Скандал с паролями rabota.ua: что известно и насколько всё серьёзно

Владимир Кондрашов

В сети разгорелся скандал вокруг одного из популярнейших сайтов поиска работы в Украине – rabota.ua. Причиной стало утверждение о том, что портал якобы хранит пароли учетных записей пользователей в открытом виде или используя шифрование, не дающее надлежащей защиты данных.

Первым о проблеме на своей странице в Facebook сообщил Георгий Исаченко. Отсутствие должного внимания к безопасности со стороны портала подтвердили эксперт по кибербезопасности  и операционный директор Berezha Security (компании, специализирующейся на тестировании киберзащиты – Ред.) Владимир Стыран  и консультант по кибербезопасности Егор Папышев.

InternetUA разбирался в ситуации.

В чем опасность

Георгий Исаченко сообщил, что портал  rabota.ua  хранит пароли в открытом виде с 2002 года. К такому выводу его подтолкнуло письмо с «напоминанием» пароля от портала.

30698442_976538499168225_2192247693172628533_n.jpg (19 KB)

Хранение паролей пользователей в открытом виде, по его мнению, может означать, что любая утечка базы данных сайта позволит злоумышленникам увидеть пароли пользователей:

– Нормальная ситуация - это когда паролей нет в базе, и даже если её сливают, ничего страшного не происходит, – утверждает Исаченко. – Что хуже, практически любой сотрудник rabota с доступом к бд знает ваш пароль и почту. Если вы используете такой же пароль еще где-то, а вероятность этого больше 80%, у них есть доступ и к другим вашим аккаунтам, например, к почте или fb.

По словам Исаченко, гарантий того, что утечки базы данных не было – нет, и, следовательно, «никто не может гарантировать, что ваши пароли такие же или похожие на тот, что используется на rabota, не известны еще сотне людей».

Однако особую опасность, по его мнению, представляет возможная утечка информации о паролях к корпоративным аккаунтам:

– Если вы владелец корпоративного аккаунта и пароль от этого сайта такой же, как от ваших серверов, админки, базы или даже какой-то почты бывшего сотрудника – пиши пропало.  Любой в здравом уме злоумышленник «забьет» на пользовательские пароли и не будет их использовать, если обнаружит, что "корпоративные" пароли дают ему доступ к данным внутри какой-нибудь другой компании, – считает Исаченко.

В то же время Исаченко подчеркивает, что данных о «сливе» базы портала у него нет.

– Я сделал вывод о том, что пароли хранятся  или в открытом виде, или в шифрованном, что примерно настолько же плохо. Достаточно вспомнить, что было с паролями Adobe, которые тоже хранились в шифрованном виде. – рассказал Георгий Исаченко журналисту InternetUA. – Как бы они там (у «Работа.юэй» – Ред.) не хранились, у сайта есть возможность получить пароль в открытом виде, а значит такая возможность есть и у сотрудников компании.  То есть, мы говорим не о «незашифрованных», а «незахешированных» паролях или, проще говоря, о  паролях «в виде, элементарно поддающемся расшифровке».

Лидер OWASP Kyiv Владимир Стыран отметил, что в общем случае пароли в базе должны храниться в виде, из которого чрезвычайно трудно (а для большинства людей – невозможно) воспроизвести их первоначальную форму. Например, в форме криптостойких хэшей (SHA512, Argon2 etc.)

– Если вы шифруете базу, но с помощью reversible алгоритмов, это не добавляет существенной защиты. И тот факт, что компания  "напоминает" пользователю его пароль в чистом виде, действительно демонстрирует, что база и веб-приложение спроектировано без должного внимания к безопасности, – говорит Стыран. 

В цивилизованном мире, отмечет эксперт,  факт хранения паролей в чистом виде – это уже признак инцидента.

– Обладая базой паролей в открытом виде, rabota.ua может очень легко их захешировать и попросить пользователей изменить при следующем входе на сайт. Конечно же, для этого пользователей надо будет сообщить о такой необходимости, – считает Владимир Стыран.

Что говорят в компании

Rabota.ua оперативно сменила систему возобновления паролей и сейчас она выглядит следующим образом:

newpassvords.jpg (35 KB)

«Хорошим примером неправильных выводов и последующего нагнетания ситуации на основе неполных данных» назвал  ситуацию директор по маркетингу rabota.ua Константин Павлов, отписавшись на своей странице в Facebook.

– На самом деле, не смотря на то, что пароли приходят в открытом виде в письме, в базе они хранятся в зашифрованном виде по уникальному алгоритму, который расшифровывается специальной процедурой, – сообщил Павлов.

Как именно работают уникальный алгоритм и специальная процедура расшифровки, спикер не уточнил. На комментарии о том, что сам факт хранения паролей в базе уже является «моветоном», он также не отреагировал.

Павлов также признал, что «отправка открытых паролей в письме является моветоном» и сообщил, что до конца дня компания полностью исправит ситуацию.

– Все остальные мысли автора поста насчет того, как пользователи должны поступать с нашим сайтом является его личными умозаключениями комментировать которые мы не видим смысла, – заявил директор по маркетингу.

В комментарии для издания AIN Павлов также предложил 3 тысячи долларов тому, кто сможет расшифровать пароли на скриншоте базы данных Rabota.ua

index.png (520 KB)

Скриншот базы данных Rabota.ua / AIN

Георгий Исаченко, комментируя заявления Павлова для AIN отметил, что последний невольно сознался в серьезных ошибках:

– "Алгоритм разработал один из наших программистов" – вот это само по себе плохо. Каждый раз как кто-то придумывает свои алгоритмы шифрования, это плохо заканчивается, – говорит Исаченко. –  Они не имеют понятия о том, что пароли нельзя шифровать, их нужно хешировать, для того, чтобы никто, включая сотрудников компании, не мог никак узнать сам пароль. Шифрование - это когда можно и туда, и обратно, а  хеширование – только в одну сторону: как из картошки пюре – картошку назад вы уже никак не получите.

Отдельно Исаченко отметил утверждения Павлова о том, что «надежность шифрования самой процедуры отвечает компания Microsoft»:

– Это вообще трудно комментировать. Просто facepalm. А если это еще и правда - то double facepalm, – резюмировал Исаченко.

В rabota.ua журналисту InternetUA подтвердили, что высказанная в FB позиция Константина Павлова является официальной позицией компании.

– Действительно, мы уверены в своей надежности и безопасности. Это авторский код, который был разработан и за семнадцать лет нашего существования он постоянно обновляется и усовершенствуется, – сообщила представитель rabota.ua нашему журналисту. – Ни разу не было инцидента, когда что-то изменялось и данные наших юзеров оказывались каким-то образом открытыми или куда-то «слитыми». На данный момент мы не видим критической проблемы, потому что у нас не было прецедентов.

Награду в 3 тысячи долларов за расшифровку паролей в rabota.ua назначили, поскольку «в компании уверены в надежности базы».

– Также Георгий утверждал, что на почту пароль от сайта возвращается в открытом доступе. Это действительно было так, мы это уже оперативно поправили, – сообщили в rabota.ua. – С завтрашнего дня мы планируем изучить лучшие мировые практики, привлечь, возможно, сторонних экспертов, и найти, если проблема действительно есть, мы это проанализируем, изучим и сделаем всё, чтобы наши пользователи чувствовали себя в безопасности.

В rabota.ua говорят, что поднятый Исаченко вопрос не закрывается, но менять пароли пользователям не надо:

– Мы уже поправили то, что успели поправить. Дальше этот вопрос будем изучать. Мы первый сайт по поиску работы в Украине, нам уже 18 лет. За 18 лет ни разу не было ситуаций, когда хотя бы один пароль был куда-нибудь «слит». Поэтому менять пароли мы не видим смысла.  Сейчас вся наша команда будет работать над вопросом о том, чтобы либо доказать, что у нас всё хорошо, либо, если действительно есть проблема, найти лучшие практики и более надежные системы защиты, которые мы обязательно будем использовать.

Не «работой» единой: как уберечься от возможной кражи данных

В соцсетях пользователи начали активно делиться похожими историями с паролями от других сервисов. В частности, стало известно о похожей политике хранения данных юзеров одного из порталов продажи билетов и даже мобильного оператора «большой тройки».

Дабы ваши данные не попали к злоумышленникам (или, по крайней мере, дабы максимально утруднить к ним доступ), достаточно использовать менеджер паролей (KeePass, LastPass, 1Password, Dashlane), создавать пароли из 15-20 случайных символов и не использовать одинаковые пароли на разных ресурсах.  Если вы получаете информацию даже о возможной компрометации вашего пароля, лучше его изменить:

– Измените пароли на новые и обязательно разные везде, где использовался такой же или похожий пароль: ilovemasha, ILoveMa$hа111, !ahsamevoli и шдщмуьфырф99 – это похожие пароли. Не пытайтесь кого-то обхитрить, вы обхитрите только себя. Просто сгенерируйте длинный случайный пароль одной из программ, – рекомендует Георгий Исаченко.

Также рекомендуем ознакомиться с памяткой «Как не стать кибержертвой».