Nepřišel mi e-mail… dozvěděl jsem se to z oficiálního twitter účtu 500px

1/2 PLEASE NOTE: We recently learned of a potential security issue and have taken every precaution to ensure our users' data is safe. There is no indication of unauthorized account access, but as a precautionary measure, we are resetting all user passwords.

An email notification will include more details on this specific issue, but you can learn more on our Support page

A co teď s tím? Nedošel mi e-mail, tak jsem se přihlásil a čekal co bude. Objevila se stránka s informací v podobném duchu jako výše a prostorem pro zadání registrovaného e-mailu. Zadal jsem a čekal, kliknu na restart hesla. Ověřím se druhým faktorem, ten mimochodem není potřeba pro přihlášení - ale jen pro security část. Změnil jsem heslo a ověřím, že funguje. Hotovo.

Když se na to podívám pohledem člověka, který se v bezpečnosti pohybuje… se to vylepšit. V prvé řadě nebyli všichni informováni. Proces resetu hesla nebyl uplně funkční, server vracel 502. A v neposlední řadě MD5, právě tohle byla chvíle, kdy měli změnit algoritmus na bcrypt… Jsou to detaily, které jsou ale podstatné. Snad 500px kvůli tomu nepřijde o uživatele, byla by to škoda.

Aktualizace 14.2. až dnes, v 15:14 mi do e-mailu dorazilo oficiální upozornění o napadení webu… takže pozdě, ale přece!

Other Related Posts:

Hesla, hesla... hesla

Jak to teda s hesly je

Narazil jsem na článek od CSIRT-MU, že s hesly je to jako se zubním kartáčkem. Nadpis je docela dost chytlavý, aby čtenáře upoutal. Nicméně jsem z toho článku trochu rozčarován. V části, která se věnuje tvorbě hesla je představen jeden z mnoha způsobů tvorby hesla. V zás...

8th Dec 2018

Kompromitace webu

Přišel mi e-mail...

Stálo v něm následující,

Dear support portal user,

as you may have noticed, our portal has been unavailable. We identified an unknown party's attempt to breach the Flowmon's support portal yesterday. As a part of the internal security process, we took the portal offline.

W...

1st Feb 2019