Dados do MeAdiciona vazaram na internet

Alexandre Fugita em 22 de março de 2009

Na sexta-feira (20/03) mensagens circularam no Twitter indicando um link com a possível base de dados do MeAdiciona. As mensagens, ao que tudo indica, foram postadas automaticamente por algum script malicioso em algum link clicado anteriormente pelo usuário do Twitter. A Cynara Peixoto O Rafael Silva do MundoTecno conseguiu baixar o arquivo e enviou para o Diego Sampaio do MeAdiciona. Este confirmou que aquele arquivo é parte da base de dados do MeAdiciona do mês de Janeiro.

O que me parece que aconteceu foi que alguém teve realmente acesso à base de dados de perfis do MeAdiciona. Por sorte as nossas senhas lá estão criptografadas em hash MD5.

O MeAdiciona, em nota oficial, diz que o fato das mensagens terem sido postadas no Twitter através da contas de vários usuários nada tem a ver com as senhas que vazaram do serviço e sim com  uma falha usando o ataque XSS que foi descoberta no Twitter. O MeAdiciona diz que usaram essa vulnerabilidade do Twitter para atacar a credibilidade do serviço.

O hash MD5 usado por muitos serviços web para armazenar senhas de forma criptografada é, em tese, irreversível. Vou explicar: o hash é criado a partir de um algoritimo matemático aplicado a bytes de informação. Ele serve para autenticar se aquela mensagem é a mesma criptografada no hash. Mas não existe conta matemática que faça o inverso, transforme o hash na mensagem original, seja ela um e-mail ou uma senha.

O que pode existir são bancos de comparação entre palavras comuns e seus hashs. Se você usa como senha para o seu e-mail a palavra “amor”, por exemplo, o seu hash MD5 é “5da2297bad6924526e48e00dbfc3c27a”. Alguém pode ter compilado equivalências para palavras comuns e seus hashs. Se você usa senhas fracas como essa para proteger seus logins certamente é fácil deduzir sua senha. É só procurar esse hash no Google pra ver como muita gente o usa.

Ou seja, alguém no poder das senhas do MeAdiciona realmente não tem como descobrir quais são aquelas senhas a menos que você use palavras fáceis e que estão espalhadas por aí nos dicionários de ataque hash MD5 - senha. Ou o hacker pode usar o ataque de força bruta e criar hashs para todas as possíveis combinações de senhas que existem, até achar a que seja exatamente igual ao seu hash. (altamente improvável, levaria centenas de anos usando o poder de computação atual).

De qualquer forma a recomendação é sempre mudar suas senhas peridiocamente. E, precisamos saber o que aconteceu com o MeAdiciona para deixar esse tipo de informação cair na rede.

Recomendo ainda ouvirem o episódio 35 do podcast Security Now (em inglês), que explica muito bem toda essa história de hashs para criptografia e autenticação de mensagens e senhas.

Related Posts with Thumbnails

Tags: , , ,

Posts Relacionados

This website uses IntenseDebate comments, but they are not currently loaded because either your browser doesn't support JavaScript, or they didn't load fast enough.

Comentários (10)

  1. Rafa 22/03/2009 às 16:51:02

    Heh. Não foi a Cynara, Fugita. Quem escreveu o post fui eu. :P
    Sou um dos co-editores do mundo tecno.

  2. Alexandre Fugita 22/03/2009 às 17:20:22

    @rafacst,

    é verdade! Acabei de ver, hehe! eu fui pela lógica de que a Cynara é a dona do blog, hehe! corrigido!

    Abraços e parabéns pelo ótimo trabalho investigativo!

  3. Mickele Moriconi 22/03/2009 às 22:56:11

    E se o pessoal do MeAdiciona tiver feito de um jeito correto, não vai ser fácil (ou possível) recuperar as senhas com um simples dicionário de md5.

    Explico: você não precisa gravar o md5 idêntico a senha, por exemplo a senha “amor”, você pode gravá-lás no banco como “amor-super-senha-secreta”, assim sendo somente o MeAdiciona teria a segunda parte da senha.

    E no mais, acho que isso também é um alerta para quem utiliza a mesma senha em diversos serviços. Aposto que se descobrirem a senha de e-mail de várias pessoas, vão ter controle de todos os serviços da mesma.

  4. Pedro Markun 23/03/2009 às 05:40:51

    Fugita-san,

    acho que você da muito crédito ao MD5. Eu recomendaria em alto e bom tom que TODOS com conta no MeAdiciona trocassem suas senhas imediatamente.

    Me parece que uma falha grave de segurança dessas de um sistema cujo propósito é justamente guardar e mostrar publicamente os seus diferentes logins em diferentes serviços esta sendo tratado muito levianamente, não?

  5. Jonny Ken 23/03/2009 às 10:36:10

    Eu acho tão improvavel reverterem uma senha MD5 via “força bruta” que se alguém quiser, a senha de admin do migre.me em MD5 é c3735cc620ed4ccc02c87e337689cfc4

    Não estou preocupado!

  6. Alexandre Fugita 23/03/2009 às 10:39:32

    Boa, JonnyKen! hehehe!

    Eu até pensei em publicar aqui o MD5 de uma das minhas senhas, mas desencanei!

    @markun,

    certamente é sempre bom mudar senhas, até disse isso no texto!

    Abraços!

  7. Diego Sampaio 23/03/2009 às 11:07:42

    Fujita,

    Grato pela cobertura e explicações. O startupi e a SocialSmart são sempre bem-vindas no MeAdiciona.

    Abraços.

  8. Hugo 23/03/2009 às 13:49:12

    É, vc esqueceu de dizer que geralmente se usa um password “salt”, ou seja, não basta fazer a conversão para MD5.

  9. Alexandre Fugita 23/03/2009 às 13:54:16

    @Hugo,

    O Mickele, no comentário acima, ressaltou essa técnica. Implementando isso, nem com ataques de dicionário + tabelas de MD5 quebra-se a criptografia, certo?

  10. Wagner Elias 30/03/2009 às 17:25:55

    Pessoal,

    existem alguns problemas na abordagem sobre o md5.

    Primeiro, os algoritmos md5 e sha1 não são mais considerados seguros e não devem ser utilizados mais. Ambos tem problemas de colisão e vários cientistas vem comprovando matematicamente que não é necessário grande poder de processamento para quebrá-los.

    Bom, mesmo assim, considerando que o md5 não tenha colisão, mesmo com salt é possível quebrar as senhas, basta usar ferramentas como John The Ripper (www.openwall.com/john/ ) combinados com Rainbow Tables. As Rainbow Tables são hashs previamente compilados e indexados, ou seja, basta consultar o hash em uma base de hashs compilados e você tem a senha.

    Pra criar uma Rainbow Tables leva realmente muito tempo, mas hoje elas são vendidas, como podem ver neste site: http://www.freerainbowtables.com/

    Portanto, não subestimem os problemas de segurança em aplicações web. Eu sou líder do capítulo Brasil da OWASP (Open Web Application Security Project - http://www.owasp.org) e vejo com frequência sites/serviços na web com problemas sérios de segurança.

    Espero ter colaborado com a discussão.

    Abs.

Trackbacks(0)

Endereço de trackback deste post: http://startupi.com.br/2009/dados-do-meadiciona-vazaram-na-internet/trackback/

Deixe um comentário

voltar ao blog
Startupi Copyrigth 2008