#CyberMagazyn: Hasła Polaków. Analiza hashy z wycieku ze sklepbaterie.pl

Za atak na sklep z armaturą łazienkową odpowiedzialna jest grupa Funksec, która 19 grudnia ub.r. zamieściła informację o nim na swoim blogu. 6 stycznia br. cyberprzestępcy udostępnili link umożliwiający pobranie danych. Wśród plików znajdował się arkusz Excela, zawierający ponad 200 tysięcy hashy haseł.

Niniejsza analiza została przeprowadzona w celu wykazania, że algorytm MD5 nie powinien być wykorzystywany w celu przechowywania hashy haseł oraz potwierdzenia konieczności tworzenia haseł o odpowiedniej długości i poziomie skomplikowania. Za nieuprawniony dostęp do informacji (np. zalogowanie się do konta) grozi nam kara pozbawienia wolności do lat 2 (Art. 267 Kodeksu Karnego).

Rodzaje hashy i kolizje

W pliku znajdowało się 211 337 hashy haseł. 67 931 z nich było wygenerowane za pomocą bcrypta – bardzo skomplikowanego algorytmu. Pozostałe 143 406 funkcji skrótu zostało utworzone z wykorzystaniem MD5, co oznacza, że są stosunkowo łatwe do złamania (czyli odgadnięcia pierwotnego ciągu znaków, w tym przypadku hasła).

Powyższa analiza wykazuje, że dwie trzecie hashy wykorzystywało algorytm pochodzący z 1992 roku. Należy przy tym dodać, że w marcu 2024 badaczowi udało się znaleźć kolizję (wygenerowanie tego samego hasha) dla dwóch różnych 72-znakowych ciągów znaków.

Analiza hashy MD5

Łamanie hashy zostało przeprowadzone wraz z Kacprem „Cappybara” Ufel. Wśród wspomnianych 143 tys. funkcji skrótu algorytmu MD5 znajdowało się 51 704 hashy, które występowały tylko raz. Ilość rekordów powtarzających się wyniosła 2579. Oznacza to, że do złamania pozostało 54 283 hashy.

Kacper wykorzystał hashcata (znany program do odzyskiwania haseł) oraz kartę graficzną GeForce RTX 4070. Cały proces zajął mniej niż trzy godziny. Do łamania hashy wykorzystano m.in. jeden z polskich słowników dostępnych publicznie, zmodyfikowany za pomocą różnych technik.

Odzyskane hasła

Spośród 54 283 unikalnych hashy udało się złamać 27 914 z nich, co stanowi 51,42 proc. Wśród nich ponad połowa (15 071; 54 proc.) była krótsza niż dziewięć znaków. Warto dodać, że 4206 haseł było dłuższych niż 10 znaków – daje to nieco ponad 15 procent wszystkich złamanych hashy.

Co ciekawe, najdłuższe odzyskane hasła zazwyczaj zawierały frazę „sklepbaterie”. Łącznie tę frazę zawierało 199 haseł.

Przekleństwa jako hasła

Z racji na art. 12 Prawa prasowego nie możemy pokazać, jakie wulgaryzmy były wykorzystywane przez Polaków. Jednakże analiza z wykorzystaniem ogólnodostępnej listy fraz wykazała, że 196 haseł wykorzystywało takie słowa.

Adresy mailowe, w tym @gov.pl

Oprócz analizy hashy haseł postanowiliśmy sprawdzić, jakie domeny e-mail znajdowały się w pliku. Nie będzie zaskoczeniem, że wśród nich króluje gmail.com - google’owska skrzynka występowała w niecałych 40 proc. rekordów. Na drugim miejscu jest wp.pl z nieco ponad 17 proc., zaś podium zamyka o2.pl z niecałymi 7 proc.

Warto zwrócić uwagę na to, że w arkuszu Excela pojawiają się również maile w domenie gov.pl. Łącznie w pliku znajdowały się 44 takie adresy.

Powtarzające się hasła i hashe

Kilka miesięcy temu analizowaliśmy wyciek z megamodels.pl. Wówczas do sieci trafiło ponad 180 tys. rekordów. Analiza CERT Polska wykazała, że znajdowały się tam dane 40 tys. osób. Zarówno wyciek ze strony dla modelek oraz niedawny ze sklepu z armaturą łazienkową zostały dodane do portalu bezpiecznedane.gov.pl, dzięki czemu możemy sprawdzić czy nasze dane zostały wykradzione przez cyberprzestępców.

Nasza analiza wykazała, że obydwa wycieki danych zawierają 1374 wspólne hasła. Oznacza to, że powtarza się niecałe 5 proc. haseł pochodzących ze złamanych hashy z obydwu wycieków.

Przeanalizowaliśmy również to, jak długie były odgadnięte hasła, które występowały w wspomnianych wyciekach. Najdłuższe z nich miały 14 znaków.

Podsumowanie

Nie mamy wpływu na to, czy nasze dane zostaną wykradzione i upublicznione przez cyberprzestępców. Możemy jednak zadbać o nasze bezpieczeństwo, przede wszystkim stosując dwuetapowe uwierzytelnianie. Warto jednocześnie stosować odpowiednio długie i skomplikowane hasło.

Analiza funkcji skrótu algorytmu bcrypt nie została opisana z racji na to, że łamanie takich hashy jest niezwykle czasochłonne.

Do sprawdzania tego, czy nasze dane wyciekły, polecamy bezpiecznedane.gov.pl oraz HaveIBeenPwned.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].