Pull to refresh

Comments 163

Интересно, чем обусловлена популярность пароля под номером 32?
Набрученые фейки?
Вероятно тем, что «ghbdtn» это «привет» с англ. раскладкой)
Да сколько ж можно уже!
под номером 32

Меня больше удивил PolniyPizdec0211 с частотой использования 33к.
Больше чем пароль под номером 32?
Более 33000 аккаунтов, зарегистрированных одним скриптом?
Может быть это ранее угнанные аккаунты, каждому из которых поменяли пароль на этот?
Интересная судьба у аккаунтов вырисовывается!
О! Теперь знаю, как избавится от старого акка.
UFO just landed and posted this here
Почему нет? Их и сейчас то тысячами регистрируют, а когда телефон не нужен был так и подавно.
Это крестик на цифровой клавиатуре, и, думаю, на приложении для смартфона.
А посмотрите на цифровой клавиатуре как его набирать, крестик получается, видимо по этому.
Любопытно, что Марины ставят на пароль своё имя чаще всех. Как и фанаты самсунга ставят имя любимого бренда.
Не факт, что Марины ставят своё имя в качестве пароля чаще других. Тот факт, что они попали в выборку, может быть обусловлен целым рядом причин. Никто ведь не говорил, что выборка взломанных аккаунтов равномерно распределена по всему множеству id профилей. Другими словами, возможно, Марин просто по каким-то причинам чаще ломали. А ситуация с фанатами самсунга, в добавок к вышеозвученному, может быть вызвана еще и тем, что самих фанатов самсунга вконтакте больше, чем фанатов других брендов :)
Кажется, в одну из прошлых утечек, тоже было много Марин. Или у меня просто дежавю?
Мне кажется, дело в том, что «Марина» просто имеет меньше распространённых форм написания. Вот, например, Мария — это maria, marya, mary, masha, …
Самсунг еще и делает мониторы. Очень удобно, когда на мониторе нет несекурной post-it наклейки с паролем, а тем не менее, твой пароль у тебя перед глазами.
Видимо это фанаты группы Гражданская оборона)
UFO just landed and posted this here

Это дата конца света, не иначе.

База собиралась/угонялась с 11го года, свежие боты (февральские 11го) в неё попали, а 0212, например, уже нет (или попало слишком мало, или пароль ставили с вариациями).
на цифровой клавиатуре вводят крестом
у вас тут прямо целая перепись не сумевших сопоставить порядковый номер 32 и значение
Спасибо. Я-то сидел и голову ломал, на какой такой цифровой клавиатуре можно «0211» набрать крестом.
Это они 33й пароль объясняют вместо 32го
Не знаю что произошло с коментариями, но вчера все коментарии были к посту с вопросом именно о пароле 159753, причем, что пароль был прописан в коментарии. Зато всем минусы наставили просто так.
С нуля нумеруют, небось.
UFO just landed and posted this here
Для этого нужно зарегистрироваться и оплатить подписку. От 2$ биткоинами либо 4$ через paypal за сутки.
UFO just landed and posted this here
Так смените свой пароль от вконтактика и всё тут. Лучше перебздеть, чем недобздеть. Тем более, смена пароля — дело элементарное. Никуда ходить с бумажками и документами не надо…
Ну, если пароль действительно утек, то стоило бы задуматься каким образом, а если нет — то и силы тратить не за чем.
Все зависит от степени риска, на который вы готовы пойти. Если вы владелец крупного сообщества на сотни тысяч человек, тогда при любом поводе надо бежать менять пароль. А если у тебя 20 человек в друзьях, фейковая фотография и никакой важной переписки, тогда и вообще забейте
А если стоит кейлоггер? Новый пароль украдется точно так же, как и старый. Просто поменять пароль может быть недостаточно.
Тогда проводить аудит сетевой активности соизмеримо со степенью вашей параноидальности
Увидел новость, зашел в вк, обнаружил, что они ввели двухфакторную аутентификацию — включил. Сменил пароль. Закрыл все активные сессии. Вроде успокоился )
Биткоины не так уж и сложно купить, достаточно приобрести BTC-E USD за любую электронную валюту или даже с карты, а потом вывести уже в BTC. Комиссии минимальны, можно даже с 0% обменять при желании.
UFO just landed and posted this here
чтобы узнать, находится ли ваша кредитная карта в базе карточных воров, отправьте нам ее номер и CVC код (с)
С почтой пройдите сюда:
https://www.leakedsource.com/

А с паролем сюда, пожалуйста:
https://howsecureismypassword.net/

Спасибо!

p.s.
А пароль под номером 32, который многим приглянулся, согласно howsecureismypassword.net очень даже устойчив :)
И в ответ: «теперь находится» (с) анек.
UFO just landed and posted this here
Зачем проверять? Нашли свою почту — смените пароль.
Планово меняю пароль где-то раз в месяц. Везде где можно включена двойная авторизация по СМС. В пароли фонетическая абракадабра со спецсимволами.
Самы сок, что в VK сижу в ридонли, мог бы сидеть с фейка. А с паролями – просто полезная привычка.
UFO just landed and posted this here
UFO just landed and posted this here
Никто вам не запрещает обновляться в ручную.
Верно, но мнение создателя все равно напрягает: https://sourceforge.net/p/keepass/discussion/329220/thread/e430cc12/#f398
Включать автоапдейт и вообще давать доступ такому критичному приложению в Интернет… зачем??
По описанию непонятно следующее. Можно ли прогу выставить наружу, чтобы смотреть свои пароли не с основного компа?
Нет. Либо использовать программы удаленного доступа к компьютеру где крутится KeePass.
Либо, как вариант: https://habrahabr.ru/post/269895/
Спасибо, но нет
http://lmgtfy.com/?q=lastpass+site%3Asecuritylab.ru+inurl%3A%2Fnews

Везде речь идёт о фишинге, а не об уязвимости сервиса. Ничто не мешает провести сходную атаку против любого другого решения.

Синхронизировать файл базы с «надежным облаком». И уже с этим файлом синхронизировать локальные базы например на телефоне.
UFO just landed and posted this here
Ещё включить верхние пункты, чтоб блокировался когда надо:
Скрытый текст
image

Временные ограничения (блокироваться через Х минут) мне, лично, не нравятся.
UFO just landed and posted this here
UFO just landed and posted this here
Метод работает по принципу «security by obscurity». В криптографии это считается плохой вещью и не приветствуется.

То есть знание метода не должно ухудшать безопасность системы. В данном случае безопасность как раз основывается на методе перемешивания секретного слова и названия сервиса.
А против какой атаки этот метод ухудшает безопасность?

Не забывайте только, что безопасность определяется самым слабым звеном. И 100 млн паролей угнали не потому, что пользователи подобным методом пользовались.
Ники у вас тоже, судя по всему «фонетическая абракадабра со спецсимволами» :)
А в ВК советую ставить 2хфакторную через приложение. Всё-таки оно более безопасно, чем СМС.
Смена пароля сделает утёкший хэш невалидным. До следующей утечки, конечно.
Так утекли вообще plaintext'ы:
«Passwords were stored in plaintext with no encryption or hashing. The methods VK used for storing passwords are not what internet standards propose because hackers can now see all 100 million passwords used on the site. „
Это уже не так критично. Пароль надо менять в любом случае.
Если пароли утекли в чистом виде, то особенно важно надо убедиться, что такой же пароль не использовался где-то ещё.
И что новый получен не добавлением 123 в конце старого.
а где можно проверить свой мейл?
UFO just landed and posted this here
Странно, показывает, что мой email якобы есть в базе сайта «MYCE.com», хотя я там в жизни не бывал и не регистрировался.
У меня показывает, что мой email есть в базе VK, но на этот email не зарегистрирован аккаунт, даже сам контакт при попытке восстановления пароля говорит об этом.
Может быть раньше был привязан? А то у меня тоже показывает, что в базе ВК, но там почту я сменил где-то полгода назад.
Нет, на этот email никогда не регистрировал аккаунт, в почте так же проверил, нет писем от VK, а там все сообщения с момента регистрации ящика.
Так же проверил аккаунт по номеру телефона, не нашёл ничего, номер менял в ноябре 2012.
Первый акк удалён мной больше 3 лет назад — в базе висит (я уже и пароль от него не помню), 2-й регал в 2012 (по логину с привязкой к номеру) — не найден (пароль там поинтереснее). В теме на хабре есть предположение, что после слива хеши чекали… долго, и ещё 71 миллион записей на сегодня не прочеканы. Непонятно, почему другие 100 миллионов записей хранились не зашифрованы. Впрочем, сейчас так новости пишутся.
https://haveibeenpwned.com/
Там ещё подписаться можно, очень удобно :)
А где проверить, если мой емаил в базе?
Возможно и риторический для многих вопрос, но КАК ему это удалось?
Это Паша базу сливает:)
Судя по паролям ясно что это брут.
По информации с leakedsource.com, в базе аккаунт есть, но брут маловероятен потому что пароль был сгенерирован keepass'ом, нигде больше не использовался и совсем далёк от тех что из списка. Правда не менялся он года четыре, это да. Видимо выборка брут только по большей части.
Причём по словарю. А судя по паролю №32 – по адаптированному на русских словарю.
100 миллионов записей одними словарями не соберешь.
Это вы по топовым паролям поняли? Там дальше есть такие пароли, для брута хеша от которых даже в md5 потребуется нереальные мощности, и то скорее найдётся коллизия, чем сам пароль.
Ну, может, это объединённая база, собранная разными техниками — брут, фишинг, етц.
Фишинг. Вообще, аккаунты vk и прочих соцсетей продаются по всему интернету и стоят не очень дорого, получают их явно не брутом, а скорее с фейков.
В базе я обнаружил не только свой основной аккаунт, но и временные, которые создавались на «один раз» и больше нигде не использовались и не светились. Кроме того, в базе есть информация, которая в моём профиле скрыта настройками приватности от «не друзей». Если допустить, что это собранная из разных источников база, то её собирали очень качественно.
Интересно еще то, что не все пользователи слиты. К примеру, мой аккаунт там с 2007 года, а у жены с 2014 — оба не найдены (или не все данные предоставлены). Так что пока что в голову пришли такие мысли:
— Зараженные устройства пользователей, очень вероятно.
— Мобильное приложение, маловероятно — пользуемся ими на трех платформах (iOS, Android, Windows Phone) и нас нет.
— Атака непосредственно на сервера vk, вполне вероятно, особенно если принять данные о том, что взлом был где-то в 2011-2013 и Heartbleed тогда был известен далеко немногим.
— Банальный перебор по словарю. Маловероятно, но почему бы и нет? Учитывая, что слита почти треть пользователей, то вполне возможно, что этот список был получен брутфорсом, зная почту или телефон для входа (скорее телефон).
— Атака MITM. Вероятно. Тут могут быть и взломы внутри операторов, роутеры/точки доступа с бэкдорами итд.

А еще в голову пришла мысль, что подавляющее большинство пользователей в слитой БД — это боты.
UFO just landed and posted this here
В августе 2013 года vk перешел на https по-умолчанию… Пока что все сходится.
UFO just landed and posted this here
UFO just landed and posted this here
UFO just landed and posted this here
Сейчас нет возможности проверить трафф с мобильного клиента, но посмотрел на браузер.
Можно зайти на страницу vk.com по http(видимо безопасный вход уже не по-умолчанию), ввести реквизиты для входа и наблюдать все данные в открытом виде. Уже только после авторизации происходит редирект на https. При этом еще передаются хэшы с заголовками: ip_h и lg_h.
Не думаю, что в мобильном клиенте все иначе.
огромное спасибо за совет! Я думал они по дефолту используют протокол https везде, где можно
Есть несколько аккаунтов в ВК, тремя пользуюсь довольно часто (захожу из разных доступных мне браузеров), скомпрометирован один — основной. Разницу вижу только в том, что он используется в мобильном приложении в телефоне и планшете.
Так было и года 4 тому назад?
Собственно вот и оно — главное различие.
Все предположения остаются в силе.
Нашел там свой старый, давно деактивированный аккаунт (других нет).
Пароль был на тот момент не слишком серьёзный, так что тоже склоняюсь к перебору.
Там база по состоянию на 2011 год, возможно в то время у вашего аккаунта был другой email. Большинство пользователей ВК — боты, причём до ввода подтверждения по номеру телефона их регистрировали сумасшедшими темпами. База выглядит так, будто её реально слили с серверов ВК, а не сдампили с компьютеров юзеров троянами или плагинами к браузеру.
UFO just landed and posted this here
Я сделал поиск по частым именам и сделал выборку в 60 паролей pastebin.com/98VLqPSu
Много цифровых паролей: простые пароли, даты, телефоны, непонятные. Есть пароли из цифр и текста, похоже, что использовался русский словарь, но переведенный в раскладку латиницей (йцукен -> qwerty). И есть сложные пароли, но их, скорее всего, установили злоумышленники после взлома аккаунта
Такое чувство, что при регистрации я один пишу длинные пароли)
Помнится, в 2012 году у меня взломали анкету и повступали меня в группы. Признаюсь честно, пароль был примитивный (но в топе популярных его нет ;)). Только уже тогда при заходе из постороннего места запрашивались цифры телефона, которые злоумышленник знать не мог (и вообще вряд ли кто-то мог знать, так как там был использован телефон, который я никому не давал). Я задал вопрос поддержке, мол, как это так не сработала защита по номеру телефона. Адекватного ответа так и не получил. Последний ответ закончился фразой «ничего определенного сказать пока нельзя.»

Возможно, моя анкета стала жертвой именно того взлома в промежутке 2011 и 2013 годов.
Защита с вводом цифр телефона или получением СМС обычно срабатывает, если заходить с IP другой страны или заспамленного прокси.
Так и было. Я захожу из Чехии, а взломщики заходили из России.
Пароль под номером 48 говорит об исключительном интеллекте людей с неким именем.
Обнаружил аккаунты себя, девушки, пары друзей в этой базе. Если сольют в открытом виде — потом проверю актуальность базы, т.к. действовавший до этого момента пароль я не менял уже довольно давно. Но это, конечно, потрясающе. Надеюсь, ВК заставит всех, чьи аккаунты были скомпрометированы поменять пароль на следующем входе.
Кстати, пароль явно подбирался не брутфорсом, т.е. налицо именно взлом (в пароле присутствовали цифры, спецсимволы и буквы вперемешку). Не могу сказать на 100%, что это не фишинг, потому что в наше время уже ни в чем точно уверенным быть нельзя, и какая-нибудь подмена DNS имени vk.com у провайдера или на DNS-сервера на роутере могла бы быть. Как пример — совсем недавно у одного из моих клиентов обнаружился взлом роутера ASUS RT-N12, который, как выяснилось, до последних прошивок ломался очень легко. Так вот, там был указан чей-то непонятный DNS-сервер, соответственно, все запросы шли через него.
Но, думаю, какой-нибудь откровенно аляповатый фишинг-сайт я бы распознал.
А можно подробности про взлом роутера? У меня у самого RT-N10, но я постарался его защитить стандартными настройками как смог: запрет отвечать на пинги, запрет админки наружу, нестандартные пароли.
Собственно, по этой инструкции на https://forum.antichat.ru/threads/409897/ смог воспроизвести атаку на взломанный роутер клиента. С админкой наружу, конечно же.
Сдаётся мне, слив через сервис типа MusicSig и типа того.
Мне кажется все куда проще:
1. Вирусы, которые добавляют в hosts vk.com. Видел такое довольно часто, один раз вместо VK у человека начал открываться какой-то ВСССР.
2. Всякое ПО и расширения для скачивания музыки, просмотра «гостей» и прочего, которые требуют указания логина и пароля.
3. Рассылка «у вас новое сообщение» по email базам, ссылка из письма ведет на фейк, где прикручена форма авторизации.

Подмена DNS на роутерах — это скорее экзотика.
Ну, СССР — это не обязательно левый сайт. Это такой «скин» интерфейса, родившийся из первоапрельской шутки. Можете включить, поменяв в настройках язык на «Советский».
Скрытый текст
В том случае был именно левый сайт, там кто-то неправильно настроил nginx, поэтому при попытке логина отдавался php код плейнтекстом. Но видимо дизайн взяли с этого скина, не знал о его существовании.
там кто-то неправильно настроил nginx, поэтому при попытке логина отдавался php код плейнтекстом
О, а такое и я видел, кажется.
> Надеюсь, ВК заставит всех, чьи аккаунты были скомпрометированы поменять пароль на следующем входе.
Главное, чтобы это не новые владельцы ВК актуализовали базу паролей.
И, конечно, минус им в карму за хранение паролей в неашифрованном виде.
В обсуждении уже давали ссылку где можно проверить свою почту на наличие в базе
Насколько я знаю, сейчас вк не дает сменить пароль без привязки телефона. Или давай номер или гуляй Вася. А не все хотят это делать.
а пароль под номером 48? Откуда такая популярность имени Марина?
UFO just landed and posted this here
Более интересен пароль №32. Вряд ли 33 тыс. человек указали именно такую комбинацию, видимо какой-то бот, или угнанные учетки, причем разные пароли было ставить лень.
Кстате про номера — в русском языке тысячные отбиваются пробелом, а не запятой, как в США. Выбешивает. Корректор вообще есть?

Так это дробные доли, значит.

UFO just landed and posted this here
Комментарии об утечке от Вконтакте:
http://www.rbc.ru/technology_and_media/06/06/2016/575507249a7947351eb7bc0f?from=main
А хранение паролей пользователей в plaintext как-то соотносится с законом о защите персональных данных? Или там нет подобных требований?
Ну вот Роскомнадзор это и проверит: https://lenta.ru/news/2016/06/08/check_vk/
С удивлением обнаружил, что даже Яндекс хранит пароли в plain text.

Создал я в 2002 году сайт на narod.ru (который был яндекс, а теперь теперь юкоз). Сегодня решил зайти и поправить кодировку. Пароль не помню, решил восстановить на почту. Каково же было моё удивление, когда в письме пришла ссылка, но которой я могу не поменять, а посмотреть пароль. Нажал, увидел пароль, при этом обратил внимание, что вместо HTTPS использовался просто HTTP. Стало совсем грустно.
Кто-либо из тех, чей e-mail обнаружился в базе покупал у них доступ?
Если есть такие, отозвитесь пожалуйста, действительно ли слит актуальный пароль.
Не покупал, но нашёл в базе только свой старый почтовый адрес, который от ВК отвязал несколько лет назад. Нового адреса, к которому привязан ВК сейчас там нет.
Обнаружился, старый пароль. Причем я его тогда сменил по просьбе VK
а где можно посмотреть свой пароль?
94 тысячи опечаток yndex.ru, 43 тысячи опечаток mail.ry
Попробовал сменить пароль в ВК, в ответ упорное:
«Невозможно сменить пароль.
Попробуйте указать другой пароль или изменить его позже.»
Вот оно одиночество. Даже хакерам я не нужен. Сколько баз уже выкладывалось, меня там никогда нету:(
UFO just landed and posted this here
Интересно, не хотят ли сами vk.com купить базу и хотя бы указать пользователям, какие пароли были скомпрометированы? (Прямо таргетно по e-mail'y, при следующем входе в аккаунт).

Ведь пароль могут использоваться и на других сервисах.
Нашел свой e-mail с пометкой Adobe database. Не припомню, чтобы когда-либо там вообще регистрировался.
а если мой email есть в базе и типа взломан в vk.com. но дата указана как 0000-00-00 00:00:00?
На странице https://www.leakedsource.com/blog/vk в разделе Passwords написано следующее:

Passwords were stored in plaintext with no encryption or hashing. The methods VK used for storing passwords are not what internet standards propose because hackers can now see all 100 million passwords used on the site.


Пароли хранились в открытом виде без шифрования или хеширования. Эта стратегия хранения паролей позволила хакерам получить все 100 млн паролей, используемых на сайте.


Не хочется верить, что в таком крупном и относительно взрослом проекте применяются столь небезопасные подходы. Хотя все подробности указывают на то, что сказанное выше — жесть и правда :(
Там даже востановление пароля красноречиво присылало на почту пароль.
Скорее всего бэкап базы уперли. Сплошь и рядом бэкапы охраняются как попало, а то и доступны в виде дампа dump.sql прямо с корня сайта )
Мой аккаунт привязан к мобильному номеру — как в этом случае можно навредить?
Самое безобидное: проспамить ленту и лички друзей. Или в группы добавить.
Самое опасное: сделать от вашего аккаунта репост чего-нибудь не того.
Как они зайдут в аккаунт? Отключат привязку?
Если вы имеете ввиду двухфакторную авторизацию, то да, в аккаунт войти они не смогут (особенно если она по приложению). Если просто привязку, то она ничего не дает. Указать номер телефона, привязанный к аккаунту попросят только при заходе с заспамленного прокси или IP другой страны, если заходить с чистого прокси вашей страны, то пустит без вопросов.
Пароль может утечь в базы для брутфорса, потому лучше больше такой нигде не использовать
Хватит! Хватит уже называть вещи чужими именами!
Брут — это полный перебор, а базы — это словарный! У брута не может быть базы по определению!
Валидность базы :) Реклама и попытка привлечь покупателей. База гуляет в сети более 5 лет.
За это время её уже использовали вдоль и поперёк.

Обзор leakedsource.com
Sign up to leave a comment.

Articles