Исследователи нашли базу с 2,2 млрд логинов и паролей — в основном это данные из старых утечек Статьи редакции

Пакет с этой информацией скачали более тысячи раз.

Неизвестные опубликовали базу данных из 2,2 млрд уникальных юзернеймов и паролей. Об этом пишет Wired.

Первую часть этой базы под названием «Коллекция №1» (Collection №1) весом 87 ГБ обнаружил эксперт в области информационной безопасности Трой Хант в начале 2019 года. Тогда он выяснил, что только 140 млн адресов и 10 млн паролей он не встречал раньше — остальные данные были результатами утечек предыдущих годов.

Специалисты компании Phosphorus, которая занимается безопасностью в сфере IoT, и другие исследователи нашли и изучили ещё несколько папок — от «Коллекции №2» до «Коллекции №5». Общая база весом около 845 ГБ содержит около 25 млрд записей, но уникальных паролей и логинов там только 2,2 млрд. По их словам, базу скачали около тысячи раз.

Большая часть этой базы — старые данные, украденные в том числе во время утечек в Yahoo, LinkedIn и Dropbox. Проверить, была ли учётная запись или электронная почта скомпрометированы, можно на сайте немецкого Института Хассо Платтнера.

Один из исследователей института Дэвид Джегер считает, что эти данные давно хранились у взломщиков, но даже теперь логины и пароли могут помочь хакерам получать доступ, например, к социальным сетям.

0
27 комментариев
Написать комментарий...
Bender Rodriguez

И да, НИ В КОЕМ случае НЕ ОТПРАВЛЯТЬ свои реальные пароли на проверку на сайтах в интернете! Даже по ссылкам исследователей из статьи!

Ответить
Развернуть ветку
Алексис Второй

Почему? Как минимум есть сервисы, заслуживающие доверия. Я раз в полгода на всякий случай проверяю, не всплыли где-нибудь в сети мои дебетовые и кредитные карты в этом сервисе: http://ismycreditcardstolen.com/

Рекомендую!

Ответить
Развернуть ветку
Bender Rodriguez

Если что, то это жирный сарказм! ↑

@Алексис Второй, дети и миллениалы крайне тупы, ну ты чего.
Ведь действительно пойдут проверять :)

Ответить
Развернуть ветку
Алексис Второй

Я совершенно серьёзно. Попробуйте сервис и убедитесь, что всё чисто. Что очень привлекает в этом конкретном сервисе, так это то, что он в отличие от аналогов сразу даёт ответ украдена карта или нет и не просит номеров телефонов и электронную почту. Но самое главное, что сервис абсолютно бесплатен — можно за раз проверить хоть одну карту, хоть пять и ничего за это не платить!

Ответить
Развернуть ветку
Забор крови

А выслать ему донаты на пиво и хостинг возможно?

Ответить
Развернуть ветку
Роман Тютюнов

CVC (3 цифры на обороте) не проверяет - фигня

Ответить
Развернуть ветку
Сергей Я

Охренеть сервис)) Просит номер карты, имя и срок. Вы серьезно думаете, что это безопасно? Есть куча платежей, которые можно провести только по номеру карты, имени и сроку. Не нужен трехзначный код и смс-подтвержление.

Ответить
Развернуть ветку
Порфирий

Сегодня на Gmail пришло письмо с темой, в которой 6 первых букв старого пароля. Пишут установили троян на порно сайте, засняли вас как дрочите :), если не пришлешь 897? Да
долларов биткойнами, вышлем друзьям.
Монетизация.

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Сергей Я

Смотрите порно в ВК, так безопаснее.

Ответить
Развернуть ветку
Роман Тютюнов

И радует товарища майора

Ответить
Развернуть ветку
Александр Борисов

За пол биткоина удалю твоян и сотру видос с сервака. Пиши в личку пока не поздно.

Ответить
Развернуть ветку
Сергей Я
Ответить
Развернуть ветку
Алексей Костюков

И всплывает окно : «Ваш Mail и пароль находятся в базе. Теперь. »

Ответить
Развернуть ветку
Vitaliy Golubev

Кэп-очевидность! ))

Ответить
Развернуть ветку
Sergei Timofeyev

Надо попробовать старый ящик восстановить. :)

Ответить
Развернуть ветку
Bender Rodriguez

На харбре более подробно описано, как проверить свои пароли, а точнее хэш sha1 по всем слитым базам, в том числе Коллекции №1
https://habr.com/ru/post/436420/

Инструкция для ленивых.

Качаем архив с проверкой по sha1
https://haveibeenpwned.com/Passwords

Там нет открытых пар логин/пароль, но есть хэши этих данных.
Следовательно, вам нужно сгенерировать хэш своих паролей.

Под виндой это можно сделать софтиной «Hash Generator» — https://securityxploded.com/hashgenerator.php

В архиве лежит огромный текстовый файл, чтобы его открыть, нужен спец. софт (notepad++ не подойдёт, он больше 2гб не читает). Лично я открывал двумя редакторами «010 Editor» (http://www.sweetscape.com/010editor/) и «glogg» (http://glogg.bonnefon.org/). 010 ищет значительно быстрее, а glogg бесплатный :)

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Bender Rodriguez

Странный вопрос.
Люди пользуются одними и теми же паролями на десятках сайтов. И не потому, что они тупые, а потому что всем лениво придумывать каждый раз новый пароль.

И если он скомпрометирован, тогда да, лучше сменить везде, где он используется.
Но и если ты используешь на каждом новом сайте новый пароль, все равно полезно знать, что один из них утёк в сеть.

Опять таки, утекли только очень старые пароли, и большинство из них не валидны.
Но всё равно, лучше провериться.

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Сергей Я

Заипешься так после каждой новости об утечках везде менять пароли.

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Bender Rodriguez

Так же можно проверить свой мыльник на наличие в этих самых слитых базах.
https://monitor.firefox.com/

Вбиваете свой мыльник и ждёте письмо. В нем будет сводная таблица по тем ресурсам, где замечен ваш email.

Но это не означает, что утек пароль!
Пароли зачастую передаются в закрытом, шифрованном виде, а мыльник нет.

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Sasha Glotov

Где скачать базу можно?

Ответить
Развернуть ветку
Bender Rodriguez

Если ты не в состоянии нагуглить базу, то она тебе не нужна.
Поверь мне :)

Ответить
Развернуть ветку
Sasha Glotov

ты не прав, Я упростить жизнь захотел

Ответить
Развернуть ветку
Samir Akhmedov

magnet:?xt=urn:btih:d136b1adde531f38311fbf43fb96fc26df1a34cd&dn=Collection%20%232-%235%20%26%20Antipublic&tr=udp%3A%2F%2Ftracker.coppersurfer.tk%3A6969%2Fannounce&tr=udp%3A%2F%2Ftracker.leechers-paradise.org%3A6969%2Fannounce&tr=http%3A%2F%2Ft.nyaatracker.com%3A80%2Fannounce&tr=http%3A%2F%2Fopentracker.xyz%3A80%2Fannounce

magnet:?xt=urn:btih:b39c603c7e18db8262067c5926e7d5ea5d20e12e&dn=Collection%201&tr=udp%3A%2F%2Ftracker.coppersurfer.tk%3A6969%2Fannounce&tr=udp%3A%2F%2Ftracker.leechers-paradise.org%3A6969%2Fannounce&tr=http%3A%2F%2Ft.nyaatracker.com%3A80%2Fannounce&tr=http%3A%2F%2Fopentracker.xyz%3A80%2Fannounce

Ответить
Развернуть ветку
Виталий Иванович Иванов

Чёт лень проверять свои логин-пароли в этой базе. 🤢

Ответить
Развернуть ветку
24 комментария
Раскрывать всегда