Foi confirmado: as senhas dos usuários do XKCD foram violadas durante uma violação de dados

XKCD Webcomic Forum Data Breach

Os interessados em matemática, tecnologia e segurança da informação provavelmente já ouviram o nome Randall Munroe. Ele é o criador do webcomic XKCD, que usa desenhos animados de bonecos brilhantes e uma boa dose de humor para discutir esses assuntos. Usando o XKCD, Munroe popularizou sua teoria do correto, de acordo com a qual uma frase longa que consiste em quatro palavras aleatórias é mais fácil de lembrar e mais segura do que uma seqüência de letras, números e caracteres especiais.

Na sexta-feira, o especialista em segurança cibernética e criador do serviço de alerta Eu já fui pwned, Troy Hunt, usou seu enorme número de seguidores no Twitter para tentar entrar em contato com Randall Munroe. Ele não estava tentando explicar por que a teoria do "corpo correto do batom" pode não funcionar no mundo real. Ele fez isso há um tempo atrás . Hunt estava tentando dizer a Munroe que as informações que pertencem aos fãs do XKCD foram expostas.

O fórum do XKCD foi violado

Troy Hunt foi inicialmente contatado por um hacker ético chamado Adam Davies, que lhe disse que o fórum em que as pessoas discutem tudo relacionado ao XKCD foi violado há alguns meses. Eventualmente, Hunt conseguiu entrar em contato com o administrador do fórum, que reconheceu a violação e tomou medidas para solucionar o problema.

As notificações por email foram enviadas aos indivíduos afetados, o fórum foi colocado offline e permanecerá inativo enquanto as pessoas responsáveis por ele tentarem descobrir exatamente o que aconteceu. Enquanto isso, Troy Hunt recebeu as informações vazadas de Adam Davies e as carregou em seu serviço de alerta de violação de dados, o que significa que você pode inserir seu email em https://haveibeenpwned.com/ e verificar se sua conta foi comprometida.

Quão grande foi a violação?

O XKCD é um dos webcomics mais populares do mundo, e as ferramentas de análise sugerem que ele possui milhões de visitas mensais. À luz disso, a brecha nos fóruns não parece tão terrível. Pouco menos de 562 mil contas foram afetadas, o que, embora ainda seja um número significativo, não chega a ser tão grande quanto as dezenas de milhões de registros que outros sites e aplicativos vazam diariamente.

Além disso, o fórum XKCD é gratuito, o que significa que ele não armazena nenhuma informação financeira. De acordo com o comunicado atualmente publicado no fórum, os dados que foram expostos incluem endereços IP no momento do registro, nomes de usuários, emails e "senhas salgadas e com hash".

É seguro supor que, quando o fórum voltar a ficar online, as senhas das contas afetadas serão redefinidas. Os administradores alertaram corretamente os usuários, no entanto, que se eles usaram sua senha XKCD para outras contas, eles devem alterá-la com urgência. E por uma boa razão.

Até a senha mais forte não consegue vencer um algoritmo de hash fraco

Temos certeza de que alguns de vocês usam o sistema "corrigir o sistema de batalhas corretas" de Randall Munroe, enquanto outros, como Troy Hunt, contam com geradores de senhas. Independentemente da sua posição, cada uma de suas contas deve ser protegida com uma senha forte e exclusiva. Infelizmente, mesmo isso às vezes não é suficiente.

A notificação de violação de dados do XKCD diz que os hackers aproveitaram uma vulnerabilidade no phpBB, a plataforma subjacente do fórum. O fato de o buraco existir sugere que nem todas as atualizações de segurança foram instaladas. A função de hash de senha também aponta para software desatualizado.

De acordo com Have I Been Pwned, as senhas foram divididas em hash com o MD5, que, como mencionamos há pouco tempo, é um algoritmo de hash desatualizado e desatualizado. Na verdade, eles também foram salgados, o que tornará a recuperação das credenciais um pouco mais difícil, mas, mesmo assim, o fato de sua senha do XKCD estar protegida com o MD5 significa que ela deve ser considerada comprometida e nunca deve ser usada novamente.

September 4, 2019

Deixe uma Resposta