Vážení uživatelé,
máme důvodné podezření, že došlo k úniku databáze s hesly uživatelů na jabbim.cz, jabbim.com, jabbim.pl, jabbim.sk, njs.netlab.cz, jabber.cz, jabster.pl a jabber.root.cz. Útočník pravděpodobně zneužil SQL injection chyby v našem skriptu pro hledání uživatelů, útok byl veden z Ruska. Chyba je již opravena, musíme ale předpokládat, že útočník získal přístup ke všem účtům.
Prosím, změňte si heslo ve vašem Jabber/XMPP klientu. Pokud stejné heslo používáte i na jiné službě, změňte si ho i tam.
Je to velmi nepříjemné, omlouváme se za způsobené problémy.
Jabbim.cz
Dear users,
we have a suspicion there was a database leak containing the user passwords of jabbim.cz, jabbim.com, jabbim.pl, jabbim.sk, njs.netlab.cz, jabber.cz, jabster.pl and jabber.root.cz accounts. The attacker exploited the database using SQL injection bug in our script handling user search, the attack was from Russia. The error has been corrected, but we assume that the attacker gained access to all accounts.
Please change your password in your Jabber / XMPP client. If you also use the same password for other services, change it there as well.
It is very annoying, we apologize for the inconvenience caused.
Jabbim.com
FAQ
Plaintext or hash? Plaintext. https://www.ejabberd.im/plaintext-passwords-db
Jak změnit heslo? How to change password? https://secure.jabbim.com/client/
FAQ
Plaintext or hash? Plaintext. https://www.ejabberd.im/plaintext-passwords-db
Jak změnit heslo? How to change password? https://secure.jabbim.com/client/
Zdravim,
OdpovědětVymazatbyla hesla v db ulozena v otevrene forme nebo nejak zahashovane?
Tento komentář byl odstraněn autorem.
VymazatPokud to můj klient neumí (Pidgin), lze si heslo změnit někde na jabbim.cz?
OdpovědětVymazatumi: pidgin-ucty(xxx@jabbim.cz)-zmena hesla. tak sem to zrobil.
VymazatPřístupové údaje k dalším službám (icq) byly získány také?
OdpovědětVymazatTento komentář byl odstraněn autorem.
OdpovědětVymazathttps://secure.jabbim.com/client/ Tady se muzes prihlasit a pak si vpravo nahore zmenit heslo
OdpovědětVymazatIn Adium, log in, go to the File menu, scroll down to "Disconnect" and you will see a list of actions you can perform. Choose "Change Password". A new window will appear. Enter your preferred password and click "OK".
OdpovědětVymazatIn Gajim, go to "Accounts" (through "Edit" menu), choose your account, expand "Administration operations" on "Account" tab, click "Change Password", type a new password twice, and click "OK".
In Pidgin, go to "Accounts", select your account, and choose "Change Password..."
In Psi, go to "Account Setup", choose your account, click "Modify", type a new password, and click "Change..."
FAQ
OdpovědětVymazatPlaintext or hash? Plaintext. https://www.ejabberd.im/plaintext-passwords-db
Jak změnit heslo? How to change password? https://secure.jabbim.com/client/
Díky
OdpovědětVymazatZa to muze urcite Putin... nerad! Drzim palce at je podezreni liche.
OdpovědětVymazatPokud klient neumoznuje zmenu hesla a umoznuje poslat rawxml je mozne zmenit heslo zaslanim xml viz http://xmpp.org/extensions/xep-0257.html#sect-idp1561936
OdpovědětVymazatotestovano funguje
Nechápu, proč jsou hesla uložena jako plaintext a ne v hashi. :-( Je to fail a ani ten odkaz mě nepřesvědčil, že je to správně. Mě také jednou napadli jeden web, ale díky tomuto jsem uchránil hesla, ač to také bylo nepříjemné. Ale plaintext??? Boha jeho...
OdpovědětVymazatTou SQL injection a hesly v plaintextu jsem docela zklamán tedy.... Myslel jsem že jabbim má lepší úroveň...
OdpovědětVymazatNápodobně. Nečekal jsem, že zrovna na jabbim bylo tak prozíravé si dát jinak nepoužívané triviální heslo.
VymazatZdravím, je možné to heslo zmeniť aj nejakým iným spôsobom, ako z prihláseného klienta? Napr. nejakou "reset password" URL, poslanou na email? Jabbim som nejakú dobu nepoužíval a teraz mi webklient na prihlasovacie údaje vytrvalo hlási "Autorizace se nezdařila" :)
OdpovědětVymazatNo ocividne nema cenu heslo menit, kdyz ZASE bude v plaintextu ulozene nekde v DB .. za mesic budem menit znova az to zas nekdo hackne....
OdpovědětVymazatNechapu jak nekdo na ejabberd muze ospravedlnovat ukladani hesel v plaintextu v DB, vzdyt to je nejvetsi nesmysl co jsem vubec cetl. BTW clanek je z roku 2007 ... 7 let starej.
It sounds like a good idea to ditch the deprecated DIGEST-MD5 mechanism leaving only PLAIN and SCRAM. This would (at least theoretically, I don't know about ejabberd's implementation) allow to keep only salted passwords (i.e. PKBDF) on the server. Clients that don't support SCRAM, could still authenticate with PLAIN over TLS.
OdpovědětVymazatYes, its look as good idea. Thanks you for your constructive attitude. pinky
VymazatSi robite srandu s tym plaintextom v DB? Odovodnenie v tom clanku je smiesne a zastarale. Ak budu aj nove hesla v plaintexte, tak idem rovno zacat hladat nejaku bezpecnejsiu alternativu k tejto sluzbe.
OdpovědětVymazatProtože se to zvrhlo v diskuzi geeků, kteří o tématu něco vědí nebo si to myslí, je třeba říct, že za tím jsou nějaké důvody, proč ty hesla jsou uloženy tak jak jsou uloženy. http://prosody.im/doc/plain_or_hashed
OdpovědětVymazatŘešení hash v db+plain na drátě+vynucené TLS a volitelný SCRAM je asi přístup, který zvolíme. Bohužel to je na našem sw řešení problém realizovat, takže to bude chvíli trvat.
Primárním problémem byla moje stoletá a ostudná chyba, kterou jsem sekl ve skriptu pro hledání uživatelů, kdy jsem nekvalitně ošetřil vstupní proměnou z formuláře. Sekundární problém bylo, že jsem striktně neodělil sql uživatele tak, aby se útočník nedostal, kam neměl. To mne velmi mrzí a hrozně se omlouvám všem.
Nejdříve se budu soustředit na audit všech rozhraní, které na webu máme a které koukají do databází, následně budeme řešit, jak dál s hesly na serveru.
Ještě jednou omluva a přeji všem lepší víkend, než jsem si připravil já svojí blbostí.
pinky
Co je na nelibosti k ukládání hesel v plaintextu geekovského? V odkazu je diskze ohledně implementace. Ale tady nikdy nešlo o implementaci ale o fakt, že vzhedem k tomu kolik služeb průměrný člověk používá, čas od času se prostě stane, že je problém s bezpečností a nějaké údaje uniknou. A služba, která má hesla uložená v podobě kdy jsou pro útočníka použitelná, zvyšuje riziko napadnutí i dalších služeb. (navíc, když vezmeme v úvahu že lidi mají tendence používat jedno nebo dvě hesla na všechny služby....)
VymazatTj nehledě na implementaci, plaintextová hesla je imho dost blbý nápad. (samozřejmě další problémy jsou věci jako odchycení hesla na síti atd...)
Dalším, a mnohem větším problémem je, že jako uživatel nevím, kdo všechno má k databázi s hesly přístup. Jak můžu vědět že si moje heslo nemůže z databáze vytáhnout například nějaká uklízečka?
VymazatBtw, odkazů je ke každému názoru spoustu. To že pošleš nějaký odkaz, kde si kdosi mele svou jen z jednoho úhlu pohledu neznamená, že máš pravdu. Např http://plaintextoffenders.com/faq/devs
Myslím, že na abclinuxu.cz nebo rootu je k 100 příspěvkovým diskuzím o vhodnosti či nevhodnosti plaintext hesel v kombinaci s Jabber serverem už dost blízko, já svůj názor řekl a nemíním se na podobných diskuzích podílet.
VymazatPlaintext hesla na serveru si bezproblémů před svým svědomím obhájím, chybu, která k úniku databáze vedla, tu ne. Plaintext v db chránil v případě Jabbimu tisíce lidí s nešifrovaným heslem na drátě. Ale pravda, doba pokročila. Víc se k tomu nehodlám vyjadřovat.
Pracuju na řešení, jak to udělat, abychom měli bezpečněji hesla v databázi a připojilo se co nejvíce lidí.
Ne jen pár geeků odtržených od reality všedního dne.
(Jsem ten samý Unknown člověk co nahoře, nějak špatně se mi připojuje google účet do diskuze)
VymazatOpravdu je nutné pořád diskutujícím nadávat do "geeků odtržených od reality"? :) Asi docházejí argumenty....
Abych tedy mluvil k věci, oceňuju práci na jabber i na opravě téhle chyby i přístup k řešení.
Co se týče uložení hesel v plaintextu na serveru, není to jen otázka "it" bezpečnosti, ale i otázka se spoustou společenských faktorů (což moc nejde dohromady s těmi geeky, že?). A mnohokrát ve svém okolí (tj ne že by jedna pani povídala) jsem viděl kdo všechno má reálně v malých i velkých firmách či startupech přístup do databází a tj v případě hesel v plaintextu i k heslům. (Zase Zdůrazňuju, že se nebavím primárně o "technické" bezpečnosti).
Na druhou stranu, nejednalo se o tak dobře spravované služby jako Jabbim, kde to je určitě všechno v pořádku :)
Tento komentář byl odstraněn autorem.
OdpovědětVymazatThanks for sharing, nice post! Post really provice useful information!
OdpovědětVymazatGiaonhan247 chuyên dịch vụ order hàng hàn quốc, vận chuyển ship hàng đức về Việt Nam, dịch vụ mua đồng hồ trên amazon vì sao nên mua đồng hồ trên amazon cũng như giải đáp có nên mua đồng hồ trên amazon, kinh nghiệm mua đồng hồ sale off trên amazon cũng như kinh nghiệm mua hàng trên amazon uy tín.
freedom apk whatsapp plus creehack
OdpovědětVymazatIf there is a leak, it is not good. Such a leak would be a disaster if you were writing a dissertation, because you would have to start all over again.
OdpovědětVymazat