Взлом вконтакте: украдены данные 171 миллиона пользователей



    Издание Motherboard сообщило, что хакер по прозвищу Peace осуществил взлом популярной российской социальной сети, после чего разместил украденные данные на продажу.

    По сообщению представителей соцсети — взлома не было, речь идет о старой базе, которую хакеры собирали в 2011–2012 годах.

    Хакер Peace_of_mind (Peace), ранее выставивший на продажу данные о сотнях миллионов аккаунтов LinkedIn, MySpace и Tumblr, теперь продает информацию более чем о ста миллионах аккаунтах «ВКонтакте».

    Объявление о продаже данных появилось в даркнете в прошедшие выходные. Стоимость пользовательских данных составляет в один биткоин (около $580 по текущему курсу). Также, этот дамп находится в распоряжении агрегатора утечек LeakedSource. В базе содержаться записи о 100 миллионах учетных записей. Еще 71 миллион хакер оставил «про запас».

    Сложно судить об актуальности и достоверности базы: администрация ресурса утверждает что это старый слив, однако проверка случайных аккаунтов дает возможность авторизоваться в соцсети: представитель издательства Motherboard утверждает, что пользователь «ВКонтакте», с которым удалось связаться изданию, подтвердил, что выложенный хакером пароль действительно помогает открыть его страницу.

    Простой поиск показал, что 92 из 100 проверенных журналистами email-адресов по-прежнему принадлежат активным пользователям социальной сети.

    База «весит» порядка 17 гигабайт и содержит ФИО, телефоны и пароли в открытом виде.

    Статистика часто используемых паролей показывает что большинство пользователей используют простые пароли, и вероятнее всего, их практически не меняют.

    В любой непонятной ситуации меняй пароли, %хабраюзер%.
    DefconRU
    61.23
    Сообщество специалистов в области ИБ
    Support the author
    Share post
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More
    Ads

    Comments 94

      +2
      Уже есть на гике и оформлено без копипасты более информативно
        0
        Помнится в прошлогоднем «взломе» миллионов почт от Gmail, Mail.ru итд приводился линк для проверки — не взломан ли я, где можно забить свою почту и он тебе выдаст, что тебя нет в списках.

        В этот раз очень пригодилась бы подобный ресурс для особо ленивых
          +4
          https://www.leakedsource.com/ формочка внизу сайта.
            0
            Спасибо
              0
              У этого сайта плохая репутация по данным WoT
                0
                господи иисусе, у меня там даже adobe аккаунт упёрли получается… Жуть какая, спасибо за ссылочку
                  +1
                  У меня там уперли аккаунт на adobe, а также на штуках 8 разных сайтов, на которых я не то, что не регистрировался — даже не бывал ни разу 0_о
                    0
                    Ну в моём списке все сайты на которых я бывал)даже heroes of newerneth там есть.Проверил емэйл своей, у неё только vk, что собственно заставляет меня верить в достоверность данных.
                      0
                      Вот-вот, у меня тоже аккаунт от adobe (не помню, чтобы там регистрировался), а также в heroes of newerneth (это что?).
                        0
                        Игра в жанре moba, была популярна до выхода Dota 2. Я тоже себя там нашел и еще на 8 сайтах, все верно, я там регистрировался.
                      0
                      В принципе, достаточно часто ушлые спамеры регистрируют ящики сами. Например, на мой ящик, который используется для регистрации на всяких сайтах по типу «ссылка/статья доступны только после регистрации», регулярно приходят уведомления, что я где-то там зарегистрирован и куда-то там подписан :) В принципе не парит, так как ящик исключительно для этого и создавался.
                    +2
                    О.О У меня увели аккаунт на Zoosk.com и 17.media!!!
                    Что это за сайты? Почему я их не помню?!!!
                    И почему меня там никогда не было? О.О
                      –4
                      «VK.com has: 1 result(s) found. This data was hacked on approximately 0000-00-00 00:00:00 What is in this database?»

                      Какая-то слишком старая база. Я даже не знал, что vk.com существовал в то время.
                      Но более странно то, что я уже существовал и был зарегистрирован в этой сети.
                        0
                        Лично мне вчера пришло сообщение (думал глюк) и сегодня:
                        — Браузер Firefox сегодня в 15:48 Беларусь (37.215.147.6)
                        — Браузер Firefox вчера в 23:15 Италия (IP не сохранился к сожалению)
                        При этом сам я нахожусь в Москве.

                        Пришлось сменить пароль, так что может и не фейк.

                        ПС. Все данные на месте.
                          0
                          Хм. Скорее всего через Тор кто-то заходил, он ведь на основе firefox сделан, так что в запоминании ip особо смысла нет, и вряд ли так совпадет, что один день кто-то зашел из Беларуси, а на следующий уже из Италии.

                          А вообще сразу, как пришло подобное, нужно пароль менять. ВК в таком вряд ли может ошибиться.
                            +1
                            Tor не на основе firefox.
                            Это разные вообще проекты.
                            Есть сборка ff, куда интегрирован tor как прокси по-умолчанию.
                              –1
                              Так они же оба на движке Gecko, разве нет? Не станут же torproject тупо копировать дизайн. В любом случае я только что проверил и вк определяет Tor, как Firefox.
                                +1
                                Tor — это не браузер а socks прокси.
                                Они распространяют сборку TorBrowser, на самом деле это FF + отдельный встроенный tor, который запускается параллельно.
                                И юзер агент у него mozilla, потому, что это обычный ФФ, все правильно.

                                Tor вы можете поставить сами и использовать с любым другим браузером или софтом.
                        +2
                          +2
                          Это только я не доверяю этим ресурсам проверки?
                            +7
                            Не только.
                            Проверяющие по сути сами сливают свои почтовые адреса и тел.номера.
                              +1
                              Окей.

                              Поясните пожалуйста мне, что плохого в том, что я зашел на этот сайт и ввел свой адрес почты?
                              Вот казалось бы, Вы говорите что я сам «слил» свой адрес? А Вы верите что адреса сейчас тяжело найти?
                              Ваш ka*ihan*vm@gmail.c*m я нашел менее чем за 1 минуту. Узнал Ваше место жительства. Сапожник без сапог?

                              Согласен если люди по глупости в течении одной сессии (да и вообще если делают даже удаляя куки) вбивают и e-mail и варианты аккаунтов и номер телефона и что там этот сайт еще предлагает?
                              Но что?! Что плохого в том чтобы проверить только адрес электронной почты?
                                0
                                ОК, согласен, ищущий человек или же бот найдет.
                                Я скорее об осознанности действия. Вводить данные не понятно куда, облегчать задачу интересующимся.
                          –1

                          Надо запилить по быстрому, как всегда в таких случаях, сайт, где вводишь логин-пароль и проверяешь украден ли твой аккаунт с актуальным паролем… ну и база за одно обновится...

                            –2
                            Странно что в топе почт нет @li.ru
                              0
                              Не понял, а как могли увести пароли в открытом виде, а не их хеши?
                              Неужели ВК их хранит?
                                +1
                                Как вариант, восстановить из хешей самый простые пароли по радужным таблицам. Думаю для подавляющего большинства хеши перебираются за пару минут. Собрать ботнет-кластер и вперёд.
                                  0
                                  У меня пароль сгенерённый, 20 символов, буквы, цифры, разный регистр. А по формочке я бьюсь…
                                    0
                                    Моё предположение хорошо тем, что случаи, подобные вашим, всегда можно списать на коллизию =)
                                      –2
                                      Возможно что plain текстом, ведь у них уже давно есть функция ввода пароля на любом языке (т.е. если ты зарегистрировал аккаунт с английским паролем, то при входе, если раскладка русская, войдет), причем действует он, вроде, до сих пор (и при этом не надо было для этого пароли менять).
                                        0
                                        Возможно что plain текстом, ведь у них уже давно есть функция ввода пароля на любом языке

                                        Данный функционал вполне реализуется без пароля в plain.
                                          0
                                          Как это сделать без plain текста, если это необходимо реализовать не только для пары раскладок русская-английская?
                                            0
                                            Сколько будет пар раскладок — столько получится разных хешей. Их и сравниваем со значением в базе.
                                              0
                                              По-моему не очень хороший вариант для систем с такой нагрузкой. Также, насколько я понимаю, такой вариант не подразумевает добавление новой раскладки в систему с уже сохраненными паролями.
                                              Хотя ответ ниже про связывание клавиш в разных раскладках подходит.
                                                0
                                                Вариант ниже как раз этот же механизм и описывает. В базе хранится всего один хеш — это хеш «оригинального» пароля. Во время логина на сайт введенный пароль хешируется. Если хеш совпал — пускаем пользователя, если нет, то перекодируем введенный пароль в другую раскладку и снова хешируем. И так пока не переберем все раскладки или пока хеш не совпадет. Добавление новой раскладки вообще никак на базе пользователей не отразится — нужно будет лишь добавить таблицу соответствия между раскладками.
                                                  0
                                                  Да, стормозил, не продумал такой вариант.
                                                    0
                                                    Там в плейнтексте. Мой пароль не могли перебрать. Я проверил и он соответствует.
                                              0
                                              А js-ом это сделать нельзя? На стороне клиента всегда пароль в латинице (апперкейснутый и с заменёнными спецсимволами ;) )
                                            +2
                                            Более того, не совсем понятно как этот функционал связан с хранением паролей. Связываем клавиши в разных раскладках, и проверяем 2 варианта вместо одного. Зачем знать исходный пароль?
                                        0
                                        Как вариант, восстановить из хешей самый простые пароли по радужным таблицам.

                                        Если так — то в вК нужно сменить ИБ'шников.
                                        Кто же так делает!

                                        Хранить нужно так:
                                        h = hash(hash(passwd)+salt))
                                        


                                        А еще лучше так:
                                        h = hash(hash(id)+hash(passwd)+salt))
                                        

                                        Тогда если ДВА пользователя создадут два одинаковых пароля, то итоговые хеши будут разные.

                                        Я еще видел в одной крупной конторе такое решение. В нем salt — не константа, единая для всех, а запись в табличке, случайно создаваемая для каждого пользователя:
                                        h = hash(hash(passwd)+salt(id)))
                                        
                                          –3
                                          А в чем преимущество своей соли для каждого пользователя?
                                            0

                                            В сложности перебора.

                                              0
                                              Не прогнать базу хэшей по rainbow таблицам. Для одной соли можно сгенерировать таблицы.
                                                +2
                                                Перебирать получится не для всех пользователей сразу, а только для одного (т. е. радужные таблицы не составить).
                                                0
                                                А еще лучше scrypt, bcrypt или PBKDF2.
                                                  +1
                                                  Я об этом писал в 2012. Но статью не оценили.
                                                    0
                                                    Не оценили 25, а 24 оценили :)
                                                    Думаю просто пост был слишком короткий.
                                                    Пара красивых формул о «долгости» перебора не помешала бы.
                                                –1
                                                На сколько я помню, при восстановлении пароля, тебе приходит не ссылка на его замену, а твой актуальный пасс. Ну или по крайней мере так было последний раз, когда я восстанавливал пароль.
                                                Так что логично предположить что они хранятся просто в plain text, что пугает.
                                                  0
                                                  Последние несколько лет приходит код для сброса пароля.
                                                  –1

                                                  Все хранят. Я бы удиивлся, если бы не хранили.
                                                  Ясное дело, что для входа используется хешированный пароль, однако вполне логично хранить сильно отдельно все пароли, так как 90+% пользователей используют один и тот же пароль для многих сервисов. Ну так, просто, на всякий случай :)

                                                    0

                                                    На странице https://www.leakedsource.com/blog/vk в разделе Passwords написано следующее:


                                                    Passwords were stored in plaintext with no encryption or hashing. The methods VK used for storing passwords are not what internet standards propose because hackers can now see all 100 million passwords used on the site.

                                                    Пароли хранились в открытом виде без шифрования или хеширования. Эта стратегия хранения паролей позволила хакерам получить все 100 млн паролей, используемых на сайте.

                                                    Не хочется верить что в таком крупном и относительно взрослом проекте применяются такие небезопасные подходы. Хотя все подробности указывают на то, что сказанное выше — правда. Как-то совсем тупо получается :(

                                                    0
                                                    Каким образом из ВК утекают plaintext-пароли? Надеюсь, они их не хранят в таком виде.
                                                    Я так понимаю, это подобранные из словаря пароли, которые подошли к логину или были получены с помощью, например, фейковых страниц авторизации?
                                                      +3
                                                      Есть ещё куча всякого софта типа VKmusic
                                                        0
                                                        А вот это, мне кажется, уже ближе к истине. Всякие «кряки ВК», сохранялки музыки-видео и прочее вполне может натырить паролей (пусть даже и в целях «улучшения сервиса», потом база утекает ужу у них, пусть даже случайно — пользователям не легче от раздолбайства).
                                                      • UFO just landed and posted this here
                                                        0
                                                        Borro 6 июня 2016 в 10:10 +2
                                                        www.leakedsource.com формочка внизу сайта.

                                                        хм… ввел е-mail для проверки, обнаружил свой адрес в «слитых» базах сетях, adobe, badoo и еще одном мне не известном ресурсе, похожем на сайт знакомств
                                                          0
                                                          Как вы понимаете «мопед не мой». Взял название сайта из статьи и загуглил его. Но всякие случайные email он не находит у себя в БД, даже те, которые являются на самом деле email.
                                                            0
                                                            Вот тоже проверился и нашел свои данные в базах проектов, о которых никогда не слышал.
                                                            +3
                                                            «12345» на пятом месте, на первое вышел «123456». Пользователи стали больше думать о безопасности. Прогресс!
                                                            Большинству пользователей вконтакте никаких кейлоггеров не нужно. Лишь ссылка «Прочти чужие сообщения» и форма ввода логина и пароля. На основе этой социально-инженерной методики, собственно, в прошлый раз и уплыл здоровенный дамп паролей в сеть.
                                                              +4
                                                              Нет, просто ресурсы подняли ограничение минимальной длины пароля до 6 символов.
                                                              Через пару лет топом будет 12345678.
                                                              Увидите.
                                                                0
                                                                Возможно QWEqwe123. Многие теперь просят заглавную, обычную букву и цифру.
                                                                  0
                                                                  Возможно, но как объяснить пароль «PolniyPizdec0211» на 32 месте? Чей-то нареганый ботнет?
                                                                +1
                                                                «12345» на пятом месте, на первое вышел «123456». Пользователи стали больше думать о безопасности.
                                                                Больше чем когда?
                                                                6 лет назад, как минимум, «123456» был точно так же популярен — на первом месте.
                                                                +2
                                                                Судя по статистике, Маринам тяжелее всех запомнить сложный пароль?
                                                                  +2
                                                                  С мариной ещё более-менее ясно, но пункт 32 в топе смущает. Почему именно он, почему не просто он, а 0211?
                                                                  0
                                                                  32-й по популярности пароль несколько удивляет. Это толпа ботов с одинаковыми паролями?
                                                                    0
                                                                    Это надо набирать на дополнительной клавиатуре, крестик.
                                                                      +3
                                                                      «крестик» будет если набрать там 258456 или 159753 но никак не 0211
                                                                      0
                                                                      Я думаю, это юмор от автора статистики такой. На фоне бесконечных кверти и 123 он выглядит очень нелогично.
                                                                      0
                                                                      А разве не у всех включена двухфакторная авторизация?
                                                                        +3

                                                                        Конечно, давно уже. А еще все, даже самая последняя бабушка и Мариночка-Кикисочка-99 используют SSH-туннель или на крайняк VPN в нейтральных водах.

                                                                        0
                                                                        От статьи к статье число украденных аккаунтов растет и растет :) тут уже 171 млн.
                                                                          +2
                                                                          Ну люди проверяют не угнан ли акк… вот и растет )
                                                                            0
                                                                            Всего украдено 171.000.000, выставлено на продажу 100.000.000.
                                                                            0
                                                                            А что там в списке самых используемых паролей samsung делает?) Почему не apple :< )
                                                                              +11
                                                                              производитель мониторов, который видит перед собой юзер, придумывая пароль…
                                                                                0
                                                                                Символа яблочка на клавиатуре нет, приходится набирать «marina» (а про samsung уже сказали).
                                                                                0
                                                                                Судя по всему это база действительно не свежая. Я года два-три назад поменял в вконтакте свои маил и пароль. В базе нахожу старый маил. Но сдругой стороны, пароль не меняю так часто и это относится к большенству я думаю, так что можно сказать база данных может быть все еще на 90% быть актуальной.
                                                                                  0
                                                                                  Аналогично. База нашла утекшие данные vk по старому мейлу, поменял его больше год назад. По актуальному мейлу только аккаунт адоба и какой-то мусор, который я даже не помню.
                                                                                    0
                                                                                    а я являюсь пользователем вк уже лет 8. один раз менял почту. ни старый ни новый email не находит.
                                                                                      0
                                                                                      Выложили только 60 процентов аккаунтов, так что ваш может быть еще где-то там на верхней полочке у хакеров.
                                                                                  +1
                                                                                  Кто нибудь пробовал заплатить $4 и проверить актуальность этих данных? Взял 3 аккаунта для теста. Первый — мой личный, старый и с трудным логином (11 символов с числами и верхним регистром), в базе его нет. Второй — аккаунт подруги, относительно новый (1 год), с очень легким паролем (в базе его тоже нет). Третий — аккаунт друга, старый и с легким паролем, он в базе есть. Насколько я понял, в базе старые аккаунты (старше 1 года) и с легким паролем. Скорее всего скачали старую базу с хэш данными и использовали радужные таблицы
                                                                                    0
                                                                                    Я заплатил и проверил.
                                                                                    Да, для части ресурсов показывает плейнтекст.
                                                                                    Да, пароли не первой свежести, но правильные — проверил по части списка друзей.
                                                                                      0
                                                                                      Как заплатить-то туда? Пэйпел все три мои карточки отказывается принимать со словами «We were unable to process your credit card registration at this time. We apologize for the inconvenience. Please try again at a later date.» А где биткоины купить по нормальной цене даже не представляю.
                                                                                        0
                                                                                        О, получилось. Час искал контору с нормальной минимальной суммой обмена.
                                                                                      –3
                                                                                      Судя по всему взлома не было:
                                                                                      Взлома базы данных пользователей «ВКонтакте» не было, в сообщениях о продаже неким хакером данных 100 млн аккаунтов речь идет о старой базе, которую хакеры собирали в 2011–2012 годах, пояснили РБК в соцсети
                                                                                      Подробнее на РБК:

                                                                                        +1
                                                                                        Под «взлома не было» следует понимать что прямо сейчас его не было, он был в период с 2011 по 2012 год, о чём и написано в статье. Да и не правильно писать что это база vk.com, потому что она была слита с vkontakte.ru. И судя по содержимому базы, она всё таки больше похожа на дамп реальной базы, чем на слитое через трояны\плагины с компьютеров пользователей.
                                                                                        0
                                                                                        Мой аккаунт привязан к мобильному — как мне можно навредить?
                                                                                          0
                                                                                          Чисто гипотетически — обход двухфакторной аутентификации.
                                                                                            0
                                                                                            Мне на телефон приходит пароль. Если злоумышленник не завладел моим телефоном, то и зайти не сможет?
                                                                                          +2
                                                                                          Я конечно все понимаю, но что в топе часто используемых паролей делает PolniyPizdec0211? 33,236 аккаунтов! о_О
                                                                                            0
                                                                                            Это бот сеть, генерировали автоматом.
                                                                                            0
                                                                                            Купил триал на https://www.leakedsource.com/, пожалел. Базе явно не меньше 4-5 лет, как и говорилось выше. Пробовал найти ~100 аккаунтов, ~95% в базе нет, ~5% — устаревшие данные.
                                                                                            Так что бояться нечего, если вы недавно (в течении последних трёх лет, ха) меняли пароль. Но лучше поменяйте снова.
                                                                                              –1
                                                                                              Мне сегодня утром на телефон пришло уведомление от гугла с подтверждением своего номера телефона и дополнительной почты.
                                                                                              Видимо всетаки кто-то ломился…
                                                                                              Блин, придется везде теперь пароли менять, вплоть до аськи ((

                                                                                              Only users with full accounts can post comments. Log in, please.