The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Взлом инфраструктуры Opera привёл к утечке синхронизированных паролей

30.08.2016 09:36

Компания Opera Software сообщила об инциденте, в результате которого атакующие могли получить доступ к серверам, используемым для хранения данных, синхронизируемых между устройствами пользователей, активировавших функцию Opera Sync. В том числе в руки атакующих могли попасть логины и пароли доступа к различным сайтам, сохранённые для автоматического заполнения форм входа. По предварительной оценке проблема затронула около 1.7 млн пользователей, применяющих сервис Opera Sync.

Утверждается, что синхронизированные данные хранились в зашифрованном виде, а пароли к учётным записям в Opera Sync хранились в виде хэшей с солью. В качестве упреждающей меры защиты, компания Opera Software приняла решение о блокировании всех учётных записей Opera Sync и инициировании операции смены паролей. Так как в случае успешного подбора пароля Opera Sync атакующие могут получить доступ к синхронизированным данным, пользователям также рекомендуется поменять пароли к сайтам, сохранённые в браузере. Пользователи браузера Opera не использующие функцию Opera Sync проблеме не подвержены.

Компания Opera Software не раскрывает информацию о методе шифрования синхронизированных паролей, но с большой долей вероятности в Opera применяется та же схема, что и в Google Chrome. В Chrome используется схема шифрования Nigori, которая использует PBKDF2 (Password-Based Key Derivation Function 2) для формирования ключей на основе заданного пользователем логина и пароля. На основе логина и пароля генерируется три ключа - для аутентификации клиента на сервере, для шифрования данных и для создания цифровой подписи. Ключи самодостаточны - получив один из ключей невозможно определить другие, т.е. на основе ключа аутентификации клиента невозможно подобрать ключ, применяемый для шифрования данных. Данные шифруются при помощи алгоритма AES-128 в режиме CBC с 16-байтовым вектором инициализации.

В Firefox Sync применяется схема, обеспечивающая хранение ключа на стороне пользователя и применения "end-to-end"-шифрования, подразумевающего вовлечение в процесс шифрования только конечных клиентских систем, без хранения расшифрованных данных или ключей на внешнем сервере. Ключ для шифрования задаётся на основе указанного для аккаунта пароля, сам аккаунт применяется только для транзитного хранения уже зашифрованных данных.



  1. Главная ссылка к новости (https://www.opera.com/blogs/se...)
  2. OpenNews: Выпуск браузера Opera 38
  3. OpenNews: Opera и ARM проданы китайским и японским компаниям
  4. OpenNews: Первый стабильный выпуск web-браузера Vivaldi, развиваемого одним из основателей Opera Software
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/45046-opera
Ключевые слова: opera
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (59) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Michael Shigorin (ok), 09:49, 30/08/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +32 +/
    "не смотрите вы, пожалуйста, свысока,
    а с паролем прокатите нас, облака"
     
     
  • 2.4, Аноним (-), 10:13, 30/08/2016 [^] [^^] [^^^] [ответить]  
  • –19 +/
    Хреновый ты поэт, Мишаня.
     
     
  • 3.13, Аноним (-), 11:10, 30/08/2016 [^] [^^] [^^^] [ответить]  
  • +8 +/
    Такому великому знатоку как ты не составит труда продемонстрировать как надо?

    Или чукча не писатель - чукча читатель?

     
     
  • 4.24, freehck (ok), 12:16, 30/08/2016 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Почему бы и нет?

    Форум мой, я предлагаю тебе герб: роутер с подоткнутым в него интернет-кабелем. В силиконовом привкусе московского оптоволокна я пью неудавшееся домашнее бессмертие. Центробежная сила времени разметала наши горячие споры и крышки белесых китайских ноутбуков с синими цветочками. Ничего не осталось. Тридцать лет прошли как медленный пожар. Тридцать лет лизало холодное пламя информационного шума спинки зеркал с логотипами всевидящих корпораций.

    Мандельштам Иосиф автор этих разных эпиграмм, и никакой другой Иосиф не есть Осип Мандельштам.

     
  • 4.46, Аноним (-), 16:37, 30/08/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Такому великому знатоку как ты не составит труда продемонстрировать как надо?
    > Или чукча не писатель - чукча читатель?

    Необязательно быть Маяковским, чтобы распознать плохую поэзию.

     
     
  • 5.55, Michael Shigorin (ok), 19:34, 30/08/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Необязательно быть Маяковским, чтобы распознать плохую поэзию.

    Необязательно быть хотя бы мной, чтоб придерживаться невысокого мнения о творчестве Маяковского -- но оказаться настолько лишённым детства, чтоб не заметить простейшую переделку старой доброй песенки из не менее доброго мультика, это уже совсем печально...

    Послушайте, почитайте, подумайте:
    http://pesnifilm.ru/load/multfilmy/oblaka/14-1-0-209
    http://litdet.ru/bio/245

     
     
  • 6.59, Аноним (-), 21:36, 30/08/2016 [^] [^^] [^^^] [ответить]  
  • –5 +/
    Ты за моё детство не волнуйся, я им вполне доволен. Что же касается «простейшей переделки», то и с ней беды не было бы, не хромай в ней рифма на обе ноги. И это отсутствие минимального таланта к стихосложению даже невысоким мнением о Маяковском не объяснишь.
     
     
  • 7.69, Michael Shigorin (ok), 14:33, 01/09/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Что же касается «простейшей переделки», то и с ней беды не было бы,
    > не хромай в ней рифма на обе ноги.

    У Вас, похоже, нетрадиционное представление о рифме или что-то со зрением.

    Впрочем, *plonk*

     
  • 2.9, iPony (?), 10:32, 30/08/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > "не смотрите вы, пожалуйста, свысока,
    > а с паролем прокатите нас, облака"

    Там про лошадок было

     
     
  • 3.15, Crazy Alex (ok), 11:22, 30/08/2016 [^] [^^] [^^^] [ответить]  
  • +13 +/
    Дык, колбаса - это бывшие лошадки...
     
     
  • 4.42, _ (??), 16:10, 30/08/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >>Дык, колбаса - это бывшие лошадки...

    А пони - бывшая колбаса! ВО! Теперь всё сходится :))))

      

     
     
  • 5.77, Аноним (-), 17:54, 31/01/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Мимо белого яблока луны,
    Мимо красного яблока заката
    Облака из неведомой страны
    К нам спешат, и опять бегут куда-то.

    Облака - белогривые лошадки!
    Облака - что вы мчитесь без оглядки?
    Не смотрите вы, пожалуйста, свысока,
    А по небу прокатите нас, облака!

    Мы помчимся в заоблачную даль,
    Мимо гаснущих звезд на небосклоне.
    К нам неслышно опустится звезда,
    И ромашкой останется в ладони!

    Облака - белогривые лошадки!
    Облака - что вы мчитесь без оглядки?
    Не смотрите вы, пожалуйста, свысока,
    А по небу прокатите нас, облака!
    Не смотрите вы, пожалуйста, свысока,
    А по небу прокатите нас, облака!
     

  • 1.2, КортоФан (?), 09:49, 30/08/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Сильно они вляпались.
     
     
  • 2.7, iPony (?), 10:32, 30/08/2016 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Ну по умолчанию синхронизация паролей отключена.
    Если ты включишь синхронизацию, то она много чего будет синхронизировать, но не пароли - для этого надо отдельно залезть в настройки и поставить галочку.
     
     
  • 3.29, Аноним84701 (?), 13:08, 30/08/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну по умолчанию синхронизация паролей отключена.

    Не знаю, знакомый (теперь уже окончательно бывший) многолетний пользователь оперы недавно плевался по этому поводу (новость-то уже немного с бородкой), т.к. он был уверен, что отключил/не включал синхронизацию паролей - а оно оказалось совсем наоборот и пришлось ему менять все пароли (сразу после смены браузера).

     
     
  • 4.32, iPony (?), 13:39, 30/08/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Не знаю

    А я знаю. Синхронизация паролей не включается по умолчанию при включении опции синхронизации.
    Видать не зря :D

     
  • 4.65, mumu (??), 22:56, 31/08/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Вот уж не думал что на этом скине для хрома будет сидеть кто-то, кто пользовался оригинальной оперой. Удивили
     

  • 1.3, Аноним (-), 10:09, 30/08/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    И кто-то еще доверял китайцам?
     
     
  • 2.14, Аноним (-), 11:12, 30/08/2016 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > И кто-то еще доверял китайцам?

    А причем тут таки национальный вопрос?

     
     
  • 3.23, Владимир (??), 12:14, 30/08/2016 [^] [^^] [^^^] [ответить]  
  • +/
    >> И кто-то еще доверял китайцам?
    > А причем тут таки национальный вопрос?

    Потому что оперу продали китайцам

     
     
  • 4.40, Конь (?), 15:54, 30/08/2016 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Так скорее всего китайцы ни с алгоритмами не с серверами ничего еще не успели сделать
     
  • 2.31, KOT040188 (ok), 13:15, 30/08/2016 [^] [^^] [^^^] [ответить]  
  • –8 +/
    Китайцы хорошо могут делать только одну вещь! Размножаться! А всё, что они делают руками — выходит плохо!
     
     
  • 3.37, Аноним (-), 15:09, 30/08/2016 [^] [^^] [^^^] [ответить]  
  • +5 +/
    То есть все бытовые приборы в вашем доме настолько качественны? Бяда, бяда.
     
     
  • 4.61, brandy (ok), 01:08, 31/08/2016 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Вам же сказали - хорошо они умеют размножаться, в т.ч. размножать чужые разработки.
     
  • 3.44, _ (??), 16:21, 30/08/2016 [^] [^^] [^^^] [ответить]  
  • +4 +/
    >>Китайцы хорошо могут делать только одну вещь!

    Вылазь из криокамеры. Ибо твой фетиш ифоня к примеру - делается там же. :)
    >>Размножаться!

    А - так это зависть импотента? Или что там тебе ешё мешает завести >3 детей?
    >>А всё, что они делают руками — выходит плохо!

    Это онекдод про японскую делегацию в Россию вообще-то :-\ Не надо тут плагиатить, убогай.

     
     
  • 4.70, Аноним (-), 08:57, 02/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    в чем отличие плагиата от переосмысления и простого использования идей?
     

  • 1.6, maks4ks (ok), 10:27, 30/08/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    Вот и началось.Синхронизация-все яйца в одной корзине.
     
     
  • 2.58, Led (ok), 20:29, 30/08/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > все яйца в одной корзине.

    Вот их одним махом в этой корзине и прищемили.

     

  • 1.8, Аноним (-), 10:32, 30/08/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    >Opera user base of 350 million people

    Да ладно? :)

     
     
  • 2.16, Аноним (-), 11:23, 30/08/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Мобильная версия
     

  • 1.10, Kodir (ok), 10:52, 30/08/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    С каким тупым и бесстыжим лицом придётся теперь операстам говорить с юзерами? Сначала очень много трубить про "облака - это круто", а потом лажать на ровном месте, да ещё с такими конфиденциальными данными - пароли - они ж не только для вконтактегов, это ещё и банки, шопы, частные фото.... Вот сколько ещё нужно возить хомячков мусалом по асфальту, чтобы они не лезли в облака?!
     
     
  • 2.17, Аноним (-), 11:31, 30/08/2016 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Сколько не вози - всё мало.
     
  • 2.25, freehck (ok), 12:20, 30/08/2016 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > С каким тупым и бесстыжим лицом придётся теперь операстам говорить с юзерами?
    > Сначала очень много трубить про "облака - это круто", а потом...

    Это, между прочим, не только к опере применимо. :)

     
     
  • 3.45, _ (??), 16:28, 30/08/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Мужики ... тут есть хоть кто нибудь кто не понимал рисков?
    И ещё - после этого случая - хоть что то изменится? :-\

    Правильный ответ:
    Ничего не изменится! (Суета сует, да :)
    Те кто риски понимал - не пользовал где не надо.
    Кому не дано ума для "оценить эффект" или просто болт ложащие - продолжают пользовать.

     
     
  • 4.71, Аноним (-), 09:00, 02/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    дело не в уровне интеллекта (хотя это тоже как посмотреть), а уверенности в том, что миллионы не могут ошибаться (это применимо хоть где, а не только в интернет-технологиях)
     

  • 1.12, Аноним (-), 11:03, 30/08/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    > пользователям также рекомендуется поменять пароли к сайтам,

    Веселое занятие.

     
  • 1.20, Аноним (-), 11:38, 30/08/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Ой да ладно. Кому действительно важен доступ, хранят пароли в глове/на бумажке/в файле, а не в браузерах/облаках/пароль-менеджерах, которые действуют на взломщиков как маяки "Пароли здесь".
     
     
  • 2.38, Аноним (-), 15:12, 30/08/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    *поправляя шапочку из фольги*

    >> пароли в глове

    Можно долго пытать человека. Если нужно.

    >> на бумажке

    Бумажку можно украсть.

    >> в файле

    Можно проникнуть на компьютер пользователя.

     
     
  • 3.50, Аноним (-), 17:12, 30/08/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Можно долго пытать человека. Если нужно.
    > Бумажку можно украсть.

    Если нужно, да. Но на это нужно заморочиться, и сегодня это более редкий случай, чем даже не заморачиваясь получить пароли миллионов пользователей. Довольно трудно "долго пытать миллион пользователей" или "украсть бумажки у миллиона пользователей".

    > Можно проникнуть на компьютер пользователя.

    Если у пользователя KeePass, то пароли он хранит в нём. Если у пользователя несколько миллионов файлов на диске, то в каком из них он хранит пароли?

     
  • 3.53, anonymous (??), 17:53, 30/08/2016 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Зачем нужны замки, засовы, щеколды, когда всё это можно взломать ломиком или отмычкой?
     
  • 3.72, Аноним (-), 09:02, 02/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    типичный студиоус…
    есть такое понятие как целесообразность или или иначе соотношение прилагаемых усилий к полученному эффекту
     

  • 1.26, Аноним (-), 12:21, 30/08/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Opera Software приняла решение о блокировании всех учётных записей Opera Sync

    А я то думаю, что у меня авторизация слетела.. Все я ухожу от них к Firefox!

     
     
  • 2.34, Дмитрий (??), 14:18, 30/08/2016 [^] [^^] [^^^] [ответить]  
  • +/
    А почему Firefox?
     
     
  • 3.75, rvs2016 (ok), 17:05, 01/10/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > А почему Firefox?

    Во-во. Дело не в китайцах и не в конкретных браузерах, а в привычке хранить свою информацию где попало, когда никакой гарантии её сохранности при этом нет. С такой привычкой не спасёт ни переход к Файрфоксу, ни какие-нибудь другие методы спасения. :-)

     
  • 2.47, _ (??), 16:39, 30/08/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    "К Птебирдюкову" же!!!!! :)
     
  • 2.54, Аноним (-), 19:04, 30/08/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Почему так долго? Давно пора уже было, после похорон 12-ой оперы...
     

  • 1.27, okmijn (?), 12:54, 30/08/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    пока гром не грянет, мужыг не перекрестится
     
     
  • 2.66, Аноним (-), 05:12, 01/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    и что изменится ? мужики - начнут обходить стороеной продукцию корпораций, подверженных "просьбам" зарубежного проавительства о доступе, то есть всех зарубежных ? маловероятно(как бы не легендировалось, кстати).
     

  • 1.28, Аноним (-), 12:54, 30/08/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    дык если пароли зашифрованы, то вроде как все более-менее ок, разве нет? Сбрутить не получится, т.к. ключом является не пароль пользователя вида "qwerty". Или не?
     
  • 1.33, HIMEM.SYS (?), 14:12, 30/08/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >> Although we only store encrypted (for synchronized passwords) or hashed and
    >> salted (for authentication) passwords in this system, we have reset all the
    >> Opera sync account passwords as a precaution.

    Гугл транслейт вам в помощь :)

     
  • 1.39, Аноним (-), 15:28, 30/08/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    облака, типа кто то поменяет пароли, брут база пополнилась, облака
     
  • 1.52, Аноним (-), 17:51, 30/08/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Возможно таким образом решили подчистить базу, а то накопилось "старого хлама" ещё с 11-й оперы вроде.
     
  • 1.63, gni (ok), 12:03, 31/08/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Неприятно ужас. Третий день меняю везде пароли. Вообщем, полностью забиваю на функцию синхронизации хоть в какой браузере.
     
  • 1.64, РОСКОМУЗОР (?), 20:44, 31/08/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Пользователи не юзающие Оперу также не подвержены проблеме =))
     
     
  • 2.67, Аноним (-), 08:42, 01/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Твои юмористические способности глубоко впечатлили меня.
     

  • 1.68, Пахом (?), 10:09, 01/09/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Надо было шифровать эти данные, но что бы ключ хранился только у пользователей. Но нет, на это они не пойдут ведь тогда они не смогут следить за пользователями.
     
     
  • 2.73, Аноним (-), 10:14, 02/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    тут еще другой минус - овэрхэд и без того не маленький - взлетел бы в раза два-три по пропускной каналов, да и проца - побольше отьело, несмотря на то что само крипто "клиент-сайд".
     

  • 1.74, Аноним (-), 21:02, 02/09/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Мне вот непонятно, а если была установлена своя парольная фраза (опциональная), которой все данные от OperaSync шифровались, можно успокоиться или лучше пойти везде-везде по списку пароли поменять?
    Есть тут в опере, где посмотреть на что именно в Sync у меня были сохранены пароли?
     
  • 1.76, rvs2016 (ok), 17:09, 01/10/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ха-ха-ха! Вот, что значит отдавать свою информацию на хранение кому попало. Всяким там облакам, да снхронизаторам, работающим на чужих серверах. :-) Я пароли даже в своих браузерах не храню, ибо это небезопасно. А отдавать их на хранение ещё и на сторону... - уму не растяжимо! И как только юзера с этим оглашаются... :-)))
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2022 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру