Новый тренинг от NSC – «практический курс для начинающих хакеров».
Национальный Совет Безопасности США (National Safety Council, NSC) допустил утечку данных 2000 американских компаний и государственных организаций. Около 10000 email-адресов и паролей сотрудников оказались практически Для просмотра ссылки Войдиили Зарегистрируйся .
Некоммерческая организация NSC не только занимается вопросами безопасности на глобальном уровне, но и проводит тренинги по охране труда и безопасному вождению. Ее онлайн-материалы доступны почти 55 000 представителям бизнес-сферы, государственных агентств и учебных заведений.
Команда портала Cybernews обнаружила, что сайт NSC оставался уязвимым на протяжении пяти месяцев. Утечка затронула сотрудников:
Учетные данные были зашифрованы алгоритмом SHA-512, который в целом считается надежным. Однако «соли», дополнительные символы для усиления шифрования, хранились прямо рядом с хешами паролей и были закодированы в формате base64, который для этого не предназначен. «Лазейка» существенно упрощает задачу для потенциальных атакующих.
В зависимости от сложности пароля и используемых методов, компрометация учетной записи одного человека могла бы занять до 6 часов. Это не означает, что все аккаунты поддаются взлому, но исследования показали, что из таких баз можно извлечь примерно 80% хэшей. Следовательно, значительная часть информации была под угрозой.
Клиентам сервиса рекомендуют срочно сменить пароли на сайте NSC и других ресурсах, где использовался тот же пароль. Эта утечка — хороший урок для всех государственных структур о том, что к вопросам киберзащиты нельзя относиться халатно.
После обращения Cybernews компания оперативно устранила проблему.
Национальный Совет Безопасности США (National Safety Council, NSC) допустил утечку данных 2000 американских компаний и государственных организаций. Около 10000 email-адресов и паролей сотрудников оказались практически Для просмотра ссылки Войди
Некоммерческая организация NSC не только занимается вопросами безопасности на глобальном уровне, но и проводит тренинги по охране труда и безопасному вождению. Ее онлайн-материалы доступны почти 55 000 представителям бизнес-сферы, государственных агентств и учебных заведений.
Команда портала Cybernews обнаружила, что сайт NSC оставался уязвимым на протяжении пяти месяцев. Утечка затронула сотрудников:
- Организаций в сфере добычи ископаемых: Shell, BP, Exxon, Chevron
- Производителей электроники: Siemens, Intel, HP, Dell, IBM, AMD
- Авиакосмических компаний: Boeing, Федеральное авиационное управление (FAA)
- Фармацевтических компаний: Pfizer, Eli Lilly
- Автомобильных гигантов: Ford, Toyota, Volkswagen, General Motors, Rolls Royce, Tesla
- Государственных структур: Департамент юстиции США, ВМС США, ФБР, Пентагон, NASA , Управление по безопасности и гигиене труда (OSHA)
- Провайдеров интернет-услуг: Verizon, Cingular, Vodafone, ATT, Sprint, Comcast
- Других крупных фирм: Amazon, Home Depot, Honeywell, Coca Cola, UPS
Учетные данные были зашифрованы алгоритмом SHA-512, который в целом считается надежным. Однако «соли», дополнительные символы для усиления шифрования, хранились прямо рядом с хешами паролей и были закодированы в формате base64, который для этого не предназначен. «Лазейка» существенно упрощает задачу для потенциальных атакующих.
В зависимости от сложности пароля и используемых методов, компрометация учетной записи одного человека могла бы занять до 6 часов. Это не означает, что все аккаунты поддаются взлому, но исследования показали, что из таких баз можно извлечь примерно 80% хэшей. Следовательно, значительная часть информации была под угрозой.
Клиентам сервиса рекомендуют срочно сменить пароли на сайте NSC и других ресурсах, где использовался тот же пароль. Эта утечка — хороший урок для всех государственных структур о том, что к вопросам киберзащиты нельзя относиться халатно.
После обращения Cybernews компания оперативно устранила проблему.
- Источник новости
- www.securitylab.ru