Офтоп Albert Khabibrakhimov
17 490

Неизвестные опубликовали базу данных с 773 млн почтовых адресов и 22 млн паролей, украденных за несколько лет

Около 140 млн адресов и 10 млн паролей попали в сеть впервые, остальные уже публиковались раньше.

В закладки
Аудио

Неизвестные опубликовали базу данных, в которой 772,9 млн адресов электронной почты и более 21 млн паролей разных пользователей. Об этом рассказал австралийский эксперт в области информационной безопасности Трой Хант, нашедший базу.

Папка «Коллекция №1» (Collection №1) весом 87 ГБ была опубликована на облачном сервисе MEGA, а также на «популярном хакерском форуме», рассказал Хант. По его словам, база составлена из разных источников и включает утёкшие данные разных лет.

Специалист проверил набор через собственную базу ранее известных утечек и обнаружил, что большинство адресов электронной почты уже попадали в сеть ранее. Только 140 млн адресов и 10 млн паролей из найденной папки Хант не встречал раньше.

База могла быть создана специально для кражи учётных записей пользователей, полагает Хант: люди нередко используют одни и те же логины и пароли на разных сайтах, хакеры могут перебирать комбинации из базы, пока не найдут подходящее сочетание. Он отметил, что база доступна каждому — её не пытались спрятать в даркнете или выставить на продажу.

Проверить наличие своего почтового адреса в «Коллекции №1» можно через систему Have I Benn Pwned? (HIBP), которую поддерживает Хант. У него есть аналогичная система для проверки на предмет утечки паролей. Кроме этого, Хант рекомендует пользоваться менеджерами паролей — в частности, сервисом 1Password и его функцией «сторожевой башни», которая постоянно проверяет пароли пользователя по базе HIBP.

#новость #безопасность #утечкиданных

{ "author_name": "Albert Khabibrakhimov", "author_type": "editor", "tags": ["\u0443\u0442\u0435\u0447\u043a\u0438\u0434\u0430\u043d\u043d\u044b\u0445","\u043d\u043e\u0432\u043e\u0441\u0442\u044c","\u043d\u043e\u0432\u043e\u0441\u0442\u0438","\u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u044c"], "comments": 83, "likes": 59, "favorites": 52, "is_advertisement": false, "subsite_label": "flood", "id": 55762, "is_wide": false, "is_ugc": false, "date": "Thu, 17 Jan 2019 15:48:31 +0300" }
{ "id": 55762, "author_id": 53259, "diff_limit": 1000, "urls": {"diff":"\/comments\/55762\/get","add":"\/comments\/55762\/add","edit":"\/comments\/edit","remove":"\/admin\/comments\/remove","pin":"\/admin\/comments\/pin","get4edit":"\/comments\/get4edit","complain":"\/comments\/complain","load_more":"\/comments\/loading\/55762"}, "attach_limit": 2, "max_comment_text_length": 5000, "subsite_id": 199791, "possessions": [] }

83 комментария 83 комм.

Популярные

По порядку

Написать комментарий...
57

Чтобы узнать, есть ли ваши данные в этой базе, введите свою почту и пароль

Ответить
7

В качестве ответа на запрос "Теперь есть"

Ответить
7

Я не эксперт в кибербезопасности, но разве это надёжно хранить ВСЕ свои логины и пароли в одном сервисе? Взломали сервис и все пиздык, забирай на блюдечке. Или как там все устроено?

Ответить
2

Зашифрованная база паролей, которая хранится локально и синхронизируется через облачные сервисы. Я прямо сейчас могу отдать Вам свой файл с паролями, и Вы оттуда ничего не сможете достать (учитывая, что у меня надёжный пароль).

Есть и облачное хранилище, но это для тех, кто не боится взлома.

Ответить
4

А давайте прямо сюда.

Ответить
0

Кто взломает, тому плюсик.

Ответить
0

Ну я не смогу, а хакер, который умнее кибербезопасников из 1Password сможет, не?

Ответить
2

Да здесь не нужно быть гением, чтобы зашифровать файл ключом. Если у вас файл зашифрован достаточно длинным ключом с помощью какого-нибудь AES, как здесь чей-то ум поможет вам расшифровать этот файл?

Ответить
10

ну там это, хакер умнее же

Ответить
0

Ах, мистический «хакер», который все умеет взламывать, я забыл))

Ответить
1

Зачем мистический? Вполне конкретный...

Ответить
0

Тот самый "русский хакер"

Ответить
2

Ну ум это образно конечно. Есть ещё другая сторона монеты. Все эти файлики с данными и с ключом к файлику могут утечь или их тупо можно продать и сказать, что "хакеры украли". Опять не? Может я преувеличиваю конечно и немного паранойю, но в целом идея хранить все твои логины и пароли в одном месте, даже в супер-защищенном как-то не внушает доверия.

Это как хранить все сбережения в одном банке, если у тебя много этих сбережений.

Ответить
–1

Вы бы прежде чем такое писать, хоть Википедию почитали бы, позорище

Ответить
3

Эх, не оправдал ожиданий человека, который получает знания с википедии, как же так.

Ответить
0

Я смотрю вам хватает только видеоблогов от сообщества плоскоземельцев. Умный хакер придет и шифрование поломает, данные продадут, наверное ещё и миром правят рептилоиды? Не забудьте шапочку из фольги надеть

Ответить
0

Каких видеоблогов вы о чем?) Что-то о наболевшем? Про шапочку очень оригинально, прям шутка года)))
Идите получайте знания где-нибудь на фейсбуке, там же никогда никакие данные не утекают. Или погуглить что-нибудь, там же никакую информацию о вас не продают.

А и тем более очень иронично в целом и глупо для вас так умничать в теме, где заголовок "украли 22 миллиона паролей". Наверное потому, что они их не шифровали, а пароли там все типа qwerty12345?

Ответить
1

так можно сказать про любой сервис

Ответить
0

Ну да, 1Password просто в пример.

Ответить
1

как ниже написали, шифрование это не та область где выигрывает тот, кто умнее

Ответить
1

В мире можно взломать все что угодно вопрос только целесообразности и времени.
Не думаю, что злоумышленники готовы на расшифровку ваших данных тратить недели или месяцы. А если там действительно, что-то гос важное лежит, то тут никакой шифратор не поможет, только отключение от инета, как собственно и делают в гос учереждениях.

Ответить
0

Не сможет, если не знает ключ и ключ достаточно длинный. Для перебора понадобится так много вычислений/времени, что он вообще не имеет смысла. И умные математики доказали, что нет способа расшифровать это без перебора.

Ответить
0

Ну да про ключ я в принципе знаю, сам пользовался оффлайн "хранилищами" когда-то. Я не знал просто, как обеспечивается безопасность на сервисах типа 1Password.

Ответить
0

Ну дык у них основной продукт — это как раз оффлайн-хранилище. Сервис вообще сбоку ну и да, подвержен всем обычным проблемам, в том числе возможности утечки.

Ответить
0

Ажан, выкладывайте.
Посмотрим что там за пароли

Ответить
1

Это надёжнее чем любые другие адекватные варианты.

Ответить
0

Смотря что хранить конечно. Самые важные логины и пароли я храню в голове. Их несколько, так что не забуду.

Ответить
0

Сейчас не забываете. Через джва года захотите вспомнить что-то чем не пользовались - и никак.

Если держать что-то в голове, снижается общее количество и сложность паролей.
Проще на каждый сайт и сервис генерировать уникальный и складывать его в хранилище, а в голове держать только пароль к хранилищу.

Ответить
3

Что общее количество и сложность паролей снижается согласен. А если хранилище через два года на*бнется? Ну просто какой-то технический пздц настанет ему, такое же возможно? Что тогда? Хранить ещё и у себя копию файлика со всеми пароля?

Ответить
3

Продвинутые хранилки дают возможность делать бекап в облако/к тебе на пеку.

Можно не использовать онлайновые, а юзать оффлайновые, например keepass.
Но тут уже ответственность юзера: как не просрать своё хранилище.
Например, положить его в облако. Даже если злой хакир утащит, расшифровать не сможет, если пароль сложный (или файл-ключ)

Ответить
1

Достаточно знать свой метод шифровки паролей. Тогда можно не заморачиваться с сервисами. Держать метод в голове :)

Ответить
0

В голове вы храните то что смогли запомнить, а это чаще всего в лучшем случае перебором по словарю или rainbow tables подбирается, в худшем случае прямым перебором.

Ответить
0

Нет, у меня слова, которых в природе не существует.

Ответить
0

Например?)

Ответить
0

Например, путенлох.

Ответить
0

В пироде ен щусествует.

Ответить
0

Насколько я знаю, 1Password умеет делать локальные базы

Ответить
0

Я не эксперт в кибербезопасности от слова совсем.

Ответить
0

Устроено чуть сложнее, но для примера софт для восстановления паролей на локальной машине - http://launcher.nirsoft.net/downloads/index.html

Ответить
4

Такое ощущение, что рекламный ход для покупки 1Password...

Ответить
3

Да, мы в курсе :(

Ответить
–1

А система проверки, есть ли там твой адрес работает так:

- вводишь свой электронный адрес
- система проверяет есть ли он в базе
- если есть, то говорит, что он там есть
- если нет, то говорит, что нет и добавляет его в базу

Ответить
5

и в чем логика? без пароля имейл бесполезен, разве только спам слать можно

Ответить
0

Ну да, один из вариантов это для рекламных целей. Но это только один из вариантов.

Ответить
0

без пароля имейл бесполезен, разве только спам слать можно

Если образно, то представьте, что имейл - дверной звонок, а пароль - ключ от квартиры где девки визжат. Приходит злоумышленник, нажимает на кнопку звонка "проверка газовых счётчиков", тут ему и открывают...

Ответить
0

разве только спам слать можно

о чем я, собственно, и написал

Ответить
0

Как раз я о другом. Что почты достаточно для получения доступа к аккаунту: социальная инженерия, фишинговые ссылки и прочее. Достаточно простой скрипт может анализировать базу на живучесть адресов, присутствие в сетях и сервисах. Классифицировать аккаунты и уже использовать эти данные для рассылки, получения доступа к аккаунту, другим сервисам. Почта - это ниточка за которую можно развернуть очень хороший клубок. Ну а с паролем вообще конфетка. Даже старый может помочь, он вполне может оказаться одним (или схожим) для нескольких сервисов.

Ответить
0

Наличие адреса не дает 100% гарантии получения пароля от него, иначе почту не писали бы на визитках и не публиковали на сайтах.

При соблюдении правил безопасности, попадание почты (без пароля) в какую-либо базу приводит только к неудобствам в виде спама.

Ответить
0

Не даёт, согласен.

Ответить
0

В какую базу? HIBP много лет, это пока единственное нормальное место трекинга сливов. Подписался на рассылку ещё года 4 назад и только благодаря им узнал что были сливы где участвовали мои данные.

Ответить
0

А что если он этим способом проверяет какие акаунты утилизируются а какие нет? В этой базе же куча мертвых аккаунтов, но если человек пройдет по ссылке и проверит свой мэйл то значит его есть смысл хакать?

Ответить
2

Куда пройдет? Кто хакать будет ? HIBP создан безопасником чтобы другим было проще отслеживать возникающие сливы.

Поразительно как люди в первый раз узнав о том что успешно работает годами начинают строить умопомрачительные теории заговора на пустом месте.

Ответить
0

спорно, ибо я проверял даже мертвые аккаунты (в итоге только они и pwned)

Ответить
0

стремно даже ходить проверять на сайт, закинул туда почту свою, понадобилось - они каким нить хитрым фишингом достали и ... не то, что бы моя почта нужна кому то была, но ...

Ответить
4

Можно друга попросить проверить вашу почту)))

Ответить
–2

рай для SMM-щика. Это же рассылку по адресам можно делать на миллионы.

Ответить
3

Многие нигерийские принцы и делают.

Ответить
1

релевантность сомнительная только))

Ответить
0

А толку от такой рассылки?)

Ответить
1

А ссылку на скачивание?

Ответить
–3

Орфошибка:
База могла быть создана специальна

Ответить
3

Ctrl+Enter

Ответить
0

Спасибо, а то я думаю, чё меня минусуют...

Ответить
0

Жалко в приложухе нельзя отправлять отчёт об ошибках :(

Ответить
0

С веба без клавы тоже нельзя.

Ответить
–1

Не кто не подскажет, что за форум😏😏

Ответить
0

Если найдёте ссылку, расскажите пожалуйста где нашли :)

Ответить
2

так на сайте же https://haveibeenpwned.com/Passwords
торрент скачивайте

Ответить
1

вниз прокрутите

Ответить
0

Так там же просто пароли. Хочется ещё и с имейлом

Ответить
0

Паролей там нет.

В архивах хранятся sha1 от паролей, чтобы вы могли относительно безопасно проверить, утекли ли ваши qwerty и 123456789 в сеть или нет.

Ответить
0

а где сама база то?) я бы скачал)

Ответить
0

База весит около 600 гб и очень много мусора и неструктурированной информации.

Исследователю пришлось потратить 15 тысяч долларов на облачный сервер, чтобы структурировать данные.

Ну а ссылки можно поискать в комментариях к статье на Хабре.

Ответить
0

неизвестные

1password на главной странице совсем не палятся)

Ответить
0

мой пароль был украден и в настройках акка был открыт доступ для симиларвеб. похоже вот она дырка

Ответить
0

вводи что угодно все равно pwned

Ответить
0

Поделитесь пожалуйста ссылкой на этот форум

Ответить
0

Если ты не можешь найти ссылку на форум, то, скорее всего, тебе это и не надо.

А форум всё равно только по инвайтам ;)

Ответить

0
{ "page_type": "article" }

Прямой эфир

[ { "id": 1, "label": "100%×150_Branding_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox_method": "createAdaptive", "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfl" } } }, { "id": 2, "label": "1200х400", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfn" } } }, { "id": 3, "label": "240х200 _ТГБ_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fizc" } } }, { "id": 4, "label": "240х200_mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "flbq" } } }, { "id": 5, "label": "300x500_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfk" } } }, { "id": 6, "label": "1180х250_Interpool_баннер над комментариями_Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "ffyh" } } }, { "id": 7, "label": "Article Footer 100%_desktop_mobile", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjxb" } } }, { "id": 8, "label": "Fullscreen Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjoh" } } }, { "id": 9, "label": "Fullscreen Mobile", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjog" } } }, { "id": 10, "disable": true, "label": "Native Partner Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyb" } } }, { "id": 11, "disable": true, "label": "Native Partner Mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyc" } } }, { "id": 12, "label": "Кнопка в шапке", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "p1": "bscsh", "p2": "fdhx" } } }, { "id": 13, "label": "DM InPage Video PartnerCode", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox_method": "createAdaptive", "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "flvn" } } }, { "id": 14, "label": "Yandex context video banner", "provider": "yandex", "yandex": { "block_id": "VI-223676-0", "render_to": "inpage_VI-223676-0-1104503429", "adfox_url": "//ads.adfox.ru/228129/getCode?pp=h&ps=bugf&p2=fpjw&puid1=&puid2=&puid3=&puid4=&puid8=&puid9=&puid10=&puid21=&puid22=&puid31=&puid32=&puid33=&fmt=1&dl={REFERER}&pr=" } }, { "id": 15, "label": "Плашка на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byudx", "p2": "ftjf" } } }, { "id": 16, "label": "Кнопка в шапке мобайл", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byzqf", "p2": "ftwx" } } }, { "id": 17, "label": "Stratum Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fzvb" } } }, { "id": 18, "label": "Stratum Mobile", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fzvc" } } }, { "id": 19, "label": "Тизер на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "p1": "cbltd", "p2": "gazs" } } } ]
Хакеры смогли обойти двухфакторную
авторизацию с помощью уговоров
Подписаться на push-уведомления
{ "page_type": "default" }