Les passwords d’Ashley Madison pas si sécurisés

Pour ceux qui ont suivi l’histoire, Ashley Madison s’est fait leaker sa base de données. Et donc des petits pirates ont décidés de faire joujou avec les dumps. Il s’avère qu’un dénommé Blazer s’est rendu compte que nombre des mot de passe n’étaient sécurisés que par un simple hash md5 (big fail). Il a donc (avec ses amis) pu récupérer environ 11 millions de passwords utilisateur… De quoi faire joujou pour du brute force ailleurs…

Via Sophos

2 réflexions au sujet de « Les passwords d’Ashley Madison pas si sécurisés »

  1. Bien joué Flyers, tu m’as devancé 🙂

    ArsTechnica a aussi fait un article ici :
    http://arstechnica.com/security/2015/09/once-seen-as-bulletproof-11-million-ashley-madison-passwords-already-cracked/

    En fait pour la petite histoire la table member_login extraite du dump dispose des champs pnum (le user id), username, password (le hash bcrypt) et loginkey qui était jusqu’ici inconnu.

    Blazer a fouillé dans le code PHP leaké et découvert comment était formé le champ loginkey qui est en réalité le hash md5 du username concaténé avec le pass en clair et d’autres choses…

    Et il y a pas à dire il est beaucoup plus rapide de tenter de casser plusieurs hashs MD5 qu’un seul petit hash bcrypt…

    J’avais déjà commencé à casser les pass faibles mais avec la nouvelle technique je vais vite en avoir cassé une grosse quantité (26000 so far)

Les commentaires sont fermés.