RockYou expõe senhas de TODOS usuários

Acessei o site dos caras só por curiosidade, olha oq tem lá: “As you know, RockYou takes our users privacy very seriously. We take a lot of effort to protect user data from security breaches and attacks.”

Very seriously? Fala sério, com essas falhas infantis q vc citou fica difícil acreditar…

Depois tem gente que deseja que tudo seja online….

Afinal, se o site diz que eles vão garantir a segurança de seus dados, é porque isso é verdade!

E é por isso que as senhas que uso em serviços assim não tem a menor relação com minhas senhas de email e banco.

Por isso que fico meio bolado quando cadastro num site/serviço novo.

E é todo dia quase..

tsc tsc tsc Texto plano? Meu Deus, na escola, em “aplicaçõezinhas” CRUD a gente tinha que usar hash code pelo menos :S. 

Realmente viu…

Não coloque no mesmo balaio todos os provedores de serviços online por conta da falha infantil de sofrer um SQL Injection e ainda por cima expor as senhas em formato flat (sem criptografia).

Nem todos são assim. Aliás, a minoria é infantil assim.

Triple Fail, SQL injection, texto plano, senha sem caracteres especiais.

Acho que o cracker só deve ter visto aquele aviso “No special characters” e “advinhou” que um SQL injection ia funcionar. Lamentável.

Eu também adoto senhas diferentes para serviços que não uso. Confesso que para serviços mais estáveis chego a usar a mesma senha.

Que papelão! Usar senhas em texto plano…. :O

Nem um MD5 usaram… nem um estagiário usuaria texto puro pra guardar as senhas.

Faço a mesma coisa.

Tenho três níveis para senhas: senhas de bancos, e-mail, outro serviços. As primeiras não se repetem em lugar algum. As segundas demandam um nível de segurança e só se repetem entre os e-mails. Os outros serviços, deixo uma senha mais simples e que eu vou lembrar facilmente só de ver que o site é podre…

Toma na toba os usuários que não lêem termos de uso. Isso não é nada, tem que ver os termos de uns fóruns de warez.

créééééééééééééééu.

Somos 2.

Esse Rock you poderia saber usar um hash tipo sha1 ou md5.

Somos 2.

Esse Rock you poderia saber usar um hash tipo sha1 ou md5.

Papagaiada!!!! :jawdrop:

[quote]O fato de armazenarem senhas em texto plano só piora a situação. Qualquer sistema gratuito possui encriptação de senhas. É o mínimo de segurança que se espera de um serviço/sistema. Mas, não no RockYou. Para piorar, o site incentiva usuários a criarem senhas fracas, com entre 5 e 15 caracteres, e sem especiais (#¨@%$!).[/quote]

Acho que eles não conhecem criptografia, e muito provavelmente o estagiário de TI podia entrar lá e pegar o arquivo. Talvez rede também não aceite Unicode.

P.S.: Acho que vou trocar a minha senha do Meiobit, o que vocês acham de *********************** ?

Tudo depende do que eles consideram “comercialmente razoável”. Vai ver, encriptar as senhas exigiria um computador quântico.

“o RockYou! faz esforços comercialmente razoáveis para garantir a segurança dos nossos sistemas.”

Como se fosse fácil saber quais não são infantis. Esse serviço por exemplo tinha muita popularidade pela galera geek.

Não sei como esse troço funciona, mas talvez o serviço acessa seu email toda hora q vc loga pra buscar contatos/sei lá e pra isso o hash da senha não serviria.

ou seja, nunca use um serviço que automaticamente faz logon em site de terceiros? :O

                     <– Cadê a linha que estava aqui? =)

É como nosso colega acima falou… Como saber se eles estão tomando as medidas necessarias?

Até a MS no outro post aqui no meiobit deu uma de “invantil” ao terceirizar um serviço de quinta categoria… Se nem a empresa de TI mais rica do mundo, se vê livre de incopetentes, diga-se lá diversos serviços por ai…

É normal dar uma credibilidade para um Google da vida, um Twitter, etc… Porém como garantir que eles não são a regra, e sim a exceção?

Vale lembrar que caracteres especiais (#¨@%$!) em senhas pessoais só são bem vindos quando são digitados sem olheiros vizinhos.

As teclas que necessitam de shift causam uma pausa momentanea, assim uma senha como “hell@4all” é suficiente para uma pessoa normal capturar a senha em duas etapas. As vezes, acronimos (criados exclusivamente por você) são melhores bem vindos que usar (#¨@%$!), até porque podem ser combinadas com o serviço que se usa (ex. hugafel1z=Hamacker Usa Gmail Agora é feliz, chii que falta de criatividade).

HUahuahuahua. Verdade.

HUahuahuahua. Verdade.

Hash + Salt não. Mas uma simétrica com certeza. A chave poderia ficar guardada com muito mais segurança. Ou melhor, depois que o usário se liga, a senha usada seria a vase da chave para a criptografia simétrica das outras senhas dos outros serviços.

Na época que a Internet comercial não existia os leigos já entupiam suas máquinas de virus passados por disquetes, que corrompiam seus arquivos mesmo sem conexão. 

Na época que os sites eram só textos e pequenos GIFs os leigos já abriam suas máquinas inteiras para backorifices da vida, que liam todos os arquivos offline deles. 

Na prática portanto não faz tanta diferença. Na verdade é em geral mais seguro hospedar arquivos de leigos nos datacenters das empresas do que deixar tudo sob a gerencia do próprio usuário.    

Verdade, mas se formos pensarmos com essa lógica: NADA deve ser online.

Softwares offline com acesso a internet, também apresentam algum perigo. Em um debate sobre a liberdade na internet uma das pessoas disse:

“O Ubuntu possui linhas código fechado, vou troca de distribuição. Três linhas de código podem ser suficientes para passar minhas informações para terceiros.” Improvável, mas não impossível.

Confiamos em empresas sem nenhum critério. A Opera Software sabe todas as minhas senhas de todos os serviços que tenho acesso. A Google tem todas as minhas mensagens de e-mail nos servidores dela.

Se tivermos tudo online, não mudará muita coisa comparado a 2009. Para meros mortais, o jeito é confiar nas grandes empresas e evitar serviços suspeitos. Fazendo uma analogia, não podemos deixar de sair na rua para não sermos assaltados, mas evitamos lugares perigosos.

Para a empresas…ai a história é outra.

Com o excesso de serviços, para ser sincero, é complicado  administrar as senhas.

Trabalho só com sistemas, e é muito complicado lembrar de todas as senhas, mesmo usando algum  método para facilitar a memorização ainda é complicado. Imagine para pessoas comuns e salsas.

We will, we will rock you!
We will, we will rock you!

Lembrando que “rock you” é algo como “chutar o seu traseiro”.

  Não sei se entendi bem a idéia. Tá dizendo que o pessoal do RockYou é composto de leigos?

  Concordo com você que é mais seguro hospedar <strike>(da bicicreta é de prástico)</strike> os dados de leigos nos datacenters. Mas não pode-se esquecer que quando os leigos abriam suas máquinas para backorifices da vida, eles abriam as máquinas deles, não as outras que estavam no datacenter.

  Acho que esta é a questão de quem não confia na nuvem. Ele não tem garantia que algum zé roela vai fazer uma mercadoria dessas. Se está por perto, mesmo que tenha estagiários da usina Nuclear de Springfield é muito mais fácil ficar de olho.

______+____+____+____+_____  <– aqui jaz… =(

qual webdeveloper que nunca invadiu um site com https e aqueles selos de “site seguro” ?

tá cheio de site por aí nessa situação

Acho melhor e mais seguro vc colocar mais 2 * na sua nova senha. Vai por mim, eu já fiz isso na minha.

[quote]e é muito complicado lembrar de todas as senhas[/quote]

Eu já adotei a biometria pras minhas senhas, assim eu crio uma senha com trocentos caracteres, não decoro e tudo o que preciso fazer é cadastrá-la no software de biometria, que identifica campos de formulário (login e senha) no browser e os preenche automaticamente quando eu passo o meu dedão.

Só decoro as senhas de serviços que uso em mais de 1 lugar, como e-mail e Meio Bit.

Macabro… Mas usar senhas diferentes para esta infinidade de sites e serviços, fica inviável…

Hummm, e você não tem medo desse aparelhinho/software dar pau algum dia (e certamente dará) ?

Aquele cara lá. Ooo… como é que chama mesmo? Ahh, o Mário!

E a senha armazenada nesse software, fica segura?

hehe..

de crétidos pro Google. Mas o Google não é imune a falhas, lá tb tem estagiários.

Tu que pensa.. já ví muito sistema grande usando senhas em texto plano. Não erm sistemas web, mas alguem de dentro da empresa c/ algum conhecimento poderia fazer um estrago.

Dá pra fazer backup do DB interno dele. Se der pau, eu restauro. Até agora não tive problemas.

Acho que sim, na documentação diz que usam um algoritmo assimétrico onde a chave são as minúcias da impressão digital.

Com acesso físico a um banco de dados desse tipo, acho que não há segurança que resista um alguém bem motivado. O problema é saber se ele protege o acesso ao danado.

Qual o nome do software? Fiquei curioso… Minha iniciação científica de 20 anos atrás foi num tema relacionado.

Isso é algo que pelo menos a maioria de nós aqui neste blog, deveriamos saber mais ou menos separar.

Acho que muitos de nós sabemos ler EULAs, Têrmos de Serviço etc.

Sabemos também quando algo é uma cópia descarada de outro serviço.

Por ai já dá pra ter uma idéia razoável.

Agora para a média dos usuários, pode ser um pouco difícil mesmo.

Mas é estranho alguém que escreve aqui tentar colocar todo mundo no mesmo balaio.

Ninguém é serio agora?

Isso mesmo.

Nesse tipo de caso um criptografia simétrica dava conta do recado.

Não há desculpa para senhas em plain text.

Nem precisa ser webdeveloper. Basta um moleque de 15 anos que saiba buscar na internet por SQL Injection. Ai ele busca uma vítima vulnerável e caboom.

Me lembro que o site da UNIFESP, na área de pós-graduação, era vulnerável.

Dava pra entrar e ai voce ja estava como admin.

Dava até pra mudar as notas dos pós-graduandos.

Depois corrigiram.

Nos tres casos eu falei dos usuários consumidores, não dos profissionais nos datacenters. Como foi colocado, muitas vezes os leigos é que não sabem diferenciar um site mais seguro de um menos seguro, não sabem que não se deve liberar a senha do Google para outros sites, não se deve utilizar senhars fáceis e repetidas, e por aí vai.   

“não pode-se esquecer que quando os leigos abriam suas máquinas para backorifices da vida, eles abriam as máquinas deles, não as outras que estavam no datacenter.”

Mas o que permitia a disseminação dos virus e dos backorifices eram as famosas brechas de segurança principalmente do Windows e também do Internet Explorer. Portanto mesmo sem computação em nuvem você fica a mercê dos “zé ruelas” (só pra usar os mesmos termos que você colocou. Na verdade eu discordo de ficar condenando as pequenas startups, que geralmente são quem realmente inova e democratiza a informação, e ficar elevando a reputação das grandes corporações que acabam por se acomodar ao monopolizarem o mercado) que fazem os softwares que utilizamos do mesmo jeito se for parar pra pensar.   

Se você ler foruns da época em que nem havia Internet comercial, vai ter um monte de reclamações parecidas com a deste tópico, mas denunciando a “falha mais recente do Windows que permite um virus X que destroi tudo”.    

Só o que eu acho é que eu vivi a época da transição do DOS pro Windows e as reclamações eram tão semelhantes que eu me sinto tranquilo para afirmar que nada disso que se está discutindo vai ser motivo para a computação em nuvem não engatar a marcha e decolar.           

[quote=Marco Mugnatto]Mas o que permitia a disseminação dos virus e dos backorifices eram as famosas brechas de segurança principalmente do Windows e também do Internet Explorer. Portanto mesmo sem computação em nuvem você fica a mercê dos “zé ruelas” que fazem os softwares que utilizamos do mesmo jeito se for parar pra pensar.[/quote]

eu entendi o que vc quis dizer. Não posso concordar em tudo, mas com certeza, vc tem razão em que parte da da responsabilidade fica mesmo sobre a empresa de software. Eu lembro dessas brechas que você mencionou. De qualquer forma não sei se você percebeu que, o que eu disse, não é que um sistema fora da nuvem está sem falhas, mas elas estão mais perto de você. É por isso que algumas pessoas (note que não disse que sou eu) preferem o modelo atual. A sensação de segurança é maior tendo os dados perto de você, principalmente se você ver fisicamente onde estão armazenados.

Quanto ao termo “zé ruela”, desculpe se soou muito pesado, mas aqui na nossa região é comum usar esse termo pra uma pessoa que comete um erro. É como dizer: orelha seca, ponta de aterro, mané…. acho muito menos ofensivo esse termo do que o termo “estagiário” tantas vezes usado aqui no MB (talvez até por mim mesmo… sei lá), pois é usado como se todo estagiário fosse um demente. Afirmo que o uso não teve intenção nenhuma de menosprezar startups. Não percebi onde mencionei hora alguma startups, menosprezando as. Mas se fiz já peço descupas.

[quote=Marco Mugnatto]Só o que eu acho é que eu vivi a época da transição do DOS pro Windows e as reclamações eram tão semelhantes que eu me sinto tranquilo para afirmar que nada disso que se está discutindo vai ser motivo para a computação em nuvem não engatar a marcha e decolar.[/quote]

 Eu também vivi nessa época. e sinceramente, num lembro de reclamação nenhuma quanto a isso. o Windows era considerado por aqui, muito mais seguro que o DOS. Falhas ele tinha mesmo, mas o DOS tb tinha. Claro que desde quando surgiu IE sempre foi problema mesmo, e isso juntamente com o Outlook. E por isso na nossa região só se instalavam Eudora e Netscape, tudo na base do DPL-DPC.

 Acho que a computação em nuvem vai realmente avançar muito. Mas não vai ser essa Brastemp não. Vai ter suas aplicações práticas, mas não sou de expecular sobre algo que está tão longe da realidade de onde eu vivo. Quando tivermos fornecimento de internet assim como a de eletricidade, talvez dê certo. Salvo algum blackout…

<modo chaves on> o que será que ele quis dizer<modo chaves off>

______________________

Esse software veio com o meu TabletPC que tem leitor biométrico embutido, é algo como Personal Digital não sei o que… vou confirmar, ele fica no IconTray o tempo todo. A única coisa chata dele é que pede pra atualizar pruma versão Pro todo mês.

Vou confirmar o nome e te mando via MP.

“A sensação de segurança é maior tendo os dados perto de você, principalmente se você ver fisicamente onde estão armazenados.”

Essa é a mesma sensação de segurança que quase todo usuário tem segundos antes de pegar o último vírus/trojan/worm da moda.

Dados em casa não são e nunca vão ser sinônimo de maior segurança.

Ainda não vi onde o editor colocou todas no mesmo balaio. Mostra?

Não foi o editor que colocou todos no mesmo balaio. Foi o colega mais acima quem colocou em dúvida os provedores de serviços em nuvem/online.

Tem gente bastante séria nesse meio e que preza pelos dados sob sua guarda.

E como em todo negócio, existem empresas que não dão a mínima para segurança.

Mas isso não é de forma alguma regra. Insegurança é excessão em serviços de empresas estabelecidas e já conhecidas.

Acho que ele não disse isso. Acho que ele disse que existem as empresas que realmente se preocupam com a segurança e trabalham em cima disso as que mentem e fingem se preocupar (ou até se preocupam, só são amadoras demais para fazer algo decente) e assim nos enganam.

Eu realmente acho difícil identificar quais são quais. Não pelas honestas, mas pelas desonestas (ou as bem intencionadas mas sem perícia técnica) que fingem bem.

Já trabalhei em empresa responsável pelo TI de prefeitura (de cidade de 700 mil habitantes) e eu fui IMPEDIDO de colocar MD5 no campo da senha do software deles. O motivo? Eles não sabiam o que era hash. Todos formados (alguns, inclusive, no mesmo lugar que eu).

É difícil você saber como é o sistema se você só vê o frontend dele.

Por isso deve-se procurar o serviço de empresas já estabelecidas.

Se for apostar o uso de uma ferramenta produzida por uma nova companhia, aposte… Mas não aposte dados confidenciais nisso.

Bem, essa empresa que eu trabalhei era bem estabelecida, eu acho. Era antiga e faz softwares para a prefeitura.

Eu entendo o que você quer dizer: tem que ter critério. E eu concordo. O problema é em boa parte dos casos a linha que divide uma boa empresa e uma má que mente bem está meio coberta pela neblina.