Comments 94
В этот раз очень пригодилась бы подобный ресурс для особо ленивых
Что это за сайты? Почему я их не помню?!!!
И почему меня там никогда не было? О.О
Какая-то слишком старая база. Я даже не знал, что vk.com существовал в то время.
Но более странно то, что я уже существовал и был зарегистрирован в этой сети.
— Браузер Firefox сегодня в 15:48 Беларусь (37.215.147.6)
— Браузер Firefox вчера в 23:15 Италия (IP не сохранился к сожалению)
При этом сам я нахожусь в Москве.
Пришлось сменить пароль, так что может и не фейк.
ПС. Все данные на месте.
А вообще сразу, как пришло подобное, нужно пароль менять. ВК в таком вряд ли может ошибиться.
Это разные вообще проекты.
Есть сборка ff, куда интегрирован tor как прокси по-умолчанию.
Они распространяют сборку TorBrowser, на самом деле это FF + отдельный встроенный tor, который запускается параллельно.
И юзер агент у него mozilla, потому, что это обычный ФФ, все правильно.
Tor вы можете поставить сами и использовать с любым другим браузером или софтом.
Проверяющие по сути сами сливают свои почтовые адреса и тел.номера.
Поясните пожалуйста мне, что плохого в том, что я зашел на этот сайт и ввел свой адрес почты?
Вот казалось бы, Вы говорите что я сам «слил» свой адрес? А Вы верите что адреса сейчас тяжело найти?
Ваш ka*ihan*vm@gmail.c*m я нашел менее чем за 1 минуту. Узнал Ваше место жительства. Сапожник без сапог?
Согласен если люди по глупости в течении одной сессии (да и вообще если делают даже удаляя куки) вбивают и e-mail и варианты аккаунтов и номер телефона и что там этот сайт еще предлагает?
Но что?! Что плохого в том чтобы проверить только адрес электронной почты?
Надо запилить по быстрому, как всегда в таких случаях, сайт, где вводишь логин-пароль и проверяешь украден ли твой аккаунт с актуальным паролем… ну и база за одно обновится...
Неужели ВК их хранит?
Возможно что plain текстом, ведь у них уже давно есть функция ввода пароля на любом языке
Данный функционал вполне реализуется без пароля в plain.
Хотя ответ ниже про связывание клавиш в разных раскладках подходит.
Как вариант, восстановить из хешей самый простые пароли по радужным таблицам.
Если так — то в вК нужно сменить ИБ'шников.
Кто же так делает!
Хранить нужно так:
h = hash(hash(passwd)+salt))
А еще лучше так:
h = hash(hash(id)+hash(passwd)+salt))
Тогда если ДВА пользователя создадут два одинаковых пароля, то итоговые хеши будут разные.
Я еще видел в одной крупной конторе такое решение. В нем salt — не константа, единая для всех, а запись в табличке, случайно создаваемая для каждого пользователя:
h = hash(hash(passwd)+salt(id)))
Так что логично предположить что они хранятся просто в plain text, что пугает.
Все хранят. Я бы удиивлся, если бы не хранили.
Ясное дело, что для входа используется хешированный пароль, однако вполне логично хранить сильно отдельно все пароли, так как 90+% пользователей используют один и тот же пароль для многих сервисов. Ну так, просто, на всякий случай :)
На странице https://www.leakedsource.com/blog/vk в разделе Passwords написано следующее:
Passwords were stored in plaintext with no encryption or hashing. The methods VK used for storing passwords are not what internet standards propose because hackers can now see all 100 million passwords used on the site.
Пароли хранились в открытом виде без шифрования или хеширования. Эта стратегия хранения паролей позволила хакерам получить все 100 млн паролей, используемых на сайте.
Не хочется верить что в таком крупном и относительно взрослом проекте применяются такие небезопасные подходы. Хотя все подробности указывают на то, что сказанное выше — правда. Как-то совсем тупо получается :(
Я так понимаю, это подобранные из словаря пароли, которые подошли к логину или были получены с помощью, например, фейковых страниц авторизации?
www.leakedsource.com формочка внизу сайта.
хм… ввел е-mail для проверки, обнаружил свой адрес в «слитых» базах сетях, adobe, badoo и еще одном мне не известном ресурсе, похожем на сайт знакомств
Большинству пользователей вконтакте никаких кейлоггеров не нужно. Лишь ссылка «Прочти чужие сообщения» и форма ввода логина и пароля. На основе этой социально-инженерной методики, собственно, в прошлый раз и уплыл здоровенный дамп паролей в сеть.
Да, для части ресурсов показывает плейнтекст.
Да, пароли не первой свежести, но правильные — проверил по части списка друзей.
Так что бояться нечего, если вы недавно (в течении последних трёх лет, ха) меняли пароль. Но лучше поменяйте снова.
Видимо всетаки кто-то ломился…
Блин, придется везде теперь пароли менять, вплоть до аськи ((
Взлом вконтакте: украдены данные 171 миллиона пользователей