Comments 123
Много нашлось.
Что творится в мире..
Как-то удалиться пробовал от туда - фиг вам. Удалить свой аккаунт весьма не простая задача.
Только с недавних пор они перестали удалять комментарии при удалении профиля. Я специально спрашивал и мне отказали.
Трижды? У вас весьма странное... хобби.
Где гарантия, что профиль удаляется? а не вешается флаг inactive/hide/deleted, и не копируется в исторические таблицы чтобы вернуть все если обкакаются?
То, что попало в Интернет - остаётся там НАВСЕГДА. Лично я не верю ни в какие удаления.
Лучший метод лечения - не болеть. Лучше не курить, чем пытаться бросить. Поэтому меня нет в Одноклассниках, например.
А если логин осуществляется через Google - чревато или норм?
Чревато тем, что ваш логин теперь надёжно ассоциирован с вашей почтой. Ваш кэп)
Но в настройках Пикабу в поле Почта у меня пусто. Или это просто в интерфейсе не отображается, а в БД Пикабу лежит адрес?
Я сразу не понял о чём речь, пардон. Вы в безопасности.
Тут ответ)
Ничем, если вы логинитесь с других сервисов и соц.сетей собственно там сливать нечего, на пикабу есть только пароль, а данные номер телефона/e-mail - это для защиты аккаунта, как бы сейчас это глупо не звучало :)
Все кто логинился так - нет в базе, также в базу попали только РФ/РБ, все остальные были удалены оттуда, как заверил автор взлома этого
Не указывайте при регистрации свои настоящие данные, кроме пожалуй онлайн-банкинга и госуслуг.
Дельный совет. Я так делаю, и очень удобно, когда звонят "Сотрудники Банка" или какие-то услуги, и называют меня по "Имени", я точно знаю откуда был слит контакт))
А лучше ходите на разные форумы под разными никами, с разных машин, через разных провайдеров, зареганными через разные E-mailы. Правда, так вышло случайно.
Как сказал разбойник в "Сокровищах Агробы": "Выбросить целый ларец легко, но и вам потОм найти его тоже будет легко". А потому - никаких входов через соцсети
Пароль в Базе есть?
Нет, только username+phone+email.
Жаль, я пару лет назад забыл пароль и почту от аккаунта там.
Было бы здорово восстановить
Номером телефона желания делиться с пикабу не было и видимо не зря.
Особенно забавляет что даже этого мало и видео из ВК требуют аккаунт еще и там.
Номером телефона не нужно делиться нигде. Мало того, что смогут отслеживать перемещения даже через бабушкофон, так ещё и у многих людей симка на реальное ФИО привязано. А если ещё этот телефон привязан к единственной зарплатной карте, то вообще туши свет и сливай воду.
Там три аккаунта начинающихся с Lexicon, один из них с мейловской почты
Странно, моих данных нет. Возможно, правда, потому что к моей учётке там никогда не был привязан номер телефона...
Себя не нашёл, зарегистрировался в 2019. Видимо, утечка старая.
Прикабу продолжает сливать данные. Мне только что рекламная вставка пикабу выдала форму как бы для получения подарка с моим ником и имейлом, на который зареган аккаунт.
Все выложенные записи имеют номер телефона, соответственно с префиксом +7 (таких 1 046 490) или +375 (таких 45 180). Возможно, слитую базу просто отфильтровали на предмет телефонных номеров из соответствующих стран, а затем выложили. Для 516 115 записей почта отсутствует.
magnet ссылку в студию, как принято в таких случаях
Повышенная безопасность, говорили они
О, там ещё эпичненько меняют ники. Для смены нужно позвать в комментарии модератора (да хоть в посте-ответе администрации о событии) и указать новый ник. То-то сложность имея дамп комментариев спарсить новую базу и сопоставить новый-старый ник. Тот же pikabu.monster уже имеет такой бд-срез
Пикабу рекомендует сменить ник, чтобы разорвать связь со слитыми данными:
- придумать ник от 4 до 16 символов, без нижнего подчеркивания "_";
- проверить ник через поиск, занят ли он;
- призвать модератора (можно в комментах);
- и попросить сменить ник на тот, который вам нужен.
Как уже выше писали:
То-то сложность имея дамп комментариев спарсить новую базу и сопоставить новый-старый ник. Тот же pikabu.monster уже имеет такой бд-срез
Таким "гениям" лучше в принципе никаких данных не доверять.
Если вышел в Интернет - веди себя так, будто сказанное тобой будет доступно всем и навсегда.
всё верно, но проблема, что неизвестно за что завтра "будут вешать"
Отсюда мораль: в Интернете никто не должен знать, что Вы - собака, кто Вы такой. Чтобы вешатели не нашли.
Именно так. Песенка "Оранжево Солнце, оранжевое небо" в своё время неплохо так сыграло. Да и с буквой "Z" теперь будут проблемы
Все что там написано - это фигня, привязка ник-номер телефона, иногда ник-почта не редко когда поможет установить и иные связи. Да, этих данных недостаточно для входа в аккаунт, зато может хватить деанонимизировать пользователя.
Проверил.
По телефону ассоциированному с учеткой admin@pikabu отвечает реальный владелец pikabu. Комментарии дать отказался.
Нашёл себя, пару знакомых.
Не нашёл знакомого зарегистрировавшегося в феврале 22.
Время утечки похоже на правду, про "не имели доступа к нашим базам данных" ооочень спорно, ведь в таком случае сам pikabu с какой то целью собирал и отдельно хранил эти данные.
Пользуясь случаем, напоминаю об опросах на смежные темы:
- Опрос: программисты и квалифицированная электронная подпись - https://habr.com/ru/post/650219/
- Опрос: программисты и электронные трудовые книжки - https://habr.com/ru/post/559676/
Фух, я уж переживал, вдруг мне для чего понадобится тот "одноразовый номер для смс и регистрации", а я его и не запомнил... Ну, хоть в сливе подсмотрел.
"Яка прикра новина." (с)
Проверил, своего не нашел. И на том спасибо.
почта и телефон хранятся в виде обезличенного хэша
Телефон хешировать бесполезно (как и, скажем, IP-адреса). У него слишком мало уникальных значений, и сбрутить номер по хешу задача довольно простая.
Разве что делать много раундов хеширования с медленной функцией, чтобы на вычисление одного значения уходило хотя бы порядка секунды. Но кто так делает?
Телефон хешировать бесполезно (как и, скажем, IP-адреса). У него слишком мало уникальных значений, и сбрутить номер по хешу задача довольно простая.
Вы про хеширование с солью правда-правда никогда ничего не слышали?
И чем в этом конкретном случае соль поможет? Брутить придется каждую отдельную запись, а не все сразу, какой кошмар.
Брутить придется каждую отдельную запись
СИЛЬНО лучше. Потому что в этом случае, да, можно (через несколько дней и киловатт) узнать, какой пароль у пользователя vasya.pupkin@mail.ru, но нельзя одним запросом получить "всех пользователей, у которых пароль password123 (хэш которого известен из радужной таблицы)".
Во втором случае атакующий несколькими нажатиями клавиш скомпрометировал сотни (а то и тысячи) пользователей. В первом случае после некоторой гребли на байдарках и каноэ атакующий скомпрометировал ОДНОГО пользователя.
А если хэшировать почту и телефон, то как потом уведомления пользователям по этим каналам отправлять?
Я не знаю, кому сейчас еще нужен пикабу. Как развлечение это просто дно. Почти филиал одноклассников. Плюс это еще пристанище ватников и 15-рублевых.
После прочтения новости побежал проверять свой аккаунт, которым я давно не пользовался. Оказалось, что у меня там нет ни телефона, ни емейла, ни пароля. А всё благодаря oauth через гугл. Теперь вот думаю, что буду его чаще юзать для рандомных сайтов. :)
А если Гугл - всё?
Не следует подвязывать все пароли к одному источнику.
Ну под рандомными сайтами я имел в виду те, где не жалко потерять аккаунт. В моём случае Пикабу именно такой. Раньше я для таких сайтов юзал е-мейл/простой пароль, который тоже не особо жалко потерять, но всё же неприятно.
Вероятность, что крупный сервис сделает нормальную архитектуру базы данных, разнеся информацию для повышения безопасности - гораздо выше.
Но остается проблема доступности. Когда физически не сможешь получить доступ к провайдеру аутентификации. По большому счету - самое надежное это никому не доверять. Но тогда невозможно будет пользоваться "информационными благами цивилизации" в полной мере.
А, кстати, в мейл.ру есть такая функция как альтернативный адрес. Можно создать почтовые адреса-псевдонимы (alias) и когда на него начнет приходить спам сразу станет ясно откуда.
Можно создать почтовые адреса-псевдонимы (alias) и когда на него начнет приходить спам сразу станет ясно откуда.
Прямо по моей системе :)
"В очередь, сукины дети, в очередь!"
wc -l /etc/mail/aliases
1442 /etc/mail/aliases
Вероятность, что крупный сервис сделает нормальную архитектуру базы данных, разнеся информацию для повышения безопасности - гораздо выше.
Зато больше сотрудников и точек слива и, как следствие, шансы на слив повышаются. Тут со службой безопасности никто серьёзно морочиться не будет. Это Вам не банк.
Можно создать почтовые адреса-псевдонимы (alias)
Прямо вот целенаправленно создавать, кликая кнопочки в интерфейсе?
Сложно! Гораздо проще в любой момент использовать accountname+AnyRandomString@gmail.com.
Ну, если хочется запоминать на каждый аккаунт пароль, то можно и так. Многие так и делают. Преимущество псевдонима однако ведь еще и в том, что почту на него получать можно, а логиниться через него - нет. Никто не сможет брутфорсить его после слива. Дополнительная безопасность.
Аккаунт тут один, accountname@gmail.com.
Письма, отправленные на accountname+foo@gmail.com, accountname+bar@gmail.com и accountname+baz@gmail.comпопадут во «Входящие» одного и того же accountname@gmail.com.
Можно.
Но огромное количество сервисов или не умеет в алиасы, или специально с целью борьбы с многократным использованием одного почтового ящика считают + недопустимым символом.
Гуглу то пока ничего не грозит. А вот вероятность того, что Рунет форкнется в Чебурнет, велика как никогда. Но в этом случае будет уже не до акка на Пикабушечке.
а где ссылко то на базу? я честно пытался нагуглить минут 10.
Да, себя тоже нашел...
@WasILeakedPikabuBot в телеге
Зачем номер телефона такому сайту, как пикабу?
[утечка 1.091k] Слив базы пользователей Pikabu