Wachtwoorden hebben bij medianetwerk Gawker weer voor problemen gezorgd, zo ontdekte beveiligingsonderzoeker Joseph Bonneau. Gawker, bekend van Gizmodo en Lifehacker, lekte vorig jaar de gegevens van 1,3 miljoen gebruikers. Daarnaast versleutelde het alleen de eerste acht karakters van wachtwoorden, iets wat al sinds 2008 bekend was. De problemen waren nog niet voorbij, want Bonneau ontdekte dat de website wachtwoorden met niet-ASCII-tekens helemaal niet verwerkte. Alle niet-ASCII-tekens werden in een vraagteken veranderd voordat ze gehasht werden. Onder andere Georgische en Koreaanse gebruikers waren daardoor kwetsbaar voor aanvallers die alleen een reeks vraagtekens hoefden te raden.
Het probleem bij Gawker bevond zich in de jBCrypt library, waarvan het bekend was dat het vraagtekens voor niet-ASCII-tekens gebruikte. Bonneau rapporteerde het probleem twee weken geleden, waarna het binnen drie dagen werd opgelost. Gawker plaatste zelfs een bericht op Gizmodo, maar potentieel getroffen gebruikers werden niet gedwongen om hun wachtwoord te wijzigen, iets wat Gawker ook niet deed bij het lek van de 1,3 miljoen gebruikersgegevens in december. "Het is vergezocht dat de meeste gebruikers het Gizmodo-artikel vinden, het begrijpen en actie ondernemen. Ze hadden gedwongen moeten worden om het wachtwoord te wijzigen", aldus de onderzoeker.
Die merkt wel op dat het een klein probleem betreft. Via een brute-force aanval bepaalde Bonneau dat 1 op de 50.000 gebruikers een wachtwoord had dat geheel uit niet-Latijnse karakters bestaat. "Het valt te bezien welke andere kwetsbaarheden bestaan in het hashen van wachtwoorden en encoderen van karakters."
Deze posting is gelocked. Reageren is niet meer mogelijk.