivanje na nalog sa različitim lozinkama

Vesti, 01.02.2011, 09:11 AM

Propust na sajtu Amazon.com: prijavljivanje na nalog sa različitim lozinkama

Prema pisanju sajta Wired.com, propust u bezbednosti sajta Amazon.com omogućava pojedinim korisnicima prijavljivanje pomoću različitih lozinki koje su slične ali ne i iste sa prvaom lozinkom.

Propust kao ispravne tretira lozinke koje imaju dodatne karaktere pored minimalnih osam karaktera obaveznih prilikom kreiranja lozinke.

Primera radi, ukoliko je tačna lozinka “Password”, sajt Amazon.com dopušta prijavljivanje na korisnički nalog i sa sledećim varijacijama ove lozinke: “PASSWORD,” “password,” “passwordpassword,” i “password12345”.

Međutim, izgleda da propust pogađa jedino starije naloge na Amazon.com, čije lozinke nisu menjane godinama unazad.

Amazon nije želeo da komentariše pisanja sajtova Wired i Reddit kojem je propust prvi put prijavljen.

Oni koji su pogođeni ovim propustom, vlasnici naloga sa starim lozinkama, treba da se prijave sa svojom lozinkom na nalog na Amazon.com i da promene lozinku.

Moguće je da je Amazon koristio unix crypt() funkciju za šifrovanje starijih lozinki, konvertujući ih u velika slova, pre odpremanja na svoje servere. Crypt() skraćuje duže lozinke, dobacujući sve dodatne karaktere posle minimalnih osam. Pored toga, krekovanje ovakvih lozinki je relativno lako što je pokazao slučaj Gwalker Media kada su hakeri objavili njihovu bazu lozinki koje su bile kodirane na ovakav način.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Chrome ekstenzija sa skoro milion korisnika uklonjena zbog sumnjivog prikupljanja podataka

Chrome ekstenzija sa skoro milion korisnika uklonjena zbog sumnjivog prikupljanja podataka

Google je uklonio popularnu Chrome ekstenziju ModHeader iz Chrome Web Store-a nakon što su istraživači kompanije Stripe otkrili skrivene funkcional... Dalje

LastPass upozorava na fišing kampanju koja koristi lažna bezbednosna obaveštenja

LastPass upozorava na fišing kampanju koja koristi lažna bezbednosna obaveštenja

Kompanija LastPass je upozorila korisnike na novu fišing kampanju u kojoj napadači koriste lažna bezbednosna obaveštenja kako bi ih usmerili na zl... Dalje

Apple upozorava: prevaranti sve češće koriste FaceTime za krađu podataka i novca korisnika

Apple upozorava: prevaranti sve češće koriste FaceTime za krađu podataka i novca korisnika

Apple je upozorio korisnike iPhone i iPad uređaja da svaki neočekivani FaceTime poziv, poruku ili zahtev za deljenje ličnih podataka tretiraju kao ... Dalje

Novi Android malver RedHook koristi Wireless ADB za preuzimanje kontrole nad telefonom

Novi Android malver RedHook koristi Wireless ADB za preuzimanje kontrole nad telefonom

Istraživači kompanije Group-IB upozoravaju na novu verziju Android malvera RedHook, koja koristi funkciju Wireless ADB kako bi stekla privilegije zn... Dalje

Microsoft: očekujte više Windows ažuriranja jer veštačka inteligencija pronalazi više propusta

Microsoft: očekujte više Windows ažuriranja jer veštačka inteligencija pronalazi više propusta

Microsoft je upozorio korisnike da u narednom periodu mogu očekivati veći broj bezbednosnih ažuriranja za Windows, jer kompanija sve intenzivnije k... Dalje