Propust na sajtu Amazon.com: prijavljivanje na nalog sa različitim lozinkama

Vesti, 01.02.2011, 09:11 AM

Prema pisanju sajta Wired.com, propust u bezbednosti sajta Amazon.com omogućava pojedinim korisnicima prijavljivanje pomoću različitih lozinki koje su slične ali ne i iste sa prvaom lozinkom.

Propust kao ispravne tretira lozinke koje imaju dodatne karaktere pored minimalnih osam karaktera obaveznih prilikom kreiranja lozinke.

Primera radi, ukoliko je tačna lozinka “Password”, sajt Amazon.com dopušta prijavljivanje na korisnički nalog i sa sledećim varijacijama ove lozinke: “PASSWORD,” “password,” “passwordpassword,” i “password12345”.

Međutim, izgleda da propust pogađa jedino starije naloge na Amazon.com, čije lozinke nisu menjane godinama unazad.

Amazon nije želeo da komentariše pisanja sajtova Wired i Reddit kojem je propust prvi put prijavljen.

Oni koji su pogođeni ovim propustom, vlasnici naloga sa starim lozinkama, treba da se prijave sa svojom lozinkom na nalog na Amazon.com i da promene lozinku.

Moguće je da je Amazon koristio unix crypt() funkciju za šifrovanje starijih lozinki, konvertujući ih u velika slova, pre odpremanja na svoje servere. Crypt() skraćuje duže lozinke, dobacujući sve dodatne karaktere posle minimalnih osam. Pored toga, krekovanje ovakvih lozinki je relativno lako što je pokazao slučaj Gwalker Media kada su hakeri objavili njihovu bazu lozinki koje su bile kodirane na ovakav način.