Новини: новий закон Євросоюзу, фрод в 2011 році та взлом DreamHost
23:53 24.01.2012За повідомленням www.xakep.ru, новий закон Євросоюзу змусить повідомляти про взлом протягом 24 годин.
Можливо, новин про взломи і витоки інформації в майбутньому стане набагато більше. Європейський Союз готує новий законопроект про захист приватних даних, відповідно до якого кожна компанія буде зобов’язана протягом 24 годин після взлому повідомити інформацію про витік даних постраждалим громадянам і компетентним органам Євросоюзу. У випадку приховання інформації компанія буде піддана адміністративному покаранню і штрафам, після розгляду справи у відповідному комітеті ЄС.
Цікава ідея ЄС, такий собі full disclosure, щоб стимулювати компанії не приховувати випадки взломів 
. Бажано, щоб вони зробили новий закон всеохоплючим, для того щоб він охоплював як взломи локальних мереж, так і веб сайтів, що належать як юридичним особам, так і фізичним особам. І після того як вони його приймуть, з часом ця практика дійде до України.
За повідомленням www.xakep.ru, статистика по фроду в 2011 році: кардери зняли $3,4 млрд. у магазинах США.
Процесінгова компанія CyberSource (підрозділ корпорації Visa) опублікувала звіт 2012 Online Fraud Report зі статистикою по кардерским операціях в Інтернеті. На перший погляд, кардерство йде на спад: частка фродових транзакцій в Інтернеті впала з 0,9% у 2010 році до 0,6% у 2011 році, тобто до мінімального рівня за останні 13 років, протягом яких проводилися виміри.
Однак, фродові транзакції по розміру виявилися більше звичайних, і тому частка шахрайства в загальному обороті інтернет-торгівлі в порівнянні з минулим роком виросла до 1,0%, хоча в цілому вона поступово знижується вже багато років.
За повідомленням www.xakep.ru, DreamHost взломаний, всіх просять поміняти паролі.
Черговою жертвою хакерів став великий американський хостінг-провайдер DreamHost. У корпоративному блозі опубліковане повідомлення про виявлення несанкціонованого доступу до бази даних хешей паролів FTP/Shell. При цьому компанія підкреслює, що в неї немає прямих доказів крадіжки користувацьких паролів, але компанія все-таки зробила примусове скидання паролів для всіх аккаунтів FTP/Shell.
Процедура скидання паролів почалася в суботу, 20 січня. На хостінгу DreamHost розміщується близько 1,22 млн. доменів.
Середа, 20:52 25.01.2012
Можу собi уявити як mail-сервера DreamHost через декiлька сот тис. листiв про вiдновлення пароля пiшли у спам blacklists
Середа, 22:04 25.01.2012
Urth
Ці хакери йшли на рекорд - у них був шанс вздрючити одразу до 1,22 мільйонів сайтів
.
Так, цілком могла статися така ситуація з mail-серверами DreamHost. Як мінімум їхні сервера з адмін-панеллю були заДоСені через наплив власників сайтів, що прийшли змінити паролі (про що повідомляється у вищезгаданій новині).
Середа, 22:15 25.01.2012
Ну може не мiльйон сайтiв, адже хеши це ще не паролi, але багато мали можливiсть хакнути.
От якщо б у хешах використовувалася сiль (salt), мабуть i потреби розголошувати цей випадок не було б.
Неділя, 23:38 29.01.2012
Я й мав на увазі “до 1,22 млн.” - від 0 до 1,22 млн. сайтів. Деякий відсоток паролів вони б підібрали швидко (і цілком можливо, що деякі сайти постраждали ще до того, як DreamHost почав змінювати паролі), а деякий відсоток підібрали б з часом. В цілому вийшла б чимала кількість сайтів, цілком навіть рекордна як для масових взломів.
Використання хешів провайдером дозволило зменшити наслідки цієї атаки, а якщо б хеши були з сіллю, то це ще б зменшило наслідки. Але слабкі паролі все рівно б підібрали.
Як це не розголошувати, а як же відкритість
. В цій же добірці новин я як раз писав про ініціативу ЄС щодо збільшення відкритості стосовно фактів взломів. DreamHost намагався зробити вигляд, що їх “не зовсім хакнули” і в неї немає прямих доказів крадіжки користувацьких паролів, але все таки взлом мав місце.
І завдяки відкритості компанії громадськість про це дізналася. Бо якщо б вони втихаря змінили паролі, без офіційних заяв з цього приводу (як багато хто робить, в тому числі в Україні), то люди могли б підняти шум і про інцидент все рівно стало б відомо.