vc.ru ищет PHP Middle разработчика

Неизвестные опубликовали базу данных с 773 млн почтовых адресов и 22 млн паролей, украденных за несколько лет Материал редакции

Около 140 млн адресов и 10 млн паролей попали в сеть впервые, остальные уже публиковались раньше.

В закладки
Слушать

Неизвестные опубликовали базу данных, в которой 772,9 млн адресов электронной почты и более 21 млн паролей разных пользователей. Об этом рассказал австралийский эксперт в области информационной безопасности Трой Хант, нашедший базу.

Папка «Коллекция №1» (Collection №1) весом 87 ГБ была опубликована на облачном сервисе MEGA, а также на «популярном хакерском форуме», рассказал Хант. По его словам, база составлена из разных источников и включает утёкшие данные разных лет.

Специалист проверил набор через собственную базу ранее известных утечек и обнаружил, что большинство адресов электронной почты уже попадали в сеть ранее. Только 140 млн адресов и 10 млн паролей из найденной папки Хант не встречал раньше.

База могла быть создана специально для кражи учётных записей пользователей, полагает Хант: люди нередко используют одни и те же логины и пароли на разных сайтах, хакеры могут перебирать комбинации из базы, пока не найдут подходящее сочетание. Он отметил, что база доступна каждому — её не пытались спрятать в даркнете или выставить на продажу.

Проверить наличие своего почтового адреса в «Коллекции №1» можно через систему Have I Benn Pwned? (HIBP), которую поддерживает Хант. У него есть аналогичная система для проверки на предмет утечки паролей. Кроме этого, Хант рекомендует пользоваться менеджерами паролей — в частности, сервисом 1Password и его функцией «сторожевой башни», которая постоянно проверяет пароли пользователя по базе HIBP.

{ "author_name": "Альберт Хабибрахимов", "author_type": "editor", "tags": ["\u0443\u0442\u0435\u0447\u043a\u0438\u0434\u0430\u043d\u043d\u044b\u0445","\u043d\u043e\u0432\u043e\u0441\u0442\u044c","\u043d\u043e\u0432\u043e\u0441\u0442\u0438","\u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u044c"], "comments": 83, "likes": 59, "favorites": 49, "is_advertisement": false, "subsite_label": "flood", "id": 55762, "is_wide": false, "is_ugc": false, "date": "Thu, 17 Jan 2019 15:48:31 +0300", "is_special": false }
Маркетинг
Логотип, сайт или ролик? На что малому бизнесу в первую очередь тратить деньги в маркетинге
Маркетинг в малом бизнесе часто напоминает хаотичный перебор разных инструментов в попытке дешево повторить дорогие…
Объявление на vc.ru
0
83 комментария
Популярные
По порядку
Написать комментарий...
57

Чтобы узнать, есть ли ваши данные в этой базе, введите свою почту и пароль

Ответить
7

В качестве ответа на запрос "Теперь есть"

Ответить
7

Я не эксперт в кибербезопасности, но разве это надёжно хранить ВСЕ свои логины и пароли в одном сервисе? Взломали сервис и все пиздык, забирай на блюдечке. Или как там все устроено?

Ответить
2

Зашифрованная база паролей, которая хранится локально и синхронизируется через облачные сервисы. Я прямо сейчас могу отдать Вам свой файл с паролями, и Вы оттуда ничего не сможете достать (учитывая, что у меня надёжный пароль).

Есть и облачное хранилище, но это для тех, кто не боится взлома.

Ответить
4

А давайте прямо сюда.

Ответить
0

Кто взломает, тому плюсик.

Ответить
0

Ну я не смогу, а хакер, который умнее кибербезопасников из 1Password сможет, не?

Ответить
2

Да здесь не нужно быть гением, чтобы зашифровать файл ключом. Если у вас файл зашифрован достаточно длинным ключом с помощью какого-нибудь AES, как здесь чей-то ум поможет вам расшифровать этот файл?

Ответить
10

ну там это, хакер умнее же

Ответить
0

Ах, мистический «хакер», который все умеет взламывать, я забыл))

Ответить
1

Зачем мистический? Вполне конкретный...

Ответить
0

Тот самый "русский хакер"

Ответить
2

Ну ум это образно конечно. Есть ещё другая сторона монеты. Все эти файлики с данными и с ключом к файлику могут утечь или их тупо можно продать и сказать, что "хакеры украли". Опять не? Может я преувеличиваю конечно и немного паранойю, но в целом идея хранить все твои логины и пароли в одном месте, даже в супер-защищенном как-то не внушает доверия.

Это как хранить все сбережения в одном банке, если у тебя много этих сбережений.

Ответить
–1

Вы бы прежде чем такое писать, хоть Википедию почитали бы, позорище

Ответить
3

Эх, не оправдал ожиданий человека, который получает знания с википедии, как же так.

Ответить
0

Я смотрю вам хватает только видеоблогов от сообщества плоскоземельцев. Умный хакер придет и шифрование поломает, данные продадут, наверное ещё и миром правят рептилоиды? Не забудьте шапочку из фольги надеть

Ответить
0

Каких видеоблогов вы о чем?) Что-то о наболевшем? Про шапочку очень оригинально, прям шутка года)))
Идите получайте знания где-нибудь на фейсбуке, там же никогда никакие данные не утекают. Или погуглить что-нибудь, там же никакую информацию о вас не продают.

А и тем более очень иронично в целом и глупо для вас так умничать в теме, где заголовок "украли 22 миллиона паролей". Наверное потому, что они их не шифровали, а пароли там все типа qwerty12345?

Ответить
1

так можно сказать про любой сервис

Ответить
0

Ну да, 1Password просто в пример.

Ответить
1

как ниже написали, шифрование это не та область где выигрывает тот, кто умнее

Ответить
1

В мире можно взломать все что угодно вопрос только целесообразности и времени.
Не думаю, что злоумышленники готовы на расшифровку ваших данных тратить недели или месяцы. А если там действительно, что-то гос важное лежит, то тут никакой шифратор не поможет, только отключение от инета, как собственно и делают в гос учереждениях.

Ответить
0

Не сможет, если не знает ключ и ключ достаточно длинный. Для перебора понадобится так много вычислений/времени, что он вообще не имеет смысла. И умные математики доказали, что нет способа расшифровать это без перебора.

Ответить
0

Ну да про ключ я в принципе знаю, сам пользовался оффлайн "хранилищами" когда-то. Я не знал просто, как обеспечивается безопасность на сервисах типа 1Password.

Ответить
0

Ну дык у них основной продукт — это как раз оффлайн-хранилище. Сервис вообще сбоку ну и да, подвержен всем обычным проблемам, в том числе возможности утечки.

Ответить
0

Ажан, выкладывайте.
Посмотрим что там за пароли

Ответить
1

Комментарий удален по просьбе пользователя

Ответить
0

Смотря что хранить конечно. Самые важные логины и пароли я храню в голове. Их несколько, так что не забуду.

Ответить
0

Комментарий удален по просьбе пользователя

Ответить
3

Что общее количество и сложность паролей снижается согласен. А если хранилище через два года на*бнется? Ну просто какой-то технический пздц настанет ему, такое же возможно? Что тогда? Хранить ещё и у себя копию файлика со всеми пароля?

Ответить
1

Достаточно знать свой метод шифровки паролей. Тогда можно не заморачиваться с сервисами. Держать метод в голове :)

Ответить
0

В голове вы храните то что смогли запомнить, а это чаще всего в лучшем случае перебором по словарю или rainbow tables подбирается, в худшем случае прямым перебором.

Ответить
0

Нет, у меня слова, которых в природе не существует.

Ответить
0

Например?)

Ответить
0

Например, путенлох.

Ответить
0

В пироде ен щусествует.

Ответить
0

Насколько я знаю, 1Password умеет делать локальные базы

Ответить
0

Я не эксперт в кибербезопасности от слова совсем.

Ответить
0

Устроено чуть сложнее, но для примера софт для восстановления паролей на локальной машине - http://launcher.nirsoft.net/downloads/index.html

Ответить
4

Такое ощущение, что рекламный ход для покупки 1Password...

Ответить
3

Да, мы в курсе :(

Ответить
–1

А система проверки, есть ли там твой адрес работает так:

- вводишь свой электронный адрес
- система проверяет есть ли он в базе
- если есть, то говорит, что он там есть
- если нет, то говорит, что нет и добавляет его в базу

Ответить
5

и в чем логика? без пароля имейл бесполезен, разве только спам слать можно

Ответить
0

Ну да, один из вариантов это для рекламных целей. Но это только один из вариантов.

Ответить
0

без пароля имейл бесполезен, разве только спам слать можно

Если образно, то представьте, что имейл - дверной звонок, а пароль - ключ от квартиры где девки визжат. Приходит злоумышленник, нажимает на кнопку звонка "проверка газовых счётчиков", тут ему и открывают...

Ответить
0

разве только спам слать можно

о чем я, собственно, и написал

Ответить
0

Как раз я о другом. Что почты достаточно для получения доступа к аккаунту: социальная инженерия, фишинговые ссылки и прочее. Достаточно простой скрипт может анализировать базу на живучесть адресов, присутствие в сетях и сервисах. Классифицировать аккаунты и уже использовать эти данные для рассылки, получения доступа к аккаунту, другим сервисам. Почта - это ниточка за которую можно развернуть очень хороший клубок. Ну а с паролем вообще конфетка. Даже старый может помочь, он вполне может оказаться одним (или схожим) для нескольких сервисов.

Ответить
0

Наличие адреса не дает 100% гарантии получения пароля от него, иначе почту не писали бы на визитках и не публиковали на сайтах.

При соблюдении правил безопасности, попадание почты (без пароля) в какую-либо базу приводит только к неудобствам в виде спама.

Ответить
0

Не даёт, согласен.

Ответить
0

В какую базу? HIBP много лет, это пока единственное нормальное место трекинга сливов. Подписался на рассылку ещё года 4 назад и только благодаря им узнал что были сливы где участвовали мои данные.

Ответить
0

А что если он этим способом проверяет какие акаунты утилизируются а какие нет? В этой базе же куча мертвых аккаунтов, но если человек пройдет по ссылке и проверит свой мэйл то значит его есть смысл хакать?

Ответить
2

Куда пройдет? Кто хакать будет ? HIBP создан безопасником чтобы другим было проще отслеживать возникающие сливы.

Поразительно как люди в первый раз узнав о том что успешно работает годами начинают строить умопомрачительные теории заговора на пустом месте.

Ответить
0

спорно, ибо я проверял даже мертвые аккаунты (в итоге только они и pwned)

Ответить
0

стремно даже ходить проверять на сайт, закинул туда почту свою, понадобилось - они каким нить хитрым фишингом достали и ... не то, что бы моя почта нужна кому то была, но ...

Ответить
4

Можно друга попросить проверить вашу почту)))

Ответить
–2

рай для SMM-щика. Это же рассылку по адресам можно делать на миллионы.

Ответить
3

Многие нигерийские принцы и делают.

Ответить
1

релевантность сомнительная только))

Ответить
0

А толку от такой рассылки?)

Ответить
1

А ссылку на скачивание?

Ответить
1
Ответить
–3

Орфошибка:
База могла быть создана специальна

Ответить
3

Ctrl+Enter

Ответить
0

Спасибо, а то я думаю, чё меня минусуют...

Ответить
0

Жалко в приложухе нельзя отправлять отчёт об ошибках :(

Ответить
0

С веба без клавы тоже нельзя.

Ответить
–1

Не кто не подскажет, что за форум😏😏

Ответить
0

Если найдёте ссылку, расскажите пожалуйста где нашли :)

Ответить
2

так на сайте же https://haveibeenpwned.com/Passwords
торрент скачивайте

Ответить
1

вниз прокрутите

Ответить
0

Так там же просто пароли. Хочется ещё и с имейлом

Ответить
0

Паролей там нет.

В архивах хранятся sha1 от паролей, чтобы вы могли относительно безопасно проверить, утекли ли ваши qwerty и 123456789 в сеть или нет.

Ответить
0

а где сама база то?) я бы скачал)

Ответить
0

База весит около 600 гб и очень много мусора и неструктурированной информации.

Исследователю пришлось потратить 15 тысяч долларов на облачный сервер, чтобы структурировать данные.

Ну а ссылки можно поискать в комментариях к статье на Хабре.

Ответить
0

неизвестные

1password на главной странице совсем не палятся)

Ответить
0

мой пароль был украден и в настройках акка был открыт доступ для симиларвеб. похоже вот она дырка

Ответить
0

вводи что угодно все равно pwned

Ответить
0

Поделитесь пожалуйста ссылкой на этот форум

Ответить
0

Если ты не можешь найти ссылку на форум, то, скорее всего, тебе это и не надо.

А форум всё равно только по инвайтам ;)

Ответить

Комментарий удален

Комментарий удален

Комментарии