Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 155
Приложите ссылку на файлик без паролей пожалуйста.
Файлик и обсуждение ведется тут, если кто-то перезальет себе — буду благодарен, так как из-за хабраэффекта скорость загрузки может явно упасть ниже плинтуса.
Пароли в нём РАБОЧИЕ.
i.piccy.info/i9/feb9b4e77f8f31d896d5ff59d0caee3d/1410183693/186791/301300/20.png
Судя по тому, что требуется сразу сменить пароль — ситуация та же, что и с яндексом. это чья-то собранная вирусами база.
База явно слита из нескольких источников, с разными форматами. поэтому не все пароли и убраны :)
Ни один из ящиков знакомых, у кого почта на мылру еще по какой-то причине жива — не задет.
i.piccy.info/i9/feb9b4e77f8f31d896d5ff59d0caee3d/1410183693/186791/301300/20.png
Судя по тому, что требуется сразу сменить пароль — ситуация та же, что и с яндексом. это чья-то собранная вирусами база.
База явно слита из нескольких источников, с разными форматами. поэтому не все пароли и убраны :)
Ни один из ящиков знакомых, у кого почта на мылру еще по какой-то причине жива — не задет.
Пароли указаны всего лишь для 663465 аккаунтов
Вторая часть марлезонского балета.
Пруфлинки в студию. или следующей новостью будет 10млн gmail?
ой. Кажется кто-то переквалифицировался в электрики и расшарил свою папку /private
а можно ссылочку на ресурс с проверкой адресов mail.ru?
а можно ссылочку на ресурс с проверкой адресов mail.ru?
Давным-давно потерял доступ к своему очень древнему ящику на mail.ru. Надеялся его обнаружить в списке… Но, увы…
Где вы список с паролями нашли?
Даа, знакомая ситуация. Служба восстановления паролей действует немного так неадекватно, отказываясь восстанавливать пароль на тот же e-mail, что ранее уже один раз успешно использовался для восстановления пароля. А там куча разных подписок/важных аккаунтов, что ещё более обидно. Не знаю, к кому бы и обратиться — судя по всему, в службе восстановления вместо человека экспертная система =(
Ища в списках свои ящики было ощущение что в лотерею играю. Не нашел и даже как-то обидно стало
Паролей нет и ссылки на файл с паролями. Очень похоже на фейк
UPD: Извиняюсь, я крайне невнимателен, там в базе около 800к почт с паролями примерно 2 миллиона первых адресов без паролей и с ~2.8 и до самого конца без паролей
UPD2: Оригинальный файл со всей «базой» 4,6 миллиона я нашёл по этой ссылке
Вангую — завтра будет рамблер, ну или еще какой-то из популярных почтовых сервисов.
Было бы несправедливо, если бы только Яндексу доставили столько неудобств)
Кто там следующий, Gmail? Делаем ставки, сколько у него мейлов будет :)
Да пофиг:) Двухфакторка же. )
Ха-ха, не прошло и двух дней, как в сети опубликованы пароли к 4,9 млн ящиков Gmail :)
Проверить свою почту на предмет наличия в слитых базах можно по следующим адресам:
games-gen.com/mails/check3.html (mail.ru, 4427521 мыло)
games-gen.com/mails/check2.html (yandex.ru, 1261809 мыл)
games-gen.com/mails/check.html (сборник разных почт, слитых в декабре 2013го, 4879197 мыл)
isleaked.com/ (yandex.ru и mail.ru)
yaslit.ru/ (yandex.ru)
games-gen.com/mails/check3.html (mail.ru, 4427521 мыло)
games-gen.com/mails/check2.html (yandex.ru, 1261809 мыл)
games-gen.com/mails/check.html (сборник разных почт, слитых в декабре 2013го, 4879197 мыл)
isleaked.com/ (yandex.ru и mail.ru)
yaslit.ru/ (yandex.ru)
asd@asdasd.da' OR 'x'='x
ПОЧТА ЕСТЬ В БАЗЕ!
отличный сайт :)
Есть еще такая штука, кстати
indexeus.org/
indexeus.org/
Их Drupal сломался.
набросал похожий сервис на Азуре, посмотрим на сколько его хватит: yandexexpose.azurewebsites.net/ В нем ничего не логируется, на вход принимает логин код без почты.
Вот и Яндекс ответку включил.
Насчёт mail.ru не знаю, но Яндекс, вроде бы, сказал, что это пароли, тыренные малварями с компьютеров пользователей. То есть Яндекс в данном случае может только двухфакторную авторизацию сделать, не более.
Что за новости такие чет я не пойму? На ЛЮБОМ тематическом форуме можно купить ДЕСЯТИмиллионные базы ЛЮБОЙ почтовой системы.
Почему сейчас это считается сенсационной новостью — непонятно.
Почему сейчас это считается сенсационной новостью — непонятно.
Мало того, на некоторых трекерах такие базы раздаются совершенно бесплатно! И упомянутые в статье две базы тоже.
Очень просто всё, в конце правительство скажет что именно от этого оно огородит своих граждан введя обязательную идентификацию по паспорту и/или еще какуюнибуть очень полезную штуковину которая сделает наш интернет быт намного более удобным.
Утром я нашел себя в первой тысяче на Яндаксе, а вечер в базе Mail.ru я оказался 3124844 -ым… Как то обидно даже стало
Кстати, ждем анализа популярности паролей на базе Mail.ru!
ТОП-200 паролей mail.ru
pastebin.com/1n6WufXd / privatepaste.com/a011da9d50
Всего почт с паролями: 4427521
Всего разных паролей: 2743637
Всего в базе неуникальных паролей (встречаются 10 раз и более) — 34706 паролей
50 раз и более — 2189 паролей
100 раз и более — 872 пароля
pastebin.com/1n6WufXd / privatepaste.com/a011da9d50
Всего почт с паролями: 4427521
Всего разных паролей: 2743637
Всего в базе неуникальных паролей (встречаются 10 раз и более) — 34706 паролей
50 раз и более — 2189 паролей
100 раз и более — 872 пароля
гораздо интереснее посмотреть пароли от неслитых ящиков
… это даже повод для очередного квеста: берешь пароль и нужно понять какой алгоритм использовал человек для создания
… это даже повод для очередного квеста: берешь пароль и нужно понять какой алгоритм использовал человек для создания
А ведь паролей не 4.5 кк, а всего 800 к.
Да и дубликаты встречаются — с паролем и без.
У вас какая-то не та база. В той что находится в моем распоряжении все 4,5 миллиона с паролями.
Возможно и не та, но не только у меня такая — habrahabr.ru/post/236077/#comment_7944247
Вот мыло всегда заявляло, что их почта нихренически безопасная, а все остальные — нет, и в их новых игровых проектах типа архейджика рега возможна только с их же почтой. Они даже приделали смену мыла с «небезопасных» сторонних адресов на мылрушные в тех играх, где уже накопилась большая база акков с чужих почтовых адресов. А теперь вылазит ВОТ ЭТО.
В связи с политикой мыла «мы не возвращаем игровые предметы, даже если они утеряны по нашей вине или в результате бага» возникает вопрос: кто виноват и что делать? Как тем, кто уже успел поменять нормальную почту на вашу, сделать всё как было, пока их аккаунты не раздели?
В связи с политикой мыла «мы не возвращаем игровые предметы, даже если они утеряны по нашей вине или в результате бага» возникает вопрос: кто виноват и что делать? Как тем, кто уже успел поменять нормальную почту на вашу, сделать всё как было, пока их аккаунты не раздели?
Из личного опыта, у родителей почта на мэил.ру. Как-то раз мама спросила про то, что не может посмотреть, что за фотографию прислали ей(«фотография» была от имени ее знакомого, почта которого, как подозреваю была взломана). Мэил.ру писал, что письмо проверено и все в порядке, однако даже при простом скачивании десктопный каспер ругнулся и удалил с предупреждением. Ради интереса — попробовал переслать это же письмо с вложением на свой ящик на яндексе — письмо просто не дошло. Так что вот такая вот безопасность на мэиле.
Впоминая первое(и последнее) знакомство с их сервисом N лет назад, мне показалось, что mail.ru сами сливают валидные мэйлы спамерам. Т.к. уже в течении первого дня после регистрации начал валиться спам в ящик, хотя адрес был нигде не засвечен.
Вполне возможно что ваш логин был уже где-то использован, а спамеры подставляют к логинам другие домены в надежде попасть на актуальный ящик.
Я так неоднократно ловил на один из почтовых ящиков свой же логин но с другим доменом. Особенно если логин несложный и состоит из словарного слова или их простой комбинации…
Я так неоднократно ловил на один из почтовых ящиков свой же логин но с другим доменом. Особенно если логин несложный и состоит из словарного слова или их простой комбинации…
Ящику на мейлрушечке уже лет 10, пароль менял за все время 1 раз вроде. Адрес светился везде, где мог засветиться. И в базе нету. Удивительно.
Не нашёл себя в обеих базах. Стало по-настоящему страшно — это в какой такой такой секретной базе мой пароль, что его даже не слили до сих пор?
Вы использовали какой-то почтовый клиент?
indexeus.org/
У этих парней может быть ваш почтовый адрес и телефон.
У этих парней может быть ваш почтовый адрес и телефон.
А где собственно пароли? Обычная база спамера.
У меня 3 ящика на Яндексе и 4 на Мыле, зарегены между лохматым 2001-м и 2013-м годами для разных целей, используются всe крайне редко (пару логинов в месяц), но все открывались за последние пару месяцев как минимум один раз. Ни одного из них в этих двух базах нет. Ради интереса проверил адреса нескольких знакомых — тоже почти никого нет. Тo ли выборка при взломах была очень своеобразной, то ли слив таки с фишинга/малварей.
Не стоит минусовать, логины пользователей mail.ru не отличить от паролей.
Прям, как в кино. Вспоминается группа «За свободу» из канадского сериала Континуум, целью которых являлась борьба против корпораций.
Сам пользуюсь ящиками для спама, некоторые для переписки, не одного из 8 нет в списках. Прям обидно. Неправильный я пользователь какой-то.
Реакция интернет-общественности на миллион слитых паролей к Яндексу:
Реакция интернет-общественности на четыре миллиона слитых паролей к Mail.ru:
шутки не понял. Как по мне, и то и другое, горе для пользователей.
Еще какое горе… И однозначно нужен более серьезный подход к авторизации на крупных сервисах, логин/пароль видимо уходят в прошлый век.
Вот я, честно говоря, не понимаю, почему не внедряют особо TLS-аутентификацию. Это просто и удобно. Знаю только два сайта, которые ее применяют.
Это Вы часом не авторизацию по сертификатам, вроде StartCom?
Я не знаю, что такое StartCom. Я про аутентификацию по X.509 сертификатам через TLS/SSL.
StartCom — рутовый ЦС StartSSL
ну вот у них авторизация на сайте по сертификатам, не помню, кажется таки х509.
Серты троянами слишком легко достаются.
В хроме вообще можно в фоновой страничке трояном сделать что нужно, авторизовавшись по сертификату, и спокойно самовыпилиться. Ну там денежку с light.wm украсть, если смс не включено.
В хроме вообще можно в фоновой страничке трояном сделать что нужно, авторизовавшись по сертификату, и спокойно самовыпилиться. Ну там денежку с light.wm украсть, если смс не включено.
Не подавайте депутатам идей, а то они давно хотят разрешить ходить в интернет только по паспорту.
Маил оказался оперативнее Яндекса и уже просит поменять пароли. Только вот привязка телефона, конечно, не очень по отношению к пользователям. А если я не хочу чтобы в следующий раз мой сотовый утек?.. Не уж-то не придумали альтернативных методов?!
Действительно. У меня текст такой:
===
С вашего почтового ящика зафиксирована рассылка спама, поэтому мы были вынуждены заблокировать отправку писем.
Для восстановления работы необходимо сменить пароль в ящике на более сложный и указать номер мобильного телефона.
===
Но я не хочу указывать номер телефона. Что, прощай mail.ru?
p.s. Кстати, незнаю насчет трояна, у меня linux и быть его там почти не может. Вопрос в другом.
Все баловались dsniff -i eth0, он прост как тапок. Вы не думаете, что слив мог произойти у какого-нибудь провайдера, который просто сливал через SPAN трафик в майлру и яндекс? Я незнаю за яндекс, но у mail.ru до недавнего времени не было https, так что все пароли (по крайней мере в 2012 сам ловил) могли быть просто собраны сниффером.
Что думаете?
===
С вашего почтового ящика зафиксирована рассылка спама, поэтому мы были вынуждены заблокировать отправку писем.
Для восстановления работы необходимо сменить пароль в ящике на более сложный и указать номер мобильного телефона.
===
Но я не хочу указывать номер телефона. Что, прощай mail.ru?
p.s. Кстати, незнаю насчет трояна, у меня linux и быть его там почти не может. Вопрос в другом.
Все баловались dsniff -i eth0, он прост как тапок. Вы не думаете, что слив мог произойти у какого-нибудь провайдера, который просто сливал через SPAN трафик в майлру и яндекс? Я незнаю за яндекс, но у mail.ru до недавнего времени не было https, так что все пароли (по крайней мере в 2012 сам ловил) могли быть просто собраны сниффером.
Что думаете?
Блин, я живу в другом мире. Для меня mail:pass это обычный товар, которого полно. На вскидку общее количество данных по СНГ присутствующих на данный момент в продаже 30-50млн. в общем по всем крупным почтовикам.
Этот вброс 1млн яндекса или 4.5 млн мейла абсурдны, даже если отчекали все ящики вообще на всё, почты всегда можно продать под спам.
Называть это утечкой язык не поворачивается. Школьники балуются.
Этот вброс 1млн яндекса или 4.5 млн мейла абсурдны, даже если отчекали все ящики вообще на всё, почты всегда можно продать под спам.
Называть это утечкой язык не поворачивается. Школьники балуются.
Слили фотки, слили акки яндекса, слили акки мейла. Сентябрь, осень, ливень.
Крутая рекламная акция, Google!
Кстати, _дефолтные_ настройки безопасности mail.ru
Т.е. что бы потом разбираться, что произошло, их еще и включать надо (
Т.е. что бы потом разбираться, что произошло, их еще и включать надо (
Интересно. Нашёл себя в мейловской базе. Правда, только в файле без паролей — скачать полный не успел. Только вот незадача: никакой вирус похитить этот пароль не мог, я много лет не заходил в эту почту с компов не с Linux во-первых, а во вторых — я вообще этой почтой давным-давно не пользуюсь. Сомневаюсь, что несколько лет назад у меня на Ubuntu был вирусняк, ворующий пароли от мейла… А подобрать такой пароль сложновато. Хотя там мог быть какой-то очень старый пароль, ещё времён пользования мастдаем — пока не накопаю полную базу, проверить не смогу. Но мейл при заходе сказал, что обнаружил активность. И попросилсменить пароль. Раньше не говорил. Стало быть там возможно последний пароль был в базе. Который не имел шансов быть украденным вирусом…
Если очень интересно, скиньте в ЛС адрес, посмотрю что там.
Я по ссылке для проверки из УПД поста нашёл свой мейловский ящик в списке, но, судя по первым символам пароля, утащили его очень давно — несколько лет назад сменил на новый. Попробуйте проверить свой там же — вам покажут пару первых символов пароля, сможете определить, какой именно пароль утёк.
Все, кто нашел себя в опубликованных базах и кто использует данные E-mail для авторизации в других сервисах, в особенности в платежных системах. СРОЧНО меняйте пароли, т.к. уже есть подтвержденная информация о уязвимости ряда систем
Фух — не нашел себя ни в во вчерашней на самом деле с прошлой недели ни в нынешней базе. Но вообще очень хороший повод чтобы перетряхнуть все свои пароли.
Это Яндекс предотвращает утечку юзеров на мыл.ру.
Печально, не нашёл своей почты. Угнали около 5 лет назад ящик на mail.ru, техподдержка так и не отозвалась.
«Шо, опять???» (с) жил-был пес
Mail.ru, большое спасибо за слив моего пароля в том числе! Таки заставили поменять их везде, а то позорно одним и тем же несколько лет пользовался.
поискал в нете файл — нашёл датированный ранее сегодняшнего слива.
База mail.ru.txt
149 Мб, 28 августа в 22:56
база содержит рабочие пароли
4938663 учётки.
Собственно, просит при проваливании по старому паролю просто ввести новый.
База mail.ru.txt
149 Мб, 28 августа в 22:56
база содержит рабочие пароли
4938663 учётки.
Собственно, просит при проваливании по старому паролю просто ввести новый.
Мой адрес оказался в списке. Действительно, с него рассылали спам в октябре 2013. Сейчас зашёл — заблокирован.
История для меня загадочна. Пароль там стоял несложный (хоть и несловарный), но сам адрес нигде не использовался. Ящик использовался только для тестирования получения писем на ящики mail.ru. С него было отправлено всего 6 писем — себе и коллеге.
Т. е. либо взломан мой основной аккаунт на gmail (и оттуда выдрали список адресов-отправителей), что мне кажется маловероятным, либо взломан ящик коллеги (тоже не думаю), либо что-то совсем маловероятное. Ну или у mail.ru увели список адресов. Даже не знаю что и думать.
История для меня загадочна. Пароль там стоял несложный (хоть и несловарный), но сам адрес нигде не использовался. Ящик использовался только для тестирования получения писем на ящики mail.ru. С него было отправлено всего 6 писем — себе и коллеге.
Т. е. либо взломан мой основной аккаунт на gmail (и оттуда выдрали список адресов-отправителей), что мне кажется маловероятным, либо взломан ящик коллеги (тоже не думаю), либо что-то совсем маловероятное. Ну или у mail.ru увели список адресов. Даже не знаю что и думать.
Нашел себя в мэйловской базе, пароль полугодичной давности, уже был изменен в мае!, таким образом мэйловская база уже использовалась с полгода
Хорошо что у меня нет почт на майле.
О! Нашел свою старую мэилрушную почту для одноразовой регистрации на всякой фигне. Пароль из 10 маленьких английских букв, неужто подобрали эту абракадабру. Сейчас мэилру предлагает получить доступ к ящику и сменить пароль принудительно через указание телефона.
Только что проверил пару-тройку учёток. в те, которые заходит, просто просит изменить пароль.
Поменял пароль от учётки, отказался от введения номера телефона — вуаля, я в почте чужого человека.
Который, к слову почтой пользуется. Буквально 16 го августа зарегался в твитере и подтверждал свой маил.
*Пароль естественно вернул старый и из почты ушёл.
Mail.ru реагирует ещё медленнее яндекса((( У кого-то ящики уже по 10 лет там… И там могут серьёзные вещи быть заведены.
Поменял пароль от учётки, отказался от введения номера телефона — вуаля, я в почте чужого человека.
Который, к слову почтой пользуется. Буквально 16 го августа зарегался в твитере и подтверждал свой маил.
*Пароль естественно вернул старый и из почты ушёл.
Mail.ru реагирует ещё медленнее яндекса((( У кого-то ящики уже по 10 лет там… И там могут серьёзные вещи быть заведены.
Ребята, вот вы выложили ссылки на сервисы для проверки своей почты — молодцы, помогаете кому-то собрать спам-базу живых пользователей)
Ждите слив к одноклассникам и вконтакте (-:
Вот у людей горе будет…
Вот у людей горе будет…
Насчёт весёлых дней. Мне вот письмо от Стима пришло с кодом для восстановления пароля. А я его не заказывал.
Из интересных мелочей могу ещё отметить, что из ~64000 не уникальных логинов у 61% совпадают пароли на разных аккаунтах; причём как в рамках разных доменов мейла (mail.ru, bk.ru, etc), так и перекрёстно с яндексом
Что-же, потратил немного времени чтоб найти и себя в базе. И нашел, но пароль там весьма интересный :f,s, такой я использовал давным давно для регистрации на каком-то сомнительном сервисе =)
Неужели пользователи до сих пор не знают, что на почту должен быть отдельный пароль, не похожий на все остальные? А для сомнительных сервисов свою почту лучше совсем не светить ;)
Неужели пользователи до сих пор не знают, что на почту должен быть отдельный пароль, не похожий на все остальные? А для сомнительных сервисов свою почту лучше совсем не светить ;)
Окончательно солью карму и дам ссылку на tvoe.moe/threads/stealed-accounts.76/
Кто-то пришёл и оставил архив.
Мыла отдельно, пароли отдельно, отсортированы — можете проверять свои и анализировать
около 500к записей
из них mail.ru bk.ru list.ru inbox.ru >300k
около 90k яндекса
надеюсь, мыла давно невалидные
Кто-то пришёл и оставил архив.
Мыла отдельно, пароли отдельно, отсортированы — можете проверять свои и анализировать
около 500к записей
из них mail.ru bk.ru list.ru inbox.ru >300k
около 90k яндекса
надеюсь, мыла давно невалидные
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
В сеть попала база 4,5 млн паролей от почтовых ящиков Mail.Ru