<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Thu, Sep 10, 2015 at 10:16 PM, Ray Dillinger <span dir="ltr"><<a href="mailto:bear@sonic.net" target="_blank">bear@sonic.net</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="HOEnZb"><div class="h5"><br>
<br>
On 09/10/2015 09:42 PM, Tony Arcieri wrote:<br>
> tl;dr: they cracked MD5 digests instead. The MD5 version was downcased.<br>
> Once recovering the downcased password, they recovered the case sensitive<br>
> version by brute forcing all possible case variants against the bcrypt<br>
> digests.<br>
><br>
<br>
</div></div>They've cracked 11.2 million accounts "so far".  I'm completely stunned<br>
that Ashley Madison had 11.2 million accounts i<br></blockquote><div> </div><div>Some reports say many of the accounts were fabrications.   i.e. Some 95% of the female accounts were fabricated.</div><div>Fabrications or not this is amazing.</div><div>With so many fabrications one wonders if this attack could be used to identify the real accounts.</div><div>Identifying the real accounts (eliminating the 95% false accounts) further amplifies efforts</div><div>to expose real user accounts+info.</div><div><br></div><div>This is still amazing at many levels.</div></div><br><br clear="all"><div><br></div>-- <br><div class="gmail_signature"><div dir="ltr">  T o m    M i t c h e l l</div></div>
</div></div>