Утечка логинов, паролей и почты пользователей чата Youporn

Original author: gustav19
  • Translation
На оригинальном ресурсе обсуждается проблема обнаруженная на широко известном в узких кругах сайте youporn.com. Поскольку ссылку подкинул коллега из Швеции, то оригинал на Шведском, я перевел только самую суть.

По адресу «chat.youporn.com/tmp» доступны логи, которые содержат незашифрованные пароли, имена пользователей заходивших на сайт и их адреса электронной почты.

На самом Youporn.com доступность логов проверить не удается, а вот на WayBack machine эти данные сохранены и доступны для просмотра тут.
Share post

Similar posts

AdBlock has stolen the banner, but banners are not teeth — they will be back

More
Ads

Comments 76

    +7
    Это прискорбно…
      +8
      Yoporn.com подправьте
        0
        В данном случае именно youporn.com
          +24
          палево палево
            +3
            чё ж меня минусовать? если автор ошибся
              +3
              1. Автор не ошибся.
              2. Такие сообщения (об ошибках) отправляются в личку, а не в комментариях.
                +22
                Ну опечатка же в последнем абзаце, разве нет?
                  0
                  Букву «u» эту увидеть должен ты
                  0
                  1. Автор ошибся
                  2. А какая разница? важно чтобы автор исправил ошибку, которую до сих пор не исправил. При переходе на которую мы попадаем на какойто конкурс с крышками для iPhone
                    0
                    Да, действительно ошибся, не внимательность это мой конек. Исправил, спасибо!
              –4
              Как-то жаль этих людей. Уже третий пароль подошел к почте.
                +41
                не трож.
                  0
                  Сначала сомневался, стоит ли писать об этом, подумав именно о людях, но с другой стороны информация уже «поползла» по миру и единственное, что может им помочь, своевременная реакция администраторов сайта и собственно «голова на плечах» самих пользователей, если она у них есть — быстрее узнают о проблеме — быстрее сменят свои пароли на почте и прочих ресурсах.
                    +3
                    Стоит учесть, что дата последнего лога — 2010-ый год. У них явно было время.
                      0
                      Значит «головы» нет, хотя с другой стороны, пока гром не грянет — мужик не перекрестится.
                        +1
                        2010 только на wayback machine, а вот в торрентах и 2012 есть.
                          0
                          где торрент? трб молчит
                          0
                          Да. Хотелось бы узнать про торрент поподробнее…
                            0
                            см. мой комент выше
                        0
                        Можно конечно сделать рассылку что бы сменили пароли. Но такое количество писем нужно рассылать не один день…
                      +2
                      Рай для порно-спамеров
                        –2
                        Уже впоймали хабраэффект?
                          +42
                          Опять пароль менять :(
                            +10
                            А нафига там регаться?
                              +4
                              чтобы избранное держать, вестимо
                                +13
                                Там же ссылочки на скачку есть. Мне говорили…
                                  +28
                                  Знакомый рассказывал, ага ;)
                                    +13
                                    /оглядываясь/ кто здесь??
                                    • UFO just landed and posted this here
                                        +3
                                        Ага, и это один и тот же знакомый на весь интернет.
                                +21
                                Судя по размеру логов, под Новый год шанс, что вам дадут выше на 25%
                                  +1
                                  С сервера уже не доступно.
                                  Но Гугл услужливо предлагает кэшированную версию.
                                    +4
                                    Как хорошо в контекст вписывается слово «утечка»
                                      0
                                      А ведь они недавно на Redis перешли. Интересно, это связано?
                                        +3
                                        А нет, видимо просто руки кривые.
                                        +3
                                        Фух, вроде пронесло.
                                          +4
                                          Наверно они просмотривая у себя траффик с хабра подумают, вот уж эти горячие русские головы и горячие русские программисткие ладони нами заинтересовались :)
                                            +3
                                            Ладони эта пять )
                                          • UFO just landed and posted this here
                                              0
                                              Youporn не так давно перешёл с Catalyst на Symfony2 (пруф groups.google.com/group/symfony-devs/browse_thread/thread/586328a113e39846/d1b80a6dcf047a43). Интересно, чат тоже?
                                                0
                                                все. сейчас PHP обвинят во всех смертных грехах :)
                                                  0
                                                  Не факт что чат мигрировали )
                                                0
                                                Ну сколько можно хранить пароли в открытую? Добавить 2 строчки кода и все. Один вывод — это делается намеренно.
                                                  0
                                                  А вы смотрели логи? там просто дамп POST параметров.
                                                  Если уж додуматься вставить две строчки шифрования или хеширования, то можно и догадаться не сохранять логи в таком виде.
                                                  –6
                                                  История один в один похожа на историю кэширования мегафоновских смс яндексом.

                                                  Разница только в пикантности прохешированных данных.

                                                  Ну и то, что wayback archive целый год имел доступ к явно служебной папке совсем не красит админов сайта.
                                                    0
                                                    Из торрента кто то точно чекает все пароли. Штуки 3 попробовал и на всех капча, а hotmail выдает что превышен лимит неправильно введенного пароля
                                                    • UFO just landed and posted this here
                                                        –1
                                                        Да вообще, Tor еле работает
                                                        0
                                                        на основе логов собрать словарик паролей,
                                                        написать парсер для email= password=, не составляет труда
                                                        • UFO just landed and posted this here
                                                            +9
                                                            Интересовались бы Redis — узнали бы о ссылке чуть раньше )
                                                              +4
                                                              Для любителей редиски, так сказать
                                                              • UFO just landed and posted this here
                                                                  0
                                                                  Я уже тут подумываю тут сайт этот раскручивают. Уже второй раз вижу. Первый именно редиска была.
                                                                0
                                                                «а вот на WayBack machine эти данные сохранены» — хабр против порева

                                                                /irony
                                                                  0
                                                                  Уже 1млн уникальных mail и парсинг все еще идет. Совсем не утечка :-D
                                                                    0
                                                                    1383080 ящиков!
                                                                      –1
                                                                      Быстрый у тебя скрипт — у меня пока 500K, но я знаю к чему стремится :)
                                                                        0
                                                                        Это у тебя что то слишком медленный ). Я сделал глупость добавить поле в БД во время инсертов. Все встало на 1 час…
                                                                        0
                                                                        чет много вышло, там ~500к будет, это если без проверки на валидность, т.е. blabla@blabla тоже войдут в эту кучу.
                                                                      +5
                                                                      А вот и первая статистика самых популярных паролей:

                                                                      pass cnt
                                                                      123456 34097
                                                                      123456789 8782
                                                                      12345 5655
                                                                      password 4034
                                                                      1234 3892
                                                                      qwerty 2874
                                                                      12345678 2728
                                                                      1234567 2457
                                                                      111111 2086
                                                                      123123 1940
                                                                      123 1840
                                                                      youporn 1839
                                                                      000000 1778
                                                                      1234567890 1526
                                                                      pussy 1108
                                                                      654321 1075
                                                                      sex 1043
                                                                      666666 971
                                                                      ficken 967
                                                                      fuckyou 953
                                                                      abc123 933
                                                                      fuckme 903
                                                                      iloveyou 866
                                                                      azerty 824
                                                                      liverpool 820
                                                                      1111 695
                                                                      121212 694
                                                                      football 680
                                                                      fuck 669
                                                                      123321 665
                                                                        0
                                                                        Именно «ficken»? Немцы?
                                                                          +1
                                                                          Именно так как выше.
                                                                          Мне показались более странными пароли liverpool и football.
                                                                          Выводы не стану озвучивать :)
                                                                            0
                                                                            azerty — французы)
                                                                            0
                                                                            паролей fuckme больше, чем iloveyou — логично! :-)
                                                                            0
                                                                            странно что нет в TOP-е 123qwe )
                                                                              +1
                                                                              А ведь только совсем недавно писали что они перешли на redis. Ведь про них?
                                                                                +2
                                                                                pron`их
                                                                                0
                                                                                Некоторые логины/пароли к почтовым ящикам подходят. Открыл два, а там сплошной спам, что в Отправленных, что во Входящих. Даже в почтовом чате все контакты — боты.
                                                                                  0
                                                                                  «коллега из Швеции» — звучит несколько двусмысленно в данном контексте ;)
                                                                                    0
                                                                                    Ну уж какие есть )

                                                                                    С праздником!
                                                                                    0
                                                                                    в почте у посетителей порно намного круче

                                                                                    Only users with full accounts can post comments. Log in, please.