'Seals With Clubs' Bitcoin Poker Site Na-hack, 42,000 Passwords Ninakaw

Kinumpirma ng Bitcoin poker site na Seals with Clubs na nakompromiso ang database nito, bagama't nabigo itong banggitin na nawalan ito ng 42,020 na hash na password sa proseso. Ang mga hash ay nai-post sa isang forum mga 24 na oras na ang nakalipas at hindi na kailangang sabihin na nakakaakit sila ng maraming tao na nakahilig sa pag-crack sa kanila.

Sa ilang kadahilanan Mga Seal na may mga Club ginamit ang SHA1 hash function, na para sa lahat ng layunin at layunin ay hindi na ginagamit. Kahit na ang pinakabagong SHA3 hash ay hindi angkop para sa mga password at lumilitaw na ang site ay umaasa sa cryptographic salting upang gawing mas secure ang mga ito, tinitiyak na magkaibang mga hash ang gagamitin kahit na dalawang user ang pumili ng eksaktong parehong password.

Sa anumang kaso, hindi nagtagal ang mga tao upang simulan ang pag-alam ng ilang mga password, tulad ng "bitcoin1000000", "sealswithclubs", "88seals88" at "pokerseals". Ang mga nahayag na password ay mabilis na humantong sa mga eksperto sa seguridad na sumali sa mga tuldok at magdesisyon na ang mga password ay nagmula sa mga gumagamit ng Seals with Clubs.

Noong Miyerkules, isang user ang nag-post ng database ng mga hash sa isang password recovery forum na pinamamahalaan ng komersyal na serbisyo sa pag-crack ng password na InsidePro. Nag-alok ang user ng $20 sa bitcoins para sa bawat set ng isang libong natatanging hash. Tumagal lamang ng siyam na minuto para sa unang tugon at sa unang hanay ng 1,000 hash. Sa loob ng isang araw, humigit-kumulang dalawang-katlo ng listahan ang nabasag, ang mga ulat Ars Technica.

Pagsapit ng Huwebes, nasa damage control mode na ang Seals with Clubs, opisyal na inamin ang paglabag at inanunsyo na naglabas ito ng ipinag-uutos na pag-reset ng password. Isang post sa site nito ang nagbabasa:

Ang datacenter na aming ginamit hanggang Nobyembre ay pinahintulutan ang hindi awtorisadong pag-access sa isang database server at ang aming database na naglalaman ng mga kredensyal ng user ay malamang na nakompromiso. Ang mga password ay inasnan at na-hash sa bawat user, ngunit para maging ligtas DAPAT baguhin ng bawat user ang kanilang password kapag sila ay susunod na mag-log in.





Mangyaring gawin ito sa iyong pinakamaagang pagkakataon. Kung ginamit ang iyong password sa Seals para sa anumang iba pang layunin dapat mo ring i-reset ang mga password na iyon bilang pag-iingat.

Itinuro ng site na magpapatupad ito ng mga karagdagang hakbang sa seguridad, kabilang ang dalawang-factor na pagpapatunay at pag-login mula sa isang limitadong bilang ng mga IP address.

Gayunpaman, hindi ito tutugon sa isa pang problema. Dahil ang Seals with Clubs ay isang bitcoin-only na serbisyo, ang bawat may hawak ng account ay isang Bitcoin user at may magandang pagkakataon na kahit papaano ang ilan sa kanila ay muling gumamit ng parehong password sa ibang mga Bitcoin site. Sa madaling salita, maaaring ginagamit ng ilang user ang eksaktong parehong password sa kanilang mga exchange account o online na wallet.

Tulad ng para sa Seals with Clubs, ito ay isang medyo maliit na site kumpara sa mga pangunahing Texas Hold'em site out doon. Ang maliit na pangkat ng mga manlalaro ng poker sa likod ng site ay pinili na manatiling hindi nagpapakilala at ang site ay maliwanag na inilunsad pagkatapos sila ay tinanggal. Umaasa kami na ang paglalaro ng poker sa oras ng opisina ay walang kinalaman dito.