Egy Cambridge-i biztonság-technikus véletlen fölfedezte, hogy a Google-lel meg lehet keresni a jelszavakat. Keresd meg te is tied!

Novemberben föltörték a Cambridge egyetem biztonsági informatikusainak blogját, a Light Blue Touchpaper-t. A behatoló egy korábban ismeretlen sebezhetőségét használta ki a Worldpress blog tudonynak (software). Egy használaton kívüli alapértelmezett adminisztrátori szintű fölhasználói fiókhoz fért hozzá. Itt létrehozott egy külön fölhasználói fiókot saját magának. Miután fölfedezték a behatolást, helyreállították a rendszert, törölték a fiókot. Az egyik informatikus azonban mikor törölni akarta a fiókot, elgondolkodott. Mi lehetett a jelszava a behatolónak?

Egy biztonsági alapelv megakadályozza, hogy fölhasználó neveket és jelszavakat kilistázzon bárki. A jelszavakat a rendszer bevitelnél egyből titkosítja. A titkosítást egy algoritmus végzi, amely átalakítja a beírt karaktereket egy hosszú kóddá. A Worldpress által használt algoritmus neve MD5. Egy irányban működik csak, a beazonosítást a már kódolt változatokkal végzi, tehát amikor belépünk a jelszavunkkal, azt is egyből kódolja, és a tárolt kódolt jelszóval veti össze.

A titkosított jelszavak már kilistázhatóak. A behatoló jelszavának titkosított változata ez:

20f1aeb7819d7858684c898d1e98c1bb

Az informatikus csak próbaképpen rákeresett erre a kódra a Google-lel, és a kereső szépen ki is hozta az eredményt: a behatoló jelszava Anthony volt.

Bárki kipróbálhatja maga is itt, hogy mi a titkosított változata a jelszavának, és az itt kapott kódot megkeresheti a Google-lel.

Így tehát ha valaki föltör egy oldalt, onnan ki tudja másolni a titkosított jelszavakat, azokat pedig egyszerűen a Google segítségével dekódolhatja.