Propust na sajtu Amazon.com: prijavljivanje na nalog sa različitim lozinkama
Vesti, 01.02.2011, 09:11 AM
Prema pisanju sajta Wired.com, propust u bezbednosti sajta Amazon.com omogućava pojedinim korisnicima prijavljivanje pomoću različitih lozinki koje su slične ali ne i iste sa prvaom lozinkom.
Propust kao ispravne tretira lozinke koje imaju dodatne karaktere pored minimalnih osam karaktera obaveznih prilikom kreiranja lozinke.
Primera radi, ukoliko je tačna lozinka “Password”, sajt Amazon.com dopušta prijavljivanje na korisnički nalog i sa sledećim varijacijama ove lozinke: “PASSWORD,” “password,” “passwordpassword,” i “password12345”.
Međutim, izgleda da propust pogađa jedino starije naloge na Amazon.com, čije lozinke nisu menjane godinama unazad.
Amazon nije želeo da komentariše pisanja sajtova Wired i Reddit kojem je propust prvi put prijavljen.
Oni koji su pogođeni ovim propustom, vlasnici naloga sa starim lozinkama, treba da se prijave sa svojom lozinkom na nalog na Amazon.com i da promene lozinku.
Moguće je da je Amazon koristio unix crypt() funkciju za šifrovanje starijih lozinki, konvertujući ih u velika slova, pre odpremanja na svoje servere. Crypt() skraćuje duže lozinke, dobacujući sve dodatne karaktere posle minimalnih osam. Pored toga, krekovanje ovakvih lozinki je relativno lako što je pokazao slučaj Gwalker Media kada su hakeri objavili njihovu bazu lozinki koje su bile kodirane na ovakav način.
Izdvojeno
EU usvojila novi zakon koji od proizvođača IoT uređaja zahteva primenu jakih mera bezbednosti
Savet Evropske unije zvanično je ove nedelje usvojio Zakon o sajber otpornosti (CRA) koji zahteva od proizvođača primenu robusnih mera bezbednosti ... Dalje
Hakeri iskorišćavaju ranjivost Firefoxa u napadima, Mozilla pozvala korisnike da preuzmu najnoviju verziju
Mozilla je pozvala korisnike da ažuriraju Firefox na najnoviju verziju, upozoravajući da hakeri zloupotrebljavaju kritičnu bezbednosnu ranjivost ko... Dalje
Proukrajinski hakeri tvrde da su od ruske firme za sajber bezbednost Dr.Web ukrali 10 TB podataka
Proukrajinski hakeri sa DumpForums, proukrajinskog haktivističkog foruma, tvrde da su hakovali poznatu rusku kompaniju za sajber bezbednost Dr.Web, i... Dalje
Kripto prevaranti hakovali LEGO i prodavali lažne LEGO novčiće
Kripto prevaranti su hakovali veb sajt LEGO u petak uveče pokušavajući da posetiocima prodaju lažnu digitalnu valutu. Napadači su uspeli da hakuj... Dalje
MoneyGram potvrdio da su hakeri ukrali podatke korisnika
MoneyGram je potvrdio da su hakeri ukrali lične podatke korisnika i podatke o transakcijama u velikom septembarskom sajber napadu koji je izazvao pet... Dalje
Pratite nas
Nagrade