Недозакрытая уязвимость на Amazon.com

Обнаружена неполностью закрытая уязвимость в парольной защите интернет-портала Amazon.com. Для обеспечения совместимости со старыми механизмами парольной защиты, разработчики Amazon.com оставили старый алгоритм проверки пароля для давно установленных паролей. Т.е. при смене пароля или при регистрации нового пользователя, пароль обрабатывается новой системой парольной защиты, которая не содержит обнаруженной уязвимости.

Уязвимость заключается в отсутствие проверки регистра вводимых символов пароля, при этом возможно частичное совпадение пароля до 8 первых символов. Ослабленная таким образом парольная защита достаточно уязвима для злоумышленников, так как количество комбинаций пароля существенно уменьшается, что сокращает время на подбор пароля, как по словарю, так и прямым перебором. По предположению, уязвимость обусловлена использованием старого варианта Unix-функции "crypt()" с возведением всех символов пароля в верхний регистр, которая будет соответствовать обнаруженным симптомам уязвимости. Для защиты аккаунта рекомендуется произвести смену пароля в личном кабинете Amazon.com.

31/01/11
http://www.xakep.ru/post/54645/