Google может значительно облегчить хакерам взлом паролей по их MD5-сверткам, выяснил исследователь Кэмбриджского университета Стивен Джей Мердок (Steven J. Murdoch). Г-н Мердок, опубликовавший недавно информацию об уязвимости в WordPress, открыл ее после того, как блог компьютерной лаборатории университета, «Light the Blue Touch Paper», работающий под управлением этого популярного движка, был взломан неизвестным хакером, сообщает The Register. Исследователь обнаружил возможность Google в процессе устранения последствий взлома блога компьютерной лаборатории, «Light the Blue Touch Paper», работающего под управлением WordPress. Атакующий, прежде чем получить несанкционированный доступ, создал в блоге учетную запись. Пароли к учетным записям хранятся в WordPress в виде свертков (хэшей), выполненных по алгоритму MD5. Их нельзя восстановить, но можно подобрать, свернув слово из словаря и сравнив его с хэшем пароля. Проведя безуспешную словарную атаку на пароль, г-н Мердок ввел хэш в Google и нашел несколько сайтов, где этот хэш соответствовал слову «Anthony». Исследователь затем написал программу, которая обращается за паролями к Google. Подобный подбор, однако, можно провести не для каждой системы: обычно хэши содержат дополнительное число, так называемый «salt», который делает свертки двух одинаковых паролей совершенно разными. Найти подобную нужную комбинацию в Google маловероятно. Уязвимость в WordPress была обнародована исследователем отдельно.
Источник