Сервисы Лера Михайлова
14 662

Пользователи Bookmate из России узнали об утечке их данных

В базу попали имена, адреса электронной почты и зашифрованные пароли 3,8 млн аккаунтов.

В закладки
Аудио

Сервис Have I Been Pwned, который позволяет проверить, не были ли данные пользователя скомпрометированы из-за утечки, разослал письма с предупреждением об утечке из сервиса для чтения книг Bookmate. Их получила в том числе редакция vc.ru, пользователи сервиса из России и других стран.

Часть письма Have I Been Pwned

В письме от Have I Been Pwned говорится, что утечка данных из Bookmate произошла в июле 2018 года, было скомпрометировано 3,8 млн аккаунтов. Утекшие данные включают в себя:

  • электронные адреса;
  • даты рождения;
  • пол;
  • местоположение;
  • имена и юзернеймы;
  • зашифрованные пароли.

Сервис рекомендовал получателям письма изменить пароли. Проверить сохранность своих данных можно на сайте Have I Been Pwned.

Пользователи в Twitter отметили отсутствие предупреждений от Bookmate.

@denishus @Bookmate Мне написал Have I Been Pwned, но не @bookmate
@beshkenadze То есть @bookmate даже и не думал об этом предупредить?
@bookmate_ru ребята, будут какие-то комментарии по поводу 8 млн утекших паролей? Вы бы хоть письма пользователям отправили
@pdkpv @tjournal @bookmate_ru получил такое же письмо, что то я не помню, чтобы про этот взлом кто то из bookmate сообщал ранее. используйте уникальные пароли для каждого сервиса!
1
@Bookmate Why don't you announce that your user DB has been leaked?

Обновлено 21:29 Гендиректор Bookmate Андрей Баев рассказал vc.ru, что компания направила заявление в ирландскую Комиссию по защите данных (в Ирландии зарегистрирована материнская компания Bookmate). В документе говорится, что Bookmate не удалось найти свои данные в продаже в дарквебе, а также обнаружить доказательства взлома.

В Bookmate приняли несколько мер, в том числе обновили все веб-приложения, отозвали активные сертификаты шифрования и сгенерировали новые.

Несмотря на отсутствие прямых подтверждений взлома, компания обещает предупредить своих пользователей «на следующей неделе» и порекомендовать им обновить пароли в Bookmate.

Добавлено 24 марта. Bookmate разослал пользователям письмо с предупреждением об утечке их данных, включая имена, почту и зашифрованные с помощью технологии bcrypt salt пароли.

В сообщении сказано, что пароли в безопасности. Тем не менее компания советует пользователям сменить пароль на Bookmate, а также ко всем сервисам, где они использовали такой же или похожий пароль.

Как только нам стало известно о случившемся, мы предприняли ряд мер для выяснения причин и оценки ситуации. Мы обновили все веб-приложения, отозвали активные сертификаты шифрования и сгенерировали новые ключи.

Мы начали расследование произошедшего, привлекая внешних специалистов по информационной безопасности. Мы уведомили соответствующие правоохранительные органы об инциденте. Расследование продолжается.

из письма Bookmate

Данные из Bookmate — часть базы аккаунтов, которая была выставлена на продажу в феврале 2019 года.

Тогда издание The Register рассказало об утекших данных 620 млн пользователей сервисов: Dubsmash (162 млн), MyFitnessPal (151 млн), MyHeritage (92 млн), ShareThis (41 млн), HauteLook (28 млн), Animoto (25 млн), EyeEm (22 млн), 8fit (20 млн), Whitepages (18 млн), Fotolog (16 млн), 500px (15 млн), Armor Games (11 млн), BookMate (8 млн), CoffeeMeetsBagel (6 млн), Artsy (1 млн), а также DataCamp (700 000).

#новость #bookmate #утечкиданных

{ "author_name": "Лера Михайлова", "author_type": "editor", "tags": ["\u0443\u0442\u0435\u0447\u043a\u0438\u0434\u0430\u043d\u043d\u044b\u0445","\u043d\u043e\u0432\u043e\u0441\u0442\u044c","\u043d\u043e\u0432\u043e\u0441\u0442\u0438","bookmate"], "comments": 87, "likes": 46, "favorites": 23, "is_advertisement": false, "subsite_label": "services", "id": 62175, "is_wide": false, "is_ugc": false, "date": "Fri, 22 Mar 2019 21:15:36 +0300" }
{ "id": 62175, "author_id": 78969, "diff_limit": 1000, "urls": {"diff":"\/comments\/62175\/get","add":"\/comments\/62175\/add","edit":"\/comments\/edit","remove":"\/admin\/comments\/remove","pin":"\/admin\/comments\/pin","get4edit":"\/comments\/get4edit","complain":"\/comments\/complain","load_more":"\/comments\/loading\/62175"}, "attach_limit": 2, "max_comment_text_length": 5000, "subsite_id": 200396, "last_count_and_date": null }

87 комментариев 87 комм.

Популярные

По порядку

Написать комментарий...
7

Последние пару лет использование Букмейта сводится к надписи "Эта книга сейчас недоступна" и предложению где-нибудь ее скачать на пиратском сайте и загрузить к ним

Ответить
4

Та же самая ситуация, уже кучу раз нажал кнопку уведомить о поступлении и не получил ни одного извещения о поступлении, над расширением ассортимента они видимо в обще не работают.

Ответить
0

Обьясните мне вот как тупому, почему пароли хранят в открытом виде?

Ответить
10

Они не в открытом, просто никто похоже оригинал новости не читает.
https://haveibeenpwned.com/PwnedWebsites#Bookmate

The data included almost 4 million unique email addresses alongside names, genders, dates of birth and passwords stored as salted SHA-512 hashes.

Ответить
0

Спасибо, и правда вышла ошибка с паролями. Исправили.

Ответить
0

stored as salted SHA-512 hashes

salted

Самое важное. Спасибо.

Ответить
3

Там не было открытых паролей. Были только хэши от паролей с солью. Из них достать исходный пароль нереально. С паролями в новости обосрались

Ответить
–1

Нереально? Да что Вы говорите!

Ответить
5

На вот хеш, найди пароль: 82F2B929DB5D9E945EFD4A6FFEA0A9AA5F0D6A65409E2854A1A87B9070B28908227B28D60E6D43E6D6545B3EEEB03D4A8BD50248AFE5BB89FC9EF6F087E05365

Ответить
2

Миша, Вы идиот или придуриваетесь?

Ответить
0

Ваше утверждение базируется на основе предположения, что хешей нужно много? Для работы алгоритма?

Ответить
–1

Соль нужна лишь для того, чтобы хэши двух одинаковых паролей различались. Это лишь позволит избежать совсем уж простого подбора пароля по словарю по всей базе юзеров. Но ничто не мешает устроить подбор по словарю по хэшам с солью. Это займет больше времени, но если взять GPU powered подборщик(например hashcat), то можно подбирать пароли десятками тысяч в секунду на одной машинке.

Ответить
3

Вы пишите о том, что соль нужна для того, чтобы одинаковые пароли в захешированом виде отличались (что, на самом деле, не совсем так) - соответственно, вы предполагаете что там использовалась динамическая соль, созданная на основе каких-то параметров - id, email и тд или их сочетания.

В этом случает потребуется узнать алгоритм создания соли, что не всегда так - с БД не всегда утекают исходники.

Насчет скорости - хеши без соли прогоняются по радужным таблицам, что, очевидно, во много раз быстрее, видимо, предыдущие комментаторы об этом.

Ответить
–1

Соль - это просто рандомные символы. Что, конечно, не мешает Вам использовать в качестве соли какие-то атрибуты аккаунта.
Дело не в том что быстрее/не быстрее, а в том, что на текущий момент соль не дает сколь-нибудь выгоды для стандартных алгоритмов хэширования паролей.

"с БД не всегда утекают исходники" - если кто-то получил доступ к такой секретной штуке, как база аккаунтов прода, то вероятность, что исходники уже также потырены весьма и весьма высока.

Ответить
0

Выше правильно про вашу некомпетентность написали.
Для этих целей соль едва ли использовали во времена мд5

Ответить
0

А для чего еще соль используется, по-Вашему?

Ответить
3

Слишком хлопотно и затратно для практического использования. Если бы не было соли - да, хэши можно было бы поковырять. А с солью - едва ли.

Ответить
0

Удивляет Ваша вера в соль )

Ответить
0

Удивляет Васина некомпетентность

Ответить
0

В чем именно некомпетентность, позвольте спросить?

Ответить
2

Вы утверждали, что соль не дает выгоды — в то время как соль повышает сложность подбора паролей кратно количеству аккаунтов в слитой базе. Т.е. разница в сложности в тысячи или даже миллионы раз. Конечно, также должна использоваться современная функция формирования ключа, которая плохо параллелится на GPU, такая как Argon2, но и сама соль дает ОГРОМНУЮ выгоду.

Ответить
0

Где я писал, что соль не дает выгоды? Выгода есть, но крайне невелика. Сейчас столько GPU освободилось после майнинга..

Сколько в мире систем используют Argon2, а сколько - обычный md5?

Ответить
0

GPU

Вперёд, составляй радужные таблицы на посоленные SHA-512, не имея в руках самой соли.

Ответить
0

Если соль своя, то радужная таблица не поможет. Нет?

Ответить
0

Reborn Soul, имеет смысл обсуждать широко распространенные подходы, где соль хранится вместе с хэшем пароля. Таких систем в мире - 99%. Понятно, что можно придумать свой алгоритм генерации хэша, который не позволит подобрать пароль, не зная алгоритма. Если, конечно же, Ваш алгоритм не утечет вместе с базой паролей, вероятность чего весьма высока :)

Ответить
0

Соль почти всегда рядом с паролем. Смысл соли - в обесценивании радужных таблиц. Если нет радужной таблицы - подбор пароля возможен только перебором - брутфорсом. Правильный алгоритм генерации хэша значительно замедляет брутфорс. Следовательно, непрактично ковырять пароли в такой ситуации

Ответить
–1

Вы забыли про атаку по словарю. Словарю пох на соль.

Ответить
0

Нормальный сервис указывает на слабость пароля при использовании словарного пароля! Лишний символ в середине / конце слова делает словарное слово бессмысленным.

Так что словарик - не универсальная отмычка.

Конечно, много решает элементарная грамотность пользователя. Например, использование менеджера паролей с его генератором

Ответить
0

Атака по словарю НИКАК не связана с утечкой или не утечкой паролей.

Ответить
0

Так алгоритм — одностороняя функция. Если твой пароль не утекал раньше, как знание алгоритма поможет получить пароль?

Ответить
0

Есть два варианта восстановить пароль по хэшу:
1) Брутфорс, т.е. банальный перебор
2) По словарю популярных паролей

Оба варианта вполне рабочие.

Ответить
1

Рабочие, если знать соль.

Ответить
0

Блажен, кто верует..

Ответить
0

Ты, наверное, практикуешь то, что называется «альтернативная математика»?

Ответить
3

Зашел на Have I Been Pwned посмотреть что чего и узнал что меня украли у Bookmate и Houzz.

Ответить
1

Тоже на хаузе украли. Они там о*уели шоле.

Ответить
0

Houz приходила рассылка. Советую подписаться на HIBP: мне произволом Букмейт пришло раньше, чем я новость прочитал.

Ответить
3

"Несмотря на отсутствие прямых подтверждений взлома, компания обещает предупредить своих пользователей «на следующей неделе» и порекомендовать им обновить пароли в Bookmate."

как у ребят работает HR-отдел со своими обещаниями, не удивлюсь если утечка была и букмейт думал что всё обойдется или "забыли написать" :)

Ответить
1

я думаю что это образ жизни руководства и атмосфера команды6 списываемая на PR :)

"Андрей Баев рассказал vc.ru, что компания направила заявление в ирландскую Комиссию по защите данных (в Ирландии зарегистрирована материнская компания Bookmate). В документе говорится, что Bookmate не удалось найти свои данные в продаже в дарквебе, а также обнаружить доказательства взлома."

А ка кже пользовательские данные на территории РФ для РФ пользователей по закону? :)

Ответить
1

Про наши данные на теретирии РФ говориться в законе, что они должны храниться у нас, что бы товарищь майор пришел и влюбое время забрал сервак с данными. Но не где не говориться, что копии этого сервака запрещено хранить со всеми нашими данными хоть в самом Пентагоне.

Ответить
2

Вообще то говорится. Закон о ПнД не читал, но обсуждаю. Диван иксперд детектед.

Ответить
–1

В законе много что говориться, как и на заборе много что написано, а потрогаешь - сучок! Ну вот утекли данные, и теперь будете писать в прокуратуру Ирландии? Вы же тут все юрисиы профи, не то что я диванный эксперт!

Ответить
0

А чего тут думать, узнал о правонарушении, катаешь кляузу в надзорный орган тобишь в РКН, ждёшь ответа о наложенном штрафы и прочих мерах, например о предписании об устранении нарушения. Профит. Можешь потешить эго, мол сознательный гражданин. Но кудахатать в комментариях на vc конечно проще чем не отрывая жопу на сайт РКН и/или прокуратуры зайти.

Ответить
0

РКН накажет контору, которая хз где и вернет украденные данные? Кто то явно тут кудахчет!

Ответить
3

Хз где?
Общество с ограниченной ответственностью «Букмейт»
Юридический адрес: 115162, г. Москва, ул. Мытная, д. 23, корп. 1, пом. Х
Данные да не вернёт, как и полицаи не оживляют труппы, но маньяков садят, да бы не повторялось преступление.
Ну че, Лёш действовать будем? Жалобу помочь состряпать? Сделаем мир лучше!

Ответить
0

Конечно надо делать мир лучше. Только мои данные целы, так что жалобы пусть потерпевшие пишут!

Ответить
0

хранение данных только на территории РФ для граждан РФ, копии на свой страх и риск, учите буквы чтобы читать черные законы на белой бумаге .

Ответить
0

А вот оказалось что данные не только унас дома а хз где еще? Что людям то делать? Только буквы учить. Но от этого разве легче?

Ответить
0

показатель команды

Ответить
0

Тут дело в топах. Hr в команде может вообще не быть и он чаще всего не является тем, кто принимает решения.

Ответить
0

И всё равно это показатель команды, не правда ли? :) Или ТОП - это команда? :)

Ответить
1

Мне тоже объясните,
Кому вредят эти утечки? Спама итак много. Фейсбучные утечки никак не навредили.. Кто реально от них страдает, кроме компаний-жертв и их репутации?

Ответить
4

Вы не поверите, но масса юзеров используют один пароль на многих сайтах. Таким образом от утечки на одном сайте злоумышленники могут получить доступ и к другим популярным ресурсам. Для компании это весьма серьезным событием всегда является, как бы ни пытались они сделать вид, что все пучком и незначительно. Помимо прямых затрат на последующий аудит, могут быть штрафы и репутационные потери.

Ответить
0

Спасибо.
Пойду новый список паролей сделаю..

Ответить
0

Есть три простых правила для надежного пароля:
1) Не используйте никогда пароль более одного раза.
2) Минимально должно быть 15 знаков.
3) Пароль должен включать строчные, прописные буквы, цифру и спецсимвол.

Ответить
0

А где это все хранить? Ну не в голове же..

Ответить
1

Конечно, ни одна голова не запомнит столько паролей. Хранить пароли можно в менеджере паролей, браузере с мастер-паролем или ОС.

Ответить
0

Я так думаю, что Гугл хром подойдет

Ответить
0

Хром не имеет мастер-пароля :)

Ответить
0

Ну тогда только папирус в банковском хранилище с робокопами поможет =))

Ответить
0

Банковский сейф в РФ - не такое уж и надежное место, как показала практика :)

Ответить
0

Как крайний случай ))

Ответить
0

Орнул со степени долбоебизма

Ответить
0

детство..

Ответить
0

Не надо объяснять этим свой низкий уровень образования

Ответить
0

Нельзя запретить человеку орать со своего долбоебизма, у нас - свободная страна пока еще

Ответить
0

Если капнуть, то это же травля, кибербуллинг. Хотя, она никак не регулируется законом. Роскомнадзор занят телегой

Ответить
0

Это похоже на кибервысер, обмельчали нынче тролли.

Ответить
1

Если есть паника перед сторонними решениями из совета Васи Пражкина, то используйте табличку Excel для хранения паролей

Ответить
0

Гугл пусть хранит. У них утечек, вроде, не было

Ответить
0

за то гугл получит доступ ко всем паролям, хотя через гугл хром они могут шпионить тоже

Ответить
0

Не так давно в Facebook была обнаружена крупнейшая утечка - пароли хранились в открытом! в виде в их внутренней системе хранения и были доступны 20 тыс. сотрудникам FB. А в Гугле такие же люди работают, так что утечка - лишь вопрос времени.

Ответить
0

Хешированный с солью пароль облегчает ситуацию

Ответить
–3

Прощай, Букмейт, ты был хорошим помощником в течение последних двух с половиной лет, но это провал.

Ответить
1

«Bookmate не удалось найти свои данные в продаже в дарквебе»
Как это интересно они искали? Зашли на сайт darkweb.com?

“..также обнаружить доказательства взлома”
Это всего лишь означает, что кто-то поимел Bookmate втихую. Профпригодность сисадминов под баальшим вопросом.

Ответить
0

В ЕС потирают ладошки.

Ответить
0

Проверил свой email через сервис, оказалось что мой адрес тоже скомпрометирован на bookmate. Даже не знал, что у меня там есть аккаунт. Наверное, в старину делал, запамятовал :)

Ответить
0

Утекай!

Ответить
0

Зачем, если есть Литрес?

Ответить
0

MyBook же!

Ответить
0

Так это Литрес

Ответить
0

Литрес - это магазин с продажей книг. МайБук - сервис с подпиской. Оба - от АСТ.

Как у Эппл - айТюнс и Эппл Музыка.

Ответить
0

Майбук это часть компании Литрес

Ответить
0

Литрес - часть компании АСТ. О чем вы спорите - не могу понять?

Ответить
0

Все как обычно. Послушные юзеры платили за бесплатные вещи, а их еще и поимели. В итоге их поимели дважды.

А если бы качали с пиратских сайтов все бы было ок

Ответить
0
{ "page_type": "article" }

Прямой эфир

[ { "id": 1, "label": "100%×150_Branding_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox_method": "createAdaptive", "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfl" } } }, { "id": 2, "label": "1200х400", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfn" } } }, { "id": 3, "label": "240х200 _ТГБ_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fizc" } } }, { "id": 4, "label": "240х200_mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "flbq" } } }, { "id": 5, "label": "300x500_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfk" } } }, { "id": 6, "label": "1180х250_Interpool_баннер над комментариями_Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "ffyh" } } }, { "id": 7, "label": "Article Footer 100%_desktop_mobile", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjxb" } } }, { "id": 8, "label": "Fullscreen Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjoh" } } }, { "id": 9, "label": "Fullscreen Mobile", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjog" } } }, { "id": 10, "disable": true, "label": "Native Partner Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyb" } } }, { "id": 11, "disable": true, "label": "Native Partner Mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyc" } } }, { "id": 12, "label": "Кнопка в шапке", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "p1": "bscsh", "p2": "fdhx" } } }, { "id": 13, "label": "DM InPage Video PartnerCode", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox_method": "createAdaptive", "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "flvn" } } }, { "id": 14, "label": "Yandex context video banner", "provider": "yandex", "yandex": { "block_id": "VI-223676-0", "render_to": "inpage_VI-223676-0-1104503429", "adfox_url": "//ads.adfox.ru/228129/getCode?pp=h&ps=bugf&p2=fpjw&puid1=&puid2=&puid3=&puid4=&puid8=&puid9=&puid10=&puid21=&puid22=&puid31=&puid32=&puid33=&fmt=1&dl={REFERER}&pr=" } }, { "id": 15, "label": "Плашка на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byudx", "p2": "ftjf" } } }, { "id": 16, "label": "Кнопка в шапке мобайл", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byzqf", "p2": "ftwx" } } }, { "id": 17, "label": "Stratum Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fzvb" } } }, { "id": 18, "label": "Stratum Mobile", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fzvc" } } }, { "id": 19, "label": "Тизер на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "p1": "cbltd", "p2": "gazs" } } } ]
Компания отказалась от email
в пользу общения при помощи мемов
Подписаться на push-уведомления
{ "page_type": "default" }