Данные пользователей криптовалютных бирж под угрозой
-
Криптографы Надя Хенингер, Шаан Кони и Мэттью Грин обнаружили уязвимость, которая может быть использована для компрометации ключей шифрования вебсайтов. Эта уязвимость, которую назвали DUHK (Don’t use hard-coded keys) ставит под угрозу регистрационные данные сотен тысяч клиентов криптовалютных бирж.
Источником уязвимости назван алгоритм генерирования псевдослучайных чисел ANSI X9.31 RNG, который на протяжении последних 30 лет активно использовался в интернет индустрии, включая создание ключей шифрования для VPN-соединений и браузерных сессий, содержащих учетные данные, платежную информацию и другие непубличные данные.
по данным криптографов, злоумышленник может расшифровать данные, проходящие через уязвимое устройство, в случае использования алгоритма ANSI X9.31 и жестко закодированного seed key.
Более того, многие производители используют жестко закодированный seed key для ANSI X9.31, хотя seed key должен генерироваться случайно при каждом запуске устройства или самого ANSI X9.31.
В январе 2016 года Федеральный стандарт по обработке информации (FIPS) – ведомство, отвечающее за выработку стандартов компьютерной безопасности в США – удалило ANSI X9.31 RNG из своих списков, назвав в качестве одной из причин некриптостойкое шифрование.
Специалисты представили список продуктов, где используется ANSI X9.31 и жестко закодированные seed key. В список, в частности, вошли решения от Fortinet, Cisco и TechGuard.
Эта уязвимость не нацелена непосредственно на пользователей криптовалютных бирж, однако может быть использована хакерам для манипулирования выходными данными с целью компрометации ключей шифрования и их дальнейшего использования для получения доступа к конфиденциальной информации пользователей, включая регистрационные данные, детали банковских счетов и т.д.
-
Вот только не помню чтобы в браузерных ссесиях какие то данные хранились?
-
Участник @casio написал в Данные пользователей криптовалютных бирж под угрозой:
Вот только не помню чтобы в браузерных ссесиях какие то данные хранились?
Ну а если браузер запоминает учетные данные для входа, то где-то же они сохраняются внутри браузера.
-
Участник @okela написал в Данные пользователей криптовалютных бирж под угрозой:
Участник @casio написал в Данные пользователей криптовалютных бирж под угрозой:
Вот только не помню чтобы в браузерных ссесиях какие то данные хранились?
Ну а если браузер запоминает учетные данные для входа, то где-то же они сохраняются внутри браузера.
Я думаю что все кто мог и знал, ошибку пофиксил Обычно освещение подобных критов происходит после их исправления, ну а иначе сейчас каждый любознательный школьник полезет расшатывать этот ANSI X9.31
-
Участник @okela написал в Данные пользователей криптовалютных бирж под угрозой:
Участник @casio написал в Данные пользователей криптовалютных бирж под угрозой:
Вот только не помню чтобы в браузерных ссесиях какие то данные хранились?
Ну а если браузер запоминает учетные данные для входа, то где-то же они сохраняются внутри браузера.
Браузер запоминает хеш один обычно или несколько их для безопасности. И по ним сервер уже понимает сам кто перед ним.
-
Участник @optimus написал в Данные пользователей криптовалютных бирж под угрозой:
Участник @okela написал в Данные пользователей криптовалютных бирж под угрозой:
Участник @casio написал в Данные пользователей криптовалютных бирж под угрозой:
Вот только не помню чтобы в браузерных ссесиях какие то данные хранились?
Ну а если браузер запоминает учетные данные для входа, то где-то же они сохраняются внутри браузера.
Я думаю что все кто мог и знал, ошибку пофиксил Обычно освещение подобных критов происходит после их исправления, ну а иначе сейчас каждый любознательный школьник полезет расшатывать этот ANSI X9.31
Да алгоритм может корявый. Но можно его чуть чуть костылем подпереть и будет всем счастье.