Неизвестные опубликовали базу данных с 773 млн почтовых адресов и 22 млн паролей, украденных за несколько лет Статьи редакции
Около 140 млн адресов и 10 млн паролей попали в сеть впервые, остальные уже публиковались раньше.
Неизвестные опубликовали базу данных, в которой 772,9 млн адресов электронной почты и более 21 млн паролей разных пользователей. Об этом рассказал австралийский эксперт в области информационной безопасности Трой Хант, нашедший базу.
Папка «Коллекция №1» (Collection №1) весом 87 ГБ была опубликована на облачном сервисе MEGA, а также на «популярном хакерском форуме», рассказал Хант. По его словам, база составлена из разных источников и включает утёкшие данные разных лет.
Специалист проверил набор через собственную базу ранее известных утечек и обнаружил, что большинство адресов электронной почты уже попадали в сеть ранее. Только 140 млн адресов и 10 млн паролей из найденной папки Хант не встречал раньше.
База могла быть создана специально для кражи учётных записей пользователей, полагает Хант: люди нередко используют одни и те же логины и пароли на разных сайтах, хакеры могут перебирать комбинации из базы, пока не найдут подходящее сочетание. Он отметил, что база доступна каждому — её не пытались спрятать в даркнете или выставить на продажу.
Проверить наличие своего почтового адреса в «Коллекции №1» можно через систему Have I Benn Pwned? (HIBP), которую поддерживает Хант. У него есть аналогичная система для проверки на предмет утечки паролей. Кроме этого, Хант рекомендует пользоваться менеджерами паролей — в частности, сервисом 1Password и его функцией «сторожевой башни», которая постоянно проверяет пароли пользователя по базе HIBP.
Я не эксперт в кибербезопасности, но разве это надёжно хранить ВСЕ свои логины и пароли в одном сервисе? Взломали сервис и все пиздык, забирай на блюдечке. Или как там все устроено?
Зашифрованная база паролей, которая хранится локально и синхронизируется через облачные сервисы. Я прямо сейчас могу отдать Вам свой файл с паролями, и Вы оттуда ничего не сможете достать (учитывая, что у меня надёжный пароль).
Есть и облачное хранилище, но это для тех, кто не боится взлома.
Ну я не смогу, а хакер, который умнее кибербезопасников из 1Password сможет, не?
Не сможет, если не знает ключ и ключ достаточно длинный. Для перебора понадобится так много вычислений/времени, что он вообще не имеет смысла. И умные математики доказали, что нет способа расшифровать это без перебора.
Ну да про ключ я в принципе знаю, сам пользовался оффлайн "хранилищами" когда-то. Я не знал просто, как обеспечивается безопасность на сервисах типа 1Password.
Ну дык у них основной продукт — это как раз оффлайн-хранилище. Сервис вообще сбоку ну и да, подвержен всем обычным проблемам, в том числе возможности утечки.