•  

    Najważniejsze: jak ktoś używa tego samego hasła na #wykopots jak do innych serwisów/otsów/etc, to je zmieńcie.

    Po pierwsze:
    Osoba która podaje takie samo hasło na różnych OTSach (czy różnych portalach), sama prosi się o kłopoty - przekonał się o tym @vomar, który stacił konto na #wykopots, bo używał loginu i hasła, które latały w internecie od listopada 2015.
    Dodatkowo po pobieżnej analizie loginów w bazie danych, wynika, że większość z was niestety stosuje takie same, jak stosuje/stosował na realu (śmieszne cyferki które kiedyś były loginem). Nie jest to rozsądne rozwiązanie.

    Po drugie:
    W silnikach OTS, hasła przechowywane są z wykorzystaniem funkcji skrótu SHA1 - https://pl.wikipedia.org/wiki/SHA-1. Tak samo były przechowywane na mirkotsie, bo miałem dostęp do źródeł strony.
    Funkcja ta charakteryzuje się tym, że nie da się jej odwrócić (bardzo duże uproszczenie) - czyli tego co jest zapisane w bazie nie da się wykorzystać do logowania do #wykopots. Trzeba taki hash SHA1 zamienić z powrotem na hasło, co wymaga bardzo dużej mocy obliczeniowej (mierzonej w latach dla bardzo mocnego serwera i stosunkowo złożonego 9 znakowego hasła). Także jakiekolwiek hacki w przypadku gdy serwer nie był postawiony w celu łapania haseł i użytkownicy stosowali złożone hasła jest bardzo mało prawdopodobny.
    Tak samo były przechowywane na mirkots - wiem, bo miałem tam dostęp trochę większy niż większość ludzi.

    Po trzecie:
    Jeśli ktoś używał tego samego loginu i hasła na różnych serwerach, to łatwo sobie wyobrazić, że grał na serwerze kogoś, kto aktualnie gra na #wykopots i go nie lubi - w związku z czym mógł mieć jego hasło (przypominam, że raczej na pewno to nie marahin).

    Po czwarte:
    Z tego co widzę, to hacki były przeprowadzane z wykorzystaniem zagranicznych serwerów VPS/hostingowych. TOR jest na #wykopots wycięty od startu - najprawdopodobniej wytnę również wszystkie pule adresowe wszelkiego rodzaju DataCenter, co powinno w przyszłości ograniczyć takowe ataki (nikt nie będzie mógł użyć VPNa czy VPSa by ukryć swój prawdziwy adres IP).

    Po piąte:
    @programistalvlhard dostałeś info na priv, odezwij się.

    NieRoman.
    #wykopots