Todos os posts tagados brute-force

Yahoo Voice comprometido. Veja se a sua conta está em risco.

Yahoo Voice comprometido. Veja se a sua conta está em risco.

Com o ataque ao Yahoo Voice, mais de 400.000 dados de utilizador foram publicados na web.

Segundo a última informação, o método para obter esta informação foi via SQL Injection e que as palavras passe estavam… guess what? Plaintext.
Incrível que nos tempos que correm, e na empresa em questão, ainda armazenam dados confidenciais sem encriptação.

A Sucuri publicou um resumo do ficheiro com os dados de acesso de 453.411 disponivel na web onde são visiveis 342.481 passwords únicas.
Como o Yahoo Voice permite registo com outras contas de email, no top dos dominios dos emails comprometidos estão:

135.599 yahoo.com
106.185 gmail.com
543.93 hotmail.com
24.677 aol.com
8.422 comcast.net
6.282 msn.com

Quanto ao Top10 das passwords mais utilizadas no ficheiro temos:

[número de ocorrências] [password]
1666 123456
780 password
437 welcome
333 ninja
250 abc123
222 123456789
208 12345678
205 sunshine
202 princess
172 qwerty

Como em ataques anterioes, as passwords dominantes continuam a ser faceis de efectuar ataques brute-force e são demasiados fracas em segurança.

A Sucuri também disponibilizou um serviço online para consultar se um email foi comprometido. Pode ser consultado aqui.

Reaver – um brute-force contra WPS

Reaver - um brute-force contra WPS

Pentesters, ou simplesmente utilizadores que queiram apenas testar a fragilidade da vossa rede Wifi, está disponível uma ferramenta que permite fazer um ataque força bruta aos Wifi Protected Setup (WPS). O Reaver foi implementado para testar a falha descrita por Stefan Viehbock no CERT, onde uma falha na autenticação do standard WPS permite recuperar o PIN e por sua vez aceder à rede Wifi.
De referir também que não existe qualquer limite de tentativas, o que deixa uma grande margem de manobra para lançar ataques de força bruta.
Como maioria dos routers mais recentes têm o WPS activo por default, esta situação deve atingir um grande número de equipamentos*.

E é aqui que entra o Reaver
Segundo o site oficial, o Reaver consegue recuperar a password numa média de 4 a 10 horas, dependendo do AP (Access Point).

Para complementar este artigo, deixo aqui um link para o Lifehacker com mais informação sobre o Reaver.

* Até à data os fabricantes não lançaram qualquer tipo de correção.