В даркнете бесплатно выложили данные от 20 млн аккаунтов BigBasket

BigBasket, известный в Индии сервис по заказу и доставке товаров из гипермаркета, допустил крупнейшую учетку. Известнейший даркнет-деятель ShinyHunters, регулярно продающий информацию, полученную путём взлома, на этот раз выложил её бесплатно. 25 апреля он опубликовал базу данных пользователей BigBasket, в которой содержится не только их личная информация (история заказов, баланс, урезанные платёжные данные, ФИО, адреса доставок и т.п.), но также логины и хеши паролей.

Пароли хешированны алгоритмом SHA1, который уже неоднократно показывал свою неустойчивость к взлому. В теории и на практических white-hat взломах доказано, что при данном хеше, соответствующего некой информации, можно найти другую информацию, которая будет давать точно такой же хеш. И даже можно вычислить с достаточной для практиков вероятностью исходную информацию, имея только хеш.

В итоге другие участники форума, проанализировав базу данных от ShinyHunters, заявили, что из 20 миллионов хешированных паролей смогли восстановить 2 миллиона исходных, настоящих паролей. Из них 700 тысяч являлись буквально словом "password". Остальные 18 миллионов паролей вскрыть не удалось. Случай подтверждает, что крупные корпорации и государственные организации не зря стремятся как можно скорее перейти с SHA1 на более надёжные алгоритмы хеширования. Также очевидно, что при наличии двухфакторной аутентификации через приложения вроде Google Authenticator задача получения данных для входа в аккаунт для атакующего становится крайне трудновыполнимой.