הפורום של Boxee נפרץ, פרטי המשתמשים מופצים ברשת

שירות הפורומים של חברת Boxee הישראלית נפרץ והמידע האישי שכולל הרבה מעבר לשמות משתמש וסיסמא הופץ ברשת

Boxee-Logo-hacked

שירות הפורומים של חברת Boxee הישראלית, שנרכשה לפני מספר חודשים על ידי סמסונג, נפרץ. כחלק מהפריצה הצליחו ההאקרים להשיג מידע אישי של למעלה מ-158 אלף חברי הפורום, שכללו הרבה יותר מרק שמות משתמש וסיסמאות.

סגור אבל פעיל

במסגרת הפריצה, שפורסמה באתר Ars Technica והתרחשה לפני כשבוע, עותק מלא של נתוני הפורום הפך לפומבי וההאקרים הפיצו את הקובץ, בנפח 792 מגה, שהגיע עד למספר מומחי אבטחה שלמעשה חשפו את הסיפור המדובר.

הקובץ עצמו מכיל שמות משתמש, כתובות מייל וסיסמאות מוצפנות המתאימות לחשבונות של המשתמשים השונים בפורום. בנוסף, הקובץ מכיל גם מידע אישי כגון תאריכי יום ההולדת של המשתמשים, כתובות ה-IP, פעילות באתר, היסטוריית הודעות מלאה ואף מידע על שינויי הסיסמה האחרונים שביצעו.

בעוד שהאפשרות לשלוח הודעות חדשות בפורום נסגר ב-2013 כחלק מהרכישה המדוברת, השירות נשאר פעיל לטובת המשתמשים שרכשו בעבר את מוצריה של החברה והיו זקוקים לעזרה או תמיכה עבורם. כל המידע שנשמר, הוא זה שהפך למטרת הפריצה הנוכחית.

דואגות למשתמשים

בבלוג של חברת האבטחה Risk Based Security ציינה האחרונה כי הקובץ מכיל 158,128 חשבונות, שלמעשה חושפים 172,234 כתובות אימייל מ-17,653 ספקיות שונות, הכוללות גם דומיינים של משתמשים בעלי “פרופיל גבוה” העובדים בחברות תקשורת ואלקטרוניקה.

למרות שהסיסמאות עצמן לא נחשפו אלא רק “ערך הגיבוב” של הסיסמה (Hash), מומחי האבטחה מבהירים כי לאור סוג ההצפנה הן יכולות להפרץ בקלות, ואשר חלק מהן כבר פוצחו. באופן מעט מפתיע, Boxee בחרה עדיין שלא להתייחס לפרצה הנוכחית.

בין החברות שדווקא כן בחרו להגיב LastPass, שהחלה לשלוח אימיילים למשתמשיה במטרה להזהיר אותם בנוגע לפריצה הנוכחית, על מנת שיוכלו להחליף את הסיסמה שלהם במהירות האפשרית. כחלק מהשירות הסטנדרטי שמציעה, המליצה החברה למשתמשים לבדוק האם השתמשו בסיסמה המדוברת גם בשירותים נוספים – ולהחליף אותה גם עבורם.

בעוד שהפריצה הנוכחית חושפת מידע רגיש אודות המשתמשים, חשוב להבהיר שמדובר במידע הרלוונטי אך ורק לשירות הפורומים של החברה ולא לשירותיה או למוצריה האחרים, כגון Boxee Box, Cloud DVR ועוד. כך שבמידה ומעולם לא נכנסתם אל הפורום של החברה, או לחילופין במידה והשתמשתם בשם משתמש וסיסמה שונים משאר השירותים שלכם, אין לכם ממה לחשוש.

חן אידן

אוהבת גאדג'טים, אפליקציות ואת עולם הטכנולוגיה בכלל. שלל עיסוקיה כוללים הריסת מכשירים סלולריים לצרכי בדיקה, התעסקות בלתי פוסקת ברשתות חברתיות, סקירת אפליקציות חדשות, סטארטאפים מבטיחים והתנסות עם (כמעט) כל מוצר חדש שיוצא לשוק.

הגב

4 תגובות על "הפורום של Boxee נפרץ, פרטי המשתמשים מופצים ברשת"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
יוסי
Guest

אין פירוט על איך המאגר נפרץ?

חיים
Guest

מדוע לא מוציאים חוק שכל אזרח חייב לרכוש OTP שרק בעזרתו יוכל לגשת לחשבונות שלו באתרים שונים ברשת? במידה וכל הרשת תעבוד על התחברות עם סיסמא משתנה לא יהיה צורך יותר בסיסמאות. כיום שאנשים משחקים אונליין, בשרתי Blizzard הם משתמשים בOTP חינמי (ישנה אפליקציה) גם לגוגל ועוד הרבה חברות יש את האופציה הזו, לפי דעתי צריך להיות חובה. וכמובן גם להטמיע את האפשרות באתרים רגילים, שאליהם יש צורך בהרשמה…

משהו
Guest

לא הבנתי, רשום שנשמרו ה-hash של הסיסמאות, לא הסיסמאות עצמן. אז על איזו הצפנה אנחנו מדברים?
hash היא פונקציה חד כיוונית, לא פונקציה הצפנה. אי אפשר לחזור אחורה.

אפשר להתחיל לנחש hash של סיסמאות נפוצות, או ממש לרוץ על הכל ולמצוא את המקור של ה-hash, אבל אי אפשר לחזור אחורה!

אם השתמשו ב-hash בצורה חכמה אז מציאת המקור היא קשה, אם לא אז היא יותר קלה.

בשום מקום פה אין הצפנה ולא משהו שדומה לה.

רם
Guest

עם השתמשו ב Hash ללא salt הרי שקל מאוד לפרוץ ססמאות על ידי Rainbow tables למינהן שכבר חושבו וזמינות אונליין.

wpDiscuz

תגיות לכתבה: