Сегодня с утра обнаружил в почтовом ящике письмецо:
Dear Formspring user,
For security reasons, we have disabled your password and ask that you reset it. When you log back into Formspring, you will be prompted to change your password.
Thank you for taking the time to reset your password.
The Formspring Team
Как оказалось, это не просто «соображения безопасности». Вслед за LinkedIn и last.fm, с формспринга слили почти пол миллиона паролей.
«Сегодня утром мы выявили нарушения безопасности, в результате которых некоторые пользовательские пароли, возможно, стали доступны злоумышленникам», написал в своем блоге генеральный директор Formspring Аде Олоно (Ade Olonoh). «В ответ на это мы отключили все пароли пользователей. Приносим свои извинения за причиненные неудобства, однако мы предпочитаем не рисковать и поэтому попросили всех подписчиков сбросить свои пароли. Пользователям будет предложено сменить свои пароли при повторном входе в Formspring».
В записи подчёркивается, что опубликованы были только хэши, — без какой-либо информации о пользователях.
Отвечая на вопросы ресурса TechGeek, представитель Formspring сказал, что они узнали о том, что 420 тыс. хэшей паролей были опубликованы. Проверка показала, что все они находились в базах данных сервиса. Компания подтвердила, что намерена модернизировать свои системы поддержки BCrypt.
На вопрос о том, каким образом злоумышленники получили доступ к данным, находящимся на сервере, представитель компании в электронном письме заявил: «Мы обнаружили, что кто-то посторонний проник в один из наших серверов и имел возможность извлечь информацию об учетных записях из базы данных».
«Мы смогли сразу же исправить брешь. Компания пересматривает свою внутреннюю политику безопасности и методы ее реализации, чтобы гарантировать, что подобное никогда не повторится».
Автор: Sargass