Brevenotas Vulnerabilidad en sistema claveunica permitió ingreso de desconocidos a la base de datos

En una noticia en desarrollo, información aportada por el medio "El mostrador" indica que nuestros datos fueron robados. En particular se trata de la base de datos de clave unica, esa que te permite desde sacar tu permiso para movilizarte en cuarentena hasta pedir tu certificado de deudas.

La recomendación como en caso de cualquier vulneración de claves, es proceder a cambiarla. Como siempre rásquense con sus propias uñas.

1602679985700.png

mail publicado por el mostrador donde se solicita a funcionarios cambiar su clave "en el marco del mes de ciberseguridad"


El escuadrón de Capa9 indica que hace un tiempo alguien en twitter había reportado una falla. Será la misma


Fuente: El mostrador
 

Archivo adjunto

  • 1602680110129.png
    1602680110129.png
    194,2 KB · Visitas: 84

MELERIX

Capo
que habrá sido la vulnerabilidad en este caso ? consecuencias de usar software obsoleto ? seguridad de servicios web mal configurada ?
 
Última modificación:
1602735279626.png
 

miguelwill

Matrix Operator
Miembro del Equipo
MOD
por lo que se puede observar, el cifrado de las contraseñas es en base a SHA1

 

Zuljin

Fundador
Miembro del Equipo
Fundador
ADMIN
Aer chanta la moto, yo no soy un entendido en esos temas así que disculpen si mi pregunta es muy cándida.

¿De alguna forma quienes obtuvieron el listado de contraseñas "encriptadas" pudieron "desencriptarlas" y obtener las contraseñas originales?
 

VittokoX

GΣΣK
Miembro del Equipo
MOD
REPORTERO
Aer chanta la moto, yo no soy un entendido en esos temas así que disculpen si mi pregunta es muy cándida.

¿De alguna forma quienes obtuvieron el listado de contraseñas "encriptadas" pudieron "desencriptarlas" y obtener las contraseñas originales?
No. El Cereal solo probó un hash conocido (123456 convertido usando sha1 como algoritmo de cifrado) y buscó ese valor en las contraseñas y tokens. Lo que se hace normalmente es tener una gpu haciendo el cálculo de hash hasta que uno calza con los que se tienen, así se rompen.
 

ricm

Cuando he usado funciones nativas de encriptado de password en php, un mismo password me queda con distintos hashes. Pq aquí no pasa lo mismo?
 

BalroG

Te lo dije
Aer chanta la moto, yo no soy un entendido en esos temas así que disculpen si mi pregunta es muy cándida.

¿De alguna forma quienes obtuvieron el listado de contraseñas "encriptadas" pudieron "desencriptarlas" y obtener las contraseñas originales?


no, pero al tener contraseñas simples y sin salt la wea hay diccionarios ya listos de esa contrasña poder de computo de un tetris noventero para dar con un resultado
 

MELERIX

Capo
Aer chanta la moto, yo no soy un entendido en esos temas así que disculpen si mi pregunta es muy cándida.

¿De alguna forma quienes obtuvieron el listado de contraseñas "encriptadas" pudieron "desencriptarlas" y obtener las contraseñas originales?

si están cifradas con SHA1 y son claves simples o cosas comunes, se pueden descifrar usando Tablas Arcoiris y por fuerza bruta.
 

MELERIX

Capo
¿o sea que estamos hasta el loly perrito? ¿o no es tan así?

depende :p

por lo general el sistema de clave única no da claves comunes, pero si el usuario luego la cambio y puso algo común/simple entonces se vuelve vulnerable (aunque se supone que el sistema no permite que el usuario ponga claves comunes/simples), pero lo mas grave ya seria si la clave maestra de cifrado fuese común/simple, entonces si alguien obtiene eso, todas las claves serán vulnerables, aunque sean claves complejas.
 

clusten

ADMIN
Miembro del Equipo
ADMIN
por lo general el sistema de clave única no da claves comunes, pero si el usuario luego la cambio y puso algo común/simple entonces se vuelve vulnerable (aunque se supone que el sistema no permite que el usuario ponga claves comunes/simples), pero lo mas grave ya seria si la clave maestra de cifrado fuese común/simple, entonces si alguien obtiene eso, todas las claves serán vulnerables, aunque sean claves complejas.
Esto es ahora último. Mi clave era "carito01" (la cambié obviamente ante todo esto).
Era una clave unica (no pun intended), utilizada solo en este sistema y la active hace como 4 años.
 
Subir