Неизвестные опубликовали базу данных с 773 млн почтовых адресов и 22 млн паролей, украденных за несколько лет Статьи редакции
Около 140 млн адресов и 10 млн паролей попали в сеть впервые, остальные уже публиковались раньше.
Неизвестные опубликовали базу данных, в которой 772,9 млн адресов электронной почты и более 21 млн паролей разных пользователей. Об этом рассказал австралийский эксперт в области информационной безопасности Трой Хант, нашедший базу.
Папка «Коллекция №1» (Collection №1) весом 87 ГБ была опубликована на облачном сервисе MEGA, а также на «популярном хакерском форуме», рассказал Хант. По его словам, база составлена из разных источников и включает утёкшие данные разных лет.
Специалист проверил набор через собственную базу ранее известных утечек и обнаружил, что большинство адресов электронной почты уже попадали в сеть ранее. Только 140 млн адресов и 10 млн паролей из найденной папки Хант не встречал раньше.
База могла быть создана специально для кражи учётных записей пользователей, полагает Хант: люди нередко используют одни и те же логины и пароли на разных сайтах, хакеры могут перебирать комбинации из базы, пока не найдут подходящее сочетание. Он отметил, что база доступна каждому — её не пытались спрятать в даркнете или выставить на продажу.
Проверить наличие своего почтового адреса в «Коллекции №1» можно через систему Have I Benn Pwned? (HIBP), которую поддерживает Хант. У него есть аналогичная система для проверки на предмет утечки паролей. Кроме этого, Хант рекомендует пользоваться менеджерами паролей — в частности, сервисом 1Password и его функцией «сторожевой башни», которая постоянно проверяет пароли пользователя по базе HIBP.
А система проверки, есть ли там твой адрес работает так:
- вводишь свой электронный адрес
- система проверяет есть ли он в базе
- если есть, то говорит, что он там есть
- если нет, то говорит, что нет и добавляет его в базу
и в чем логика? без пароля имейл бесполезен, разве только спам слать можно
Если образно, то представьте, что имейл - дверной звонок, а пароль - ключ от квартиры где девки визжат. Приходит злоумышленник, нажимает на кнопку звонка "проверка газовых счётчиков", тут ему и открывают...
о чем я, собственно, и написал
Как раз я о другом. Что почты достаточно для получения доступа к аккаунту: социальная инженерия, фишинговые ссылки и прочее. Достаточно простой скрипт может анализировать базу на живучесть адресов, присутствие в сетях и сервисах. Классифицировать аккаунты и уже использовать эти данные для рассылки, получения доступа к аккаунту, другим сервисам. Почта - это ниточка за которую можно развернуть очень хороший клубок. Ну а с паролем вообще конфетка. Даже старый может помочь, он вполне может оказаться одним (или схожим) для нескольких сервисов.
Наличие адреса не дает 100% гарантии получения пароля от него, иначе почту не писали бы на визитках и не публиковали на сайтах.
При соблюдении правил безопасности, попадание почты (без пароля) в какую-либо базу приводит только к неудобствам в виде спама.
Не даёт, согласен.