2012年9月27日 星期四

[epic fail] IEEE密碼曝光光

數天前IEEE發生了最大規模的密碼外洩事件: 100k (100,000)的明文密碼在隨手可得的地方任人下載。發現者於是對那堆密碼做了個分析網站:

IEEE log

出事主因是因為ieee.org的web access log ( 01/Aug/2012:20:46:28 +0000​ to 18/Sep/2012:08:47:17 +0000) 放在公眾地方(一個不用登入的ftp) 自由存取--log有username都算了,這個可是連密碼都有(!)

因為有問題是log,所以這次和db server無關,也只有有限量的user受影響,可是事情比AOL那次更可怕...不過要是上列時間你沒登入就會沒事

之後是Geolocation、常用password和email等分析。不知是不是IEEE的系統作的太笨,大家的password都很頹廢,一副被盜也沒差的樣子 (汗)

教訓:

  1. Server log要放在一般人去不到地方.
  2. Server log不要有任何password及其他敏感資料的log. (aka. 敏感資料明碼儲存及讀取要小心處理)
  3. 要有audit....這種事有audit的話跟本就不會發生啊?!
太天真的Engineer作出來的系統還是很危險的 (汗)
Bonus: 有人叫那些懶鬼用xkcd passphrase checker檢查一下password強度 XD

2012年9月12日 星期三

後日談: 我們還有什麼可以做?

佔領政總過後、選舉過後,我們還有什麼可以做?
  1. 投訴各種種票: 掌心雷、用完即棄、濫用院友及你遇到的各式助選團滋擾 [ 選舉事務處、ICAC投訴樣本及指引 ]
  2. 投訴9月11日的ATV焦點: [ 9月11日問題內容 ] [ 投訴樣本及指引 ]
  3. 塞爆新界東北諮詢會及諮詢收集箱: [ 相關連結 ]
  4. 繼續跟進國民教育: 校友可跟進自己母校、家長可以跟進小朋友的習作上的可疑內容、學生繼續和學校死過。
  5. 在劉江華頭七再賀賀佢XD: [ 專頁 ]
打完之後真的不禁要出一句:
 你班hihi比我抖下得唔得?