Comments 94
Уже есть на гике и оформлено без копипасты более информативно
Помнится в прошлогоднем «взломе» миллионов почт от Gmail, Mail.ru итд приводился линк для проверки — не взломан ли я, где можно забить свою почту и он тебе выдаст, что тебя нет в списках.
В этот раз очень пригодилась бы подобный ресурс для особо ленивых
В этот раз очень пригодилась бы подобный ресурс для особо ленивых
https://www.leakedsource.com/ формочка внизу сайта.
Спасибо
У этого сайта плохая репутация по данным WoT
господи иисусе, у меня там даже adobe аккаунт упёрли получается… Жуть какая, спасибо за ссылочку
У меня там уперли аккаунт на adobe, а также на штуках 8 разных сайтов, на которых я не то, что не регистрировался — даже не бывал ни разу 0_о
Ну в моём списке все сайты на которых я бывал)даже heroes of newerneth там есть.Проверил емэйл своей, у неё только vk, что собственно заставляет меня верить в достоверность данных.
В принципе, достаточно часто ушлые спамеры регистрируют ящики сами. Например, на мой ящик, который используется для регистрации на всяких сайтах по типу «ссылка/статья доступны только после регистрации», регулярно приходят уведомления, что я где-то там зарегистрирован и куда-то там подписан :) В принципе не парит, так как ящик исключительно для этого и создавался.
О.О У меня увели аккаунт на Zoosk.com и 17.media!!!
Что это за сайты? Почему я их не помню?!!!
И почему меня там никогда не было? О.О
Что это за сайты? Почему я их не помню?!!!
И почему меня там никогда не было? О.О
«VK.com has: 1 result(s) found. This data was hacked on approximately 0000-00-00 00:00:00 What is in this database?»
Какая-то слишком старая база. Я даже не знал, что vk.com существовал в то время.
Но более странно то, что я уже существовал и был зарегистрирован в этой сети.
Какая-то слишком старая база. Я даже не знал, что vk.com существовал в то время.
Но более странно то, что я уже существовал и был зарегистрирован в этой сети.
Лично мне вчера пришло сообщение (думал глюк) и сегодня:
— Браузер Firefox сегодня в 15:48 Беларусь (37.215.147.6)
— Браузер Firefox вчера в 23:15 Италия (IP не сохранился к сожалению)
При этом сам я нахожусь в Москве.
Пришлось сменить пароль, так что может и не фейк.
ПС. Все данные на месте.
— Браузер Firefox сегодня в 15:48 Беларусь (37.215.147.6)
— Браузер Firefox вчера в 23:15 Италия (IP не сохранился к сожалению)
При этом сам я нахожусь в Москве.
Пришлось сменить пароль, так что может и не фейк.
ПС. Все данные на месте.
Хм. Скорее всего через Тор кто-то заходил, он ведь на основе firefox сделан, так что в запоминании ip особо смысла нет, и вряд ли так совпадет, что один день кто-то зашел из Беларуси, а на следующий уже из Италии.
А вообще сразу, как пришло подобное, нужно пароль менять. ВК в таком вряд ли может ошибиться.
А вообще сразу, как пришло подобное, нужно пароль менять. ВК в таком вряд ли может ошибиться.
Tor не на основе firefox.
Это разные вообще проекты.
Есть сборка ff, куда интегрирован tor как прокси по-умолчанию.
Это разные вообще проекты.
Есть сборка ff, куда интегрирован tor как прокси по-умолчанию.
Так они же оба на движке Gecko, разве нет? Не станут же torproject тупо копировать дизайн. В любом случае я только что проверил и вк определяет Tor, как Firefox.
Tor — это не браузер а socks прокси.
Они распространяют сборку TorBrowser, на самом деле это FF + отдельный встроенный tor, который запускается параллельно.
И юзер агент у него mozilla, потому, что это обычный ФФ, все правильно.
Tor вы можете поставить сами и использовать с любым другим браузером или софтом.
Они распространяют сборку TorBrowser, на самом деле это FF + отдельный встроенный tor, который запускается параллельно.
И юзер агент у него mozilla, потому, что это обычный ФФ, все правильно.
Tor вы можете поставить сами и использовать с любым другим браузером или софтом.
Это только я не доверяю этим ресурсам проверки?
Не только.
Проверяющие по сути сами сливают свои почтовые адреса и тел.номера.
Проверяющие по сути сами сливают свои почтовые адреса и тел.номера.
Окей.
Поясните пожалуйста мне, что плохого в том, что я зашел на этот сайт и ввел свой адрес почты?
Вот казалось бы, Вы говорите что я сам «слил» свой адрес? А Вы верите что адреса сейчас тяжело найти?
Ваш ka*ihan*vm@gmail.c*m я нашел менее чем за 1 минуту. Узнал Ваше место жительства. Сапожник без сапог?
Согласен если люди по глупости в течении одной сессии (да и вообще если делают даже удаляя куки) вбивают и e-mail и варианты аккаунтов и номер телефона и что там этот сайт еще предлагает?
Но что?! Что плохого в том чтобы проверить только адрес электронной почты?
Поясните пожалуйста мне, что плохого в том, что я зашел на этот сайт и ввел свой адрес почты?
Вот казалось бы, Вы говорите что я сам «слил» свой адрес? А Вы верите что адреса сейчас тяжело найти?
Ваш ka*ihan*vm@gmail.c*m я нашел менее чем за 1 минуту. Узнал Ваше место жительства. Сапожник без сапог?
Согласен если люди по глупости в течении одной сессии (да и вообще если делают даже удаляя куки) вбивают и e-mail и варианты аккаунтов и номер телефона и что там этот сайт еще предлагает?
Но что?! Что плохого в том чтобы проверить только адрес электронной почты?
Надо запилить по быстрому, как всегда в таких случаях, сайт, где вводишь логин-пароль и проверяешь украден ли твой аккаунт с актуальным паролем… ну и база за одно обновится...
Странно что в топе почт нет @li.ru
Не понял, а как могли увести пароли в открытом виде, а не их хеши?
Неужели ВК их хранит?
Неужели ВК их хранит?
Как вариант, восстановить из хешей самый простые пароли по радужным таблицам. Думаю для подавляющего большинства хеши перебираются за пару минут. Собрать ботнет-кластер и вперёд.
У меня пароль сгенерённый, 20 символов, буквы, цифры, разный регистр. А по формочке я бьюсь…
Моё предположение хорошо тем, что случаи, подобные вашим, всегда можно списать на коллизию =)
Возможно что plain текстом, ведь у них уже давно есть функция ввода пароля на любом языке (т.е. если ты зарегистрировал аккаунт с английским паролем, то при входе, если раскладка русская, войдет), причем действует он, вроде, до сих пор (и при этом не надо было для этого пароли менять).
Возможно что plain текстом, ведь у них уже давно есть функция ввода пароля на любом языке
Данный функционал вполне реализуется без пароля в plain.
Как это сделать без plain текста, если это необходимо реализовать не только для пары раскладок русская-английская?
Сколько будет пар раскладок — столько получится разных хешей. Их и сравниваем со значением в базе.
По-моему не очень хороший вариант для систем с такой нагрузкой. Также, насколько я понимаю, такой вариант не подразумевает добавление новой раскладки в систему с уже сохраненными паролями.
Хотя ответ ниже про связывание клавиш в разных раскладках подходит.
Хотя ответ ниже про связывание клавиш в разных раскладках подходит.
Вариант ниже как раз этот же механизм и описывает. В базе хранится всего один хеш — это хеш «оригинального» пароля. Во время логина на сайт введенный пароль хешируется. Если хеш совпал — пускаем пользователя, если нет, то перекодируем введенный пароль в другую раскладку и снова хешируем. И так пока не переберем все раскладки или пока хеш не совпадет. Добавление новой раскладки вообще никак на базе пользователей не отразится — нужно будет лишь добавить таблицу соответствия между раскладками.
А js-ом это сделать нельзя? На стороне клиента всегда пароль в латинице (апперкейснутый и с заменёнными спецсимволами ;) )
Более того, не совсем понятно как этот функционал связан с хранением паролей. Связываем клавиши в разных раскладках, и проверяем 2 варианта вместо одного. Зачем знать исходный пароль?
Как вариант, восстановить из хешей самый простые пароли по радужным таблицам.
Если так — то в вК нужно сменить ИБ'шников.
Кто же так делает!
Хранить нужно так:
h = hash(hash(passwd)+salt))
А еще лучше так:
h = hash(hash(id)+hash(passwd)+salt))
Тогда если ДВА пользователя создадут два одинаковых пароля, то итоговые хеши будут разные.
Я еще видел в одной крупной конторе такое решение. В нем salt — не константа, единая для всех, а запись в табличке, случайно создаваемая для каждого пользователя:
h = hash(hash(passwd)+salt(id)))
А в чем преимущество своей соли для каждого пользователя?
А еще лучше scrypt, bcrypt или PBKDF2.
Я об этом писал в 2012. Но статью не оценили.
На сколько я помню, при восстановлении пароля, тебе приходит не ссылка на его замену, а твой актуальный пасс. Ну или по крайней мере так было последний раз, когда я восстанавливал пароль.
Так что логично предположить что они хранятся просто в plain text, что пугает.
Так что логично предположить что они хранятся просто в plain text, что пугает.
Все хранят. Я бы удиивлся, если бы не хранили.
Ясное дело, что для входа используется хешированный пароль, однако вполне логично хранить сильно отдельно все пароли, так как 90+% пользователей используют один и тот же пароль для многих сервисов. Ну так, просто, на всякий случай :)
На странице https://www.leakedsource.com/blog/vk в разделе Passwords написано следующее:
Passwords were stored in plaintext with no encryption or hashing. The methods VK used for storing passwords are not what internet standards propose because hackers can now see all 100 million passwords used on the site.
Пароли хранились в открытом виде без шифрования или хеширования. Эта стратегия хранения паролей позволила хакерам получить все 100 млн паролей, используемых на сайте.
Не хочется верить что в таком крупном и относительно взрослом проекте применяются такие небезопасные подходы. Хотя все подробности указывают на то, что сказанное выше — правда. Как-то совсем тупо получается :(
Каким образом из ВК утекают plaintext-пароли? Надеюсь, они их не хранят в таком виде.
Я так понимаю, это подобранные из словаря пароли, которые подошли к логину или были получены с помощью, например, фейковых страниц авторизации?
Я так понимаю, это подобранные из словаря пароли, которые подошли к логину или были получены с помощью, например, фейковых страниц авторизации?
Borro 6 июня 2016 в 10:10 +2
www.leakedsource.com формочка внизу сайта.
хм… ввел е-mail для проверки, обнаружил свой адрес в «слитых» базах сетях, adobe, badoo и еще одном мне не известном ресурсе, похожем на сайт знакомств
www.leakedsource.com формочка внизу сайта.
хм… ввел е-mail для проверки, обнаружил свой адрес в «слитых» базах сетях, adobe, badoo и еще одном мне не известном ресурсе, похожем на сайт знакомств
«12345» на пятом месте, на первое вышел «123456». Пользователи стали больше думать о безопасности. Прогресс!
Большинству пользователей вконтакте никаких кейлоггеров не нужно. Лишь ссылка «Прочти чужие сообщения» и форма ввода логина и пароля. На основе этой социально-инженерной методики, собственно, в прошлый раз и уплыл здоровенный дамп паролей в сеть.
Большинству пользователей вконтакте никаких кейлоггеров не нужно. Лишь ссылка «Прочти чужие сообщения» и форма ввода логина и пароля. На основе этой социально-инженерной методики, собственно, в прошлый раз и уплыл здоровенный дамп паролей в сеть.
Судя по статистике, Маринам тяжелее всех запомнить сложный пароль?
32-й по популярности пароль несколько удивляет. Это толпа ботов с одинаковыми паролями?
А разве не у всех включена двухфакторная авторизация?
UFO just landed and posted this here
А что там в списке самых используемых паролей samsung делает?) Почему не apple :< )
Судя по всему это база действительно не свежая. Я года два-три назад поменял в вконтакте свои маил и пароль. В базе нахожу старый маил. Но сдругой стороны, пароль не меняю так часто и это относится к большенству я думаю, так что можно сказать база данных может быть все еще на 90% быть актуальной.
Кто нибудь пробовал заплатить $4 и проверить актуальность этих данных? Взял 3 аккаунта для теста. Первый — мой личный, старый и с трудным логином (11 символов с числами и верхним регистром), в базе его нет. Второй — аккаунт подруги, относительно новый (1 год), с очень легким паролем (в базе его тоже нет). Третий — аккаунт друга, старый и с легким паролем, он в базе есть. Насколько я понял, в базе старые аккаунты (старше 1 года) и с легким паролем. Скорее всего скачали старую базу с хэш данными и использовали радужные таблицы
Я заплатил и проверил.
Да, для части ресурсов показывает плейнтекст.
Да, пароли не первой свежести, но правильные — проверил по части списка друзей.
Да, для части ресурсов показывает плейнтекст.
Да, пароли не первой свежести, но правильные — проверил по части списка друзей.
Как заплатить-то туда? Пэйпел все три мои карточки отказывается принимать со словами «We were unable to process your credit card registration at this time. We apologize for the inconvenience. Please try again at a later date.» А где биткоины купить по нормальной цене даже не представляю.
Судя по всему взлома не было:
Взлома базы данных пользователей «ВКонтакте» не было, в сообщениях о продаже неким хакером данных 100 млн аккаунтов речь идет о старой базе, которую хакеры собирали в 2011–2012 годах, пояснили РБК в соцсети
Подробнее на РБК:
Взлома базы данных пользователей «ВКонтакте» не было, в сообщениях о продаже неким хакером данных 100 млн аккаунтов речь идет о старой базе, которую хакеры собирали в 2011–2012 годах, пояснили РБК в соцсети
Подробнее на РБК:
Под «взлома не было» следует понимать что прямо сейчас его не было, он был в период с 2011 по 2012 год, о чём и написано в статье. Да и не правильно писать что это база vk.com, потому что она была слита с vkontakte.ru. И судя по содержимому базы, она всё таки больше похожа на дамп реальной базы, чем на слитое через трояны\плагины с компьютеров пользователей.
Мой аккаунт привязан к мобильному — как мне можно навредить?
Я конечно все понимаю, но что в топе часто используемых паролей делает PolniyPizdec0211? 33,236 аккаунтов! о_О
Купил триал на https://www.leakedsource.com/, пожалел. Базе явно не меньше 4-5 лет, как и говорилось выше. Пробовал найти ~100 аккаунтов, ~95% в базе нет, ~5% — устаревшие данные.
Так что бояться нечего, если вы недавно (в течении последних трёх лет, ха) меняли пароль. Но лучше поменяйте снова.
Так что бояться нечего, если вы недавно (в течении последних трёх лет, ха) меняли пароль. Но лучше поменяйте снова.
Мне сегодня утром на телефон пришло уведомление от гугла с подтверждением своего номера телефона и дополнительной почты.
Видимо всетаки кто-то ломился…
Блин, придется везде теперь пароли менять, вплоть до аськи ((
Видимо всетаки кто-то ломился…
Блин, придется везде теперь пароли менять, вплоть до аськи ((
Sign up to leave a comment.
Взлом вконтакте: украдены данные 171 миллиона пользователей