Vážení uživatelé,
máme důvodné podezření, že došlo k úniku databáze s hesly uživatelů na jabbim.cz, jabbim.com, jabbim.pl, jabbim.sk, njs.netlab.cz, jabber.cz, jabster.pl a jabber.root.cz. Útočník pravděpodobně zneužil SQL injection chyby v našem skriptu pro hledání uživatelů, útok byl veden z Ruska. Chyba je již opravena, musíme ale předpokládat, že útočník získal přístup ke všem účtům.
Prosím, změňte si heslo ve vašem Jabber/XMPP klientu. Pokud stejné heslo používáte i na jiné službě, změňte si ho i tam.
Je to velmi nepříjemné, omlouváme se za způsobené problémy.
Jabbim.cz
Dear users,
we have a suspicion there was a database leak containing the user passwords of jabbim.cz, jabbim.com, jabbim.pl, jabbim.sk, njs.netlab.cz, jabber.cz, jabster.pl and jabber.root.cz accounts. The attacker exploited the database using SQL injection bug in our script handling user search, the attack was from Russia. The error has been corrected, but we assume that the attacker gained access to all accounts.
Please change your password in your Jabber / XMPP client. If you also use the same password for other services, change it there as well.
It is very annoying, we apologize for the inconvenience caused.
Jabbim.com
FAQ
Plaintext or hash? Plaintext. https://www.ejabberd.im/plaintext-passwords-db
Jak změnit heslo? How to change password? https://secure.jabbim.com/client/
FAQ
Plaintext or hash? Plaintext. https://www.ejabberd.im/plaintext-passwords-db
Jak změnit heslo? How to change password? https://secure.jabbim.com/client/
Zdravim,
OdpovědětVymazatbyla hesla v db ulozena v otevrene forme nebo nejak zahashovane?
Tento komentář byl odstraněn autorem.
VymazatPokud to můj klient neumí (Pidgin), lze si heslo změnit někde na jabbim.cz?
OdpovědětVymazatumi: pidgin-ucty(xxx@jabbim.cz)-zmena hesla. tak sem to zrobil.
VymazatPřístupové údaje k dalším službám (icq) byly získány také?
OdpovědětVymazatTento komentář byl odstraněn autorem.
OdpovědětVymazathttps://secure.jabbim.com/client/ Tady se muzes prihlasit a pak si vpravo nahore zmenit heslo
OdpovědětVymazatIn Adium, log in, go to the File menu, scroll down to "Disconnect" and you will see a list of actions you can perform. Choose "Change Password". A new window will appear. Enter your preferred password and click "OK".
OdpovědětVymazatIn Gajim, go to "Accounts" (through "Edit" menu), choose your account, expand "Administration operations" on "Account" tab, click "Change Password", type a new password twice, and click "OK".
In Pidgin, go to "Accounts", select your account, and choose "Change Password..."
In Psi, go to "Account Setup", choose your account, click "Modify", type a new password, and click "Change..."
FAQ
OdpovědětVymazatPlaintext or hash? Plaintext. https://www.ejabberd.im/plaintext-passwords-db
Jak změnit heslo? How to change password? https://secure.jabbim.com/client/
Díky
OdpovědětVymazatZa to muze urcite Putin... nerad! Drzim palce at je podezreni liche.
OdpovědětVymazatPokud klient neumoznuje zmenu hesla a umoznuje poslat rawxml je mozne zmenit heslo zaslanim xml viz http://xmpp.org/extensions/xep-0257.html#sect-idp1561936
OdpovědětVymazatotestovano funguje
Nechápu, proč jsou hesla uložena jako plaintext a ne v hashi. :-( Je to fail a ani ten odkaz mě nepřesvědčil, že je to správně. Mě také jednou napadli jeden web, ale díky tomuto jsem uchránil hesla, ač to také bylo nepříjemné. Ale plaintext??? Boha jeho...
OdpovědětVymazatTou SQL injection a hesly v plaintextu jsem docela zklamán tedy.... Myslel jsem že jabbim má lepší úroveň...
OdpovědětVymazatNápodobně. Nečekal jsem, že zrovna na jabbim bylo tak prozíravé si dát jinak nepoužívané triviální heslo.
VymazatZdravím, je možné to heslo zmeniť aj nejakým iným spôsobom, ako z prihláseného klienta? Napr. nejakou "reset password" URL, poslanou na email? Jabbim som nejakú dobu nepoužíval a teraz mi webklient na prihlasovacie údaje vytrvalo hlási "Autorizace se nezdařila" :)
OdpovědětVymazatNo ocividne nema cenu heslo menit, kdyz ZASE bude v plaintextu ulozene nekde v DB .. za mesic budem menit znova az to zas nekdo hackne....
OdpovědětVymazatNechapu jak nekdo na ejabberd muze ospravedlnovat ukladani hesel v plaintextu v DB, vzdyt to je nejvetsi nesmysl co jsem vubec cetl. BTW clanek je z roku 2007 ... 7 let starej.
It sounds like a good idea to ditch the deprecated DIGEST-MD5 mechanism leaving only PLAIN and SCRAM. This would (at least theoretically, I don't know about ejabberd's implementation) allow to keep only salted passwords (i.e. PKBDF) on the server. Clients that don't support SCRAM, could still authenticate with PLAIN over TLS.
OdpovědětVymazatYes, its look as good idea. Thanks you for your constructive attitude. pinky
VymazatSi robite srandu s tym plaintextom v DB? Odovodnenie v tom clanku je smiesne a zastarale. Ak budu aj nove hesla v plaintexte, tak idem rovno zacat hladat nejaku bezpecnejsiu alternativu k tejto sluzbe.
OdpovědětVymazatProtože se to zvrhlo v diskuzi geeků, kteří o tématu něco vědí nebo si to myslí, je třeba říct, že za tím jsou nějaké důvody, proč ty hesla jsou uloženy tak jak jsou uloženy. http://prosody.im/doc/plain_or_hashed
OdpovědětVymazatŘešení hash v db+plain na drátě+vynucené TLS a volitelný SCRAM je asi přístup, který zvolíme. Bohužel to je na našem sw řešení problém realizovat, takže to bude chvíli trvat.
Primárním problémem byla moje stoletá a ostudná chyba, kterou jsem sekl ve skriptu pro hledání uživatelů, kdy jsem nekvalitně ošetřil vstupní proměnou z formuláře. Sekundární problém bylo, že jsem striktně neodělil sql uživatele tak, aby se útočník nedostal, kam neměl. To mne velmi mrzí a hrozně se omlouvám všem.
Nejdříve se budu soustředit na audit všech rozhraní, které na webu máme a které koukají do databází, následně budeme řešit, jak dál s hesly na serveru.
Ještě jednou omluva a přeji všem lepší víkend, než jsem si připravil já svojí blbostí.
pinky
Co je na nelibosti k ukládání hesel v plaintextu geekovského? V odkazu je diskze ohledně implementace. Ale tady nikdy nešlo o implementaci ale o fakt, že vzhedem k tomu kolik služeb průměrný člověk používá, čas od času se prostě stane, že je problém s bezpečností a nějaké údaje uniknou. A služba, která má hesla uložená v podobě kdy jsou pro útočníka použitelná, zvyšuje riziko napadnutí i dalších služeb. (navíc, když vezmeme v úvahu že lidi mají tendence používat jedno nebo dvě hesla na všechny služby....)
VymazatTj nehledě na implementaci, plaintextová hesla je imho dost blbý nápad. (samozřejmě další problémy jsou věci jako odchycení hesla na síti atd...)
Dalším, a mnohem větším problémem je, že jako uživatel nevím, kdo všechno má k databázi s hesly přístup. Jak můžu vědět že si moje heslo nemůže z databáze vytáhnout například nějaká uklízečka?
VymazatBtw, odkazů je ke každému názoru spoustu. To že pošleš nějaký odkaz, kde si kdosi mele svou jen z jednoho úhlu pohledu neznamená, že máš pravdu. Např http://plaintextoffenders.com/faq/devs
Myslím, že na abclinuxu.cz nebo rootu je k 100 příspěvkovým diskuzím o vhodnosti či nevhodnosti plaintext hesel v kombinaci s Jabber serverem už dost blízko, já svůj názor řekl a nemíním se na podobných diskuzích podílet.
VymazatPlaintext hesla na serveru si bezproblémů před svým svědomím obhájím, chybu, která k úniku databáze vedla, tu ne. Plaintext v db chránil v případě Jabbimu tisíce lidí s nešifrovaným heslem na drátě. Ale pravda, doba pokročila. Víc se k tomu nehodlám vyjadřovat.
Pracuju na řešení, jak to udělat, abychom měli bezpečněji hesla v databázi a připojilo se co nejvíce lidí.
Ne jen pár geeků odtržených od reality všedního dne.
(Jsem ten samý Unknown člověk co nahoře, nějak špatně se mi připojuje google účet do diskuze)
VymazatOpravdu je nutné pořád diskutujícím nadávat do "geeků odtržených od reality"? :) Asi docházejí argumenty....
Abych tedy mluvil k věci, oceňuju práci na jabber i na opravě téhle chyby i přístup k řešení.
Co se týče uložení hesel v plaintextu na serveru, není to jen otázka "it" bezpečnosti, ale i otázka se spoustou společenských faktorů (což moc nejde dohromady s těmi geeky, že?). A mnohokrát ve svém okolí (tj ne že by jedna pani povídala) jsem viděl kdo všechno má reálně v malých i velkých firmách či startupech přístup do databází a tj v případě hesel v plaintextu i k heslům. (Zase Zdůrazňuju, že se nebavím primárně o "technické" bezpečnosti).
Na druhou stranu, nejednalo se o tak dobře spravované služby jako Jabbim, kde to je určitě všechno v pořádku :)
Tento komentář byl odstraněn autorem.
OdpovědětVymazatThanks for sharing, nice post! Post really provice useful information!
OdpovědětVymazatGiaonhan247 chuyên dịch vụ order hàng hàn quốc, vận chuyển ship hàng đức về Việt Nam, dịch vụ mua đồng hồ trên amazon vì sao nên mua đồng hồ trên amazon cũng như giải đáp có nên mua đồng hồ trên amazon, kinh nghiệm mua đồng hồ sale off trên amazon cũng như kinh nghiệm mua hàng trên amazon uy tín.
If there is a leak, it is not good. Such a leak would be a disaster if you were writing a dissertation, because you would have to start all over again.
OdpovědětVymazatThanks for sharing, nice post! Post really provide useful information! I really enjoy this website.
OdpovědětVymazatDivorce Lawyers Tysons VA
Divorce Lawyers CulpeperVA
Divorce Lawyers Northern
Jabbim" encounters a security issue that raises concerns about user data safety. Amidst its functionality as an instant messaging platform, recent vulnerabilities have surfaced, posing potential risks to user privacy and information security. These security problems demand immediate attention and resolution to ensure the safety of personal data and communication channels within the platform. While Jabbim has been a popular choice for messaging services, addressing these security issues is crucial to maintain user trust and uphold robust security standards, which are pivotal in today's digital landscape.
OdpovědětVymazatvirginia personal injury statute of limitations
motorcycle accident injury attorney
It's a great post, thanks for sharing! It offers a lot of helpful information. I love this page.dui lawyer prince william county va
OdpovědětVymazatJabbim, a popular XMPP/Jabber client, has recently faced security concerns that warrant attention. Users have reported potential vulnerabilities related to the encryption and privacy features of the platform. Some have raised issues regarding the handling of sensitive information and the overall robustness of Jabbim's security protocols. While the platform has been a reliable choice for instant messaging, these security concerns underscore the importance of continuous vigilance and updates in the rapidly evolving landscape of online communication. It is recommended that users exercise caution and stay informed about the latest security patches and updates from Jabbim to mitigate potential risks and ensure a secure messaging environment.
OdpovědětVymazatmotorcycle accident lawyer near me
contract dispute
Desain cafe outdoor, rancang keberlanjutan keuangan dengan kreativitas! desain cafe outdoor
OdpovědětVymazatSemoga kalian Semua kumpulan link download ebook pdf bahasa indonesia dan semuanya Temukan kumpulan link download ebook PDF dalam bahasa Indonesia di berbagai situs terpercaya untuk memperluas wawasan literatur Anda. kumpulan link download ebook pdf bahasa indonesia
OdpovědětVymazatTemplate After Effect gratis? Temukan semua di sini! tempat download template after effect gratis
OdpovědětVymazatJasa Hitung RAB:Bingung menghitung RAB pembangunan rumah? Serahkan pada ahlinya! Gunakan jasa hitung RAB terpercaya seperti [nama jasa hitung RAB]. Mereka akan membantu Anda menghitung RAB secara akurat dan terperinci. Hubungi mereka di [nomor telepon/email]. I really appreciate your knowledge and experience on this topic. jasa hitung rab
OdpovědětVymazatFaktanya, desain rumah murah seringkali dapat mengoptimalkan ruang yang ada dengan cerdas. Anda menulis dengan gaya yang cerdas dan analitis. Saya suka cara Anda mengajukan pertanyaan dan argumen di artikel Anda. Jasa Desain Rumah dan Rab
OdpovědětVymazat5. Pemanfaatan cahaya alami dan ventilasi yang baik dapat mengurangi penggunaan lampu dan pendingin ruangan, sehingga menghemat biaya energi. Anda menulis dengan gaya yang cerdas dan analitis. Saya suka cara Anda mengajukan pertanyaan dan argumen di artikel Anda. Jasa Desain Rumah dan Rab
OdpovědětVymazat"A Fun Journal for Thoughts That Don't Fit Into One Tweet" is the perfect companion for anyone looking to capture their fleeting ideas, musings, and creative bursts that exceed the constraints of social media. With its vibrant design and inviting layout, this journal encourages free-flowing expression and offers ample space for doodles, lists, and longer reflections. Each page is designed to inspire, with quirky prompts and playful illustrations that spark creativity and introspection. Ideal for writers, artists, and dreamers alike, this journal transforms the simple act of jotting down thoughts into a delightful and liberating experience, making it a must-have for anyone eager to explore their inner world beyond the 280-character limit.
OdpovědětVymazatliving trust lawyer charlottesville va
will and trust lawyer charlottesville va
Template resume gratis dari Canva benar-benar membantu saya mendapatkan wawancara kerja, coba sendiri dan rasakan perbedaannya! contoh cv lamaran kerja download format cv kosong word
OdpovědětVymazatMenggunakan template resume gratis adalah cara cerdas untuk menampilkan keterampilan Anda tanpa harus mengeluarkan uang. download surat lamaran kerja dan cv doc
Saya sangat puas dengan kualitas template resume ini. Bahan yang digunakan berkualitas tinggi dan hasil cetaknya terlihat tajam dan profesional. template surat lamaran kerja docx
OdpovědětVymazatTemplate resume ini sangat mudah digunakan dan dipahami, bahkan bagi orang yang tidak memiliki pengalaman dalam membuat resume. contoh curriculum vitae dalam bahasa indonesia
Tersedia panduan dan instruksi yang jelas dalam penggunaan template resume, sehingga saya tidak merasa kesulitan saat menggunakannya. template cv ats friendly indonesia gratis
Saya menemukan bahwa menyesuaikan resume dan surat lamaran Anda untuk setiap pekerjaan membuat perbedaan besar. Ini mungkin tampak seperti pekerjaan ekstra, tetapi benar-benar menyederhanakan proses pencarian kerja. download template cv fresh graduate gratis indonesia
OdpovědětVymazatMenghadiri job fair dan acara networking dapat secara signifikan meningkatkan peluang Anda untuk menemukan pekerjaan. Ini semua tentang mempromosikan diri Anda! download template cv simple gratis indonesia
Kualitas penulisan Anda benar-benar menonjol. Artikel yang fantastis! gambar rumah dan rab
OdpovědětVymazatSaya sangat menghargai kerja keras Anda dalam membuat artikel ini. Sangat informatif! membuat rab bangunan
This article really helped me understand difficult concepts. Thank you! resume template mechanical engineer
OdpovědětVymazatI really appreciate your effort in putting together this article. Very informative! resume template for civil engineer
Every part of this article is very useful and relevant. Thank you for sharing. civil engineering resume template
A very inspirational article that provides a lot of new insights. Thank you so much! electrical engineer resume template
A superb article full of treasured statistics. thanks! resume examples for computer engineering students
OdpovědětVymazateach paragraph is complete of new know-how. I found out loads from this newsletter. resume format computer hardware networking engineer
Wanita karir yang cantik ini menunjukkan bahwa kecantikan dan kesuksesan bisa berjalan beriringan. wallpaper wanita muslimah berhijab
OdpovědětVymazatSemoga semakin banyak wanita karir yang cantik dan berani mengejar impiannya. gambar wanita muslimah cantik berhijab dari belakang
Kecantikan yang terpancar dari wanita karir ini membuat saya semakin termotivasi. gambar sketsa wanita berhijab dari samping
RAB adalah peta menuju rumah impian. rab pembuatan gudang
OdpovědětVymazatContoh RAB banyak di internet, bisa jadi inspirasi. jasa pembuatan rab renovasi rumah
Popular classic designs use spatial layouts that are functional and comfortable to live in. rab renovasi rumah
OdpovědětVymazatClear and proportional division of rooms ensures comfort and smooth running of activities at home. gambar rumah dan rab
Saya baru saja menyelesaikan proyek renovasi rumah dan ingin membandingkan RAB saya dengan artikel ini. contoh rab renovasi rumah excel
OdpovědětVymazatBisakah Anda memberikan contoh spesifik tentang bagaimana menghitung biaya pekerjaan tambahan dalam RAB rumah? contoh rab rumah 2 lantai
"Jabbim - Security Issue" provides a critical examination of the vulnerabilities and risks associated with the Jabbim communication platform. The review underscores the platform's potential shortcomings in safeguarding user data and privacy, highlighting specific security concerns that could compromise sensitive information. It offers a detailed analysis of the security flaws, including potential threats from external breaches and internal mishandling of data.
OdpovědětVymazatLynchburg va traffic lawyer
traffic ticket lawyer Lynchburg va
If you're dealing with an Virginia de Orden de Protección , a divorce lawyer can provide expert legal guidance. Contact us today for more information.
OdpovědětVymazatI recently had to deal with a reckless driving charge and was fortunate to find a great fairfax reckless driving lawyer. Their expertise in local laws and court procedures made a huge difference in my case. They not only helped reduce my charges but also provided invaluable advice throughout the process. If anyone is facing similar issues, I can’t recommend consulting with a Fairfax reckless driving lawyer enough. It’s essential to have someone knowledgeable by your side!
OdpovědětVymazatThis is an important discussion about the Jabbim security issue. It's essential to address these vulnerabilities swiftly to protect user privacy and data. On a lighter note, if you're looking for a stylish yet durable wardrobe addition, check out the Ultimate Leather White Biker Jacket for Women—perfect for bold fashion statements!
OdpovědětVymazatThank you for shedding light on security issues with Jabbim! It's crucial to stay informed about these concerns to ensure safe communication. Visit our link for ISO Certification In Saudi Arabia
OdpovědětVymazatfinancing options, and community impact. Assessing these factors can provide valuable insights for potential buyers or investors, ensuring they are in good condition, in close proximity to amenities, and can contribute to revitalizing neighborhoods and addressing housing shortages. federal criminal defense attorney Attorney is a skilled lawyer with extensive legal knowledge, renowned for his humane approach and commitment to client success. He focuses on individualized care and transparent communication, ensuring client support throughout the process.
OdpovědětVymazatBezpecnostni is a valuable platform focused on safety and security, offering practical advice and resources for individuals and businesses. Its informative articles and tips help readers stay informed and proactive about various safety concerns Traffic Lawyer Fauquier VA This lawyer is highly professional and knowledgeable, providing clear guidance throughout the legal process. Their dedication to clients and strong advocacy make them an invaluable ally in any legal matter
OdpovědětVymazatpemandangan alam, inovasi dan kegiatan, dan detail spesifik dari ulasan ingin kamu bahas. Sebagai komunikasi yang ingin berbagai detail, telah membantu bahasan dan informasi lebih lanjut. traffic attorney in manassas va Your trusted advocate in Fairfax, dedicated to fighting for your rights with unwavering commitment and expertise. Let's turn your legal challenges into victories together.
OdpovědětVymazat