Торрент с 427 000 000 паролей MySpace

    Добрые люди выложили в открытый доступ базу паролей MySpace, которая некоторое время ходила по подпольным форумам и продавалась за большие деньги. Теперь она бесплатна и открыта для всех.

    База с 427 миллионами паролей — самая большая коллекция паролей за всю историю утечек с разных сайтов, коих было немало в последние годы.

    Myspace.com.rar (14,2 ГБ)
    Пароль на RAR-архив: KLub8pT&iU$8oBY(*$NOiu

    Скачать


    SHA1: 8C7E FFE4 3486 C617 E1B4 E295 DBF7 9E10 01AC 86BD
    SHA256: 5FA0 5F95 1EFD DA18 8A2E 3D50 8948 1A4F AACA 311E C559 205F EB15 B2BB F7DE EC61

    Торрент
    magnet:?xt=urn:btih:17E6FC94DAE0A3168301012C290A53A2BD314A28



    Пары логин/пароль можно проверять на ящиках электронной почты Mail.ru, Gmail и др., на различных веб-сайтах, в том числе «Вконтакте» и TeamViewer. Утечка паролей MySpace произошла относительно недавно: 11 июня 2013 года, но львиная доля паролей была установлена гораздо раньше, когда MySpace ещё был популярным сайтом в интернете. Напомним, до появления Facebook это была самая популярная социальная сеть в мире.

    Хотя большинство паролей установлены давным-давно, но некоторые пользователи много лет используют одинаковые ники и стандартные пароли на многих сайтах, так что эти пароли встречаются спустя несколько лет на новых сайтах, которые начали работу уже после MySpace. Другими словами, база паролей имеет не только академическую, но и практическую ценность для пентестинга.

    Разумеется, гигантская коллекция паролей представляет интерес для исследователей и учёных. Раньше проводились исследования на эту тему и составлялись списки самых популярных паролей на менее объёмных базах.

    Коллекция готовых паролей, ранжированная по популярности, отлично подходит для пополнения словарей в программах для брутфорса.

    Всего база MySpace содержит 360 213 024 аккаунта. Для каждого из них указан может быть указан адрес электронной почты, имя пользователя, первый пароль и, в некоторых случаях, второй пароль.

    • Имён пользователей — 111 341 258
    • Аккаунтов со вторым паролем — 68 493 651 (в некоторых аккаунтах указан только второй пароль и не указан первый)
    • Общее количество паролей — 472 484 128

    Пароли хранились в виде хэшей SHA1 без соли, то есть их относительно просто привести в первоначальный вид. В реальности, 99% хэшей расшифровали в течение нескольких дней.

    Хранение паролей в таком виде не соответствует общепринятым современным правилам информационной безопасности.

    Эксперты, которые первыми получили доступ к базе и осуществили её анализ, отмечают, что очень небольшое количество паролей имеет длину более десяти символов.

    Специалисты также предполагают, что большое количество аккаунтов с одинаковыми паролями homelesspa были автоматически сгенерированы, потому что почтовые адреса для этих аккаунтов следуют одинаковому шаблону.

    В конце многих паролей указана цифра “1”. Скорее всего, MуSpace выдвигал требование, чтобы пароли обязательно содержали буквы и цифры для повышения безопасности и увеличения энтропии.

    Самые популярные пароли из базы MySpace
    Место Пароль Количество
    1 homelesspa 855478
    2 password1 585503
    3 abc123 569825
    4 123456 487945
    5 myspace1 276915
    6 123456a 244641
    7 123456789 191016
    8 a123456 165132
    9 123abc 159700
    10 (POSSIBLY INVALID) 158462
    11 qwerty1 141110
    12 passer2009 130740
    13 fuckyou1 125302
    14 iloveyou1 123668
    15 princess1 114107
    16 12345a 111818
    17 monkey1 106424
    18 football1 101149
    19 babygirl1 90685
    20 love123 88756
    21 a12345 85874
    22 iloveyou 85001
    23 jordan23 81028
    24 hello1 80218
    25 jesus1 78075
    26 bitch1 78015
    27 password 77913
    28 iloveyou2 76970
    29 michael1 75878
    30 soccer1 74926
    31 blink182 73145
    32 29rsavoy 71551
    33 123qwe 70476
    34 angel1 70271
    35 myspace 69019
    36 fuckyou2 68995
    37 jessica1 67644
    38 number1 65976
    39 baseball1 65400
    40 asshole1 63078
    41 1234567890 62855
    42 ashley1 62611
    43 anthony1 62295
    44 money1 61639
    45 asdasd5 60810
    46 123456789a 60441
    47 superman1 59565
    48 sunshine1 57522
    49 nicole1 56039
    50 password2 55754
    51 charlie1 54432
    52 shadow1 54398
    53 jordan1 54004
    54 1234567 51131
    55 50cent 50719

    Самые популярные почтовые домены из базы аккаунтов MySpace
    Место Почтовый домен Количество
    1 @yahoo.com 126 053 325
    2 @hotmail.com 79 747 231
    3 @gmail.com 25 190 557
    4 @aol.com 24 115 704
    5 @aim.com 5 345 585
    6 @live.com 4 728 497
    7 @hotmail.co.uk 4 701 850
    8 @msn.com 4 378 167
    9 @myspace.com 4 257 451
    10 @comcast.net 3 275 651
    11 @ymail.com 2 866 796
    12 @sbcglobal.net 2 793 292
    13 @hotmail.fr 2 335 422
    14 @web.de 1 486 602
    15 @rocketmail.com 1 420 819
    16 @yahoo.co.uk 1 384 943
    17 @verizon.net 1 255 478
    18 @cox.net 1 082 304
    19 @mail.ru 1 040 442
    20 @hotmail.it 1 018 406
    21 @bellsouth.net 961 018
    22 @gmx.de 959 852
    23 @hotmail.de 852 256
    24 @NONE 790 159
    25 @yahoo.fr 741 962
    26 @att.net 685 951
    27 @earthlink.net 652 769
    28 @hotmail.es 612 748
    29 @yahoo.co.id 604 816
    30 @yahoo.com.my 601 114
    31 @yahoo.com.br 551 956
    32 @charter.net 548 031
    33 @yahoo.de 543 823
    34 @live.fr 518 523
    35 @netscape.net 510 577
    36 @live.co.uk 502 121
    37 @libero.it 490 151
    38 @googlemail.com 430 112
    39 @wp.pl 401 928
    40 @live.com.mx 397 944
    41 @yahoo.es 389 453
    42 @yahoo.co.jp 351 781
    43 @btinternet.com 349 642
    44 @mail.com 343 346
    45 @excite.com 335 215
    46 @yahoo.com.mx 330 927
    47 @qamail.msprod.msp 328 267
    48 @peoplepc.com 325 192
    49 @music.msprod.msp 324 173
    50 @yahoo.ca 320 579
    51 @tmail.com 314 187
    52 @gmx.net 310 143
    53 @netzero.com 308 410
    54 @yahoo.it 307 122
    55 @optonline.net 306 284

    Каждому пользователю рекомендуется скачать базу с паролями и проверить, насколько часто в ней встречается его собственный пароль. Это безопасный способ проверить свой пароль, не выдавая его онлайновому сервису проверки типа LeakedSource.

    Появление паролей в открытом доступе после взлома сайта — всего лишь вопрос времени. В данном случае от взлома до появления их в открытом доступе прошло три года. «Это природа информации, — сказал хакер Tessa88, который рассекретил базу. — Трое могут хранить секрет только при условии, что двое из них умерли. Как только данные пару раз продали, в конце концов она попадёт в руки кому-нибудь не настолько надёжному, чтобы сохранить секрет, и затем информация распространяется ка ветви дерева [то есть в геометрической прогрессии — прим. пер.]».

    Компания MySpace пока не комментирует факт взлома и утечки информации. Это был крупнейший сайт в интернете примерно десять лет назад, но с тех пор его посещаемость сильно снизилась. Недавно MySpace объявил о миллиарде зарегистрированных пользователей, но можно с большой долей уверенности предположить, что намного больше половины из них — это мёртвые аккаунты, покинутые давным-давно. В прошлом году активная месячная аудитория MySpace составляла всего 50 млн человек.
    Ads
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More

    Comments 39

      +1
      Сборники паролей — оригинальный источник данных для примеров анализа при помощи того же R.
      Официальные источники вроде того же destatis.de обычно «суховаты» для школьников.
        +1
        Понять бы еще кому до сих пор нужен MySpace.
          +5
          «MySpace — плохой! База паролей — хороший!»
            0
            Там сформировавшийся контингент, мало поддельных страниц и много хорошей музыки. Молодые коллективы часто оттуда стартуют, по крайней мере, в США.
            +1
            Странный какой-то пароль занимает первое место по популярности.
            «homelesspa» — что это? Сокращение от «бездомный пароль», или «бездомный отец»? Как почти миллиону человек пришли в голову эти буквы? Остальные-то 54 пароля вполне ожидаемые.
              +2
              «Just take note that the first entry, „homelesspa,“ was automatically generated for a number of accounts that had the same email format, possibly bots or fake users.»

              Как и водится для любого приличного сайта, большинство пользователей — это боты одного ботнета.
                0
                Похоже еще и 12 и 32
                +1
                Что — и пароль под номер 10 ожидаем?)
                +2
                Зачем всё время в паблик выкладывают запароленные архивы? Для чего пароль?
                  +5
                  Показать, как выглядит хороший пароль
                    0

                    Не знаю, зачем это в данном случае, но мне периодически приходится слать файлы через гмейл файлы .jar, которые он не пропускает. Так же он не пропускает .zip и .7z с .jar внутри. Однако, если запаролить файлы и имена файлов, то проблем не возникнет.

                      0
                      Много чего, особенно жесткие фильтры корпоративной почты не пропустят ни .exe, .bat, и т.п., а у нас даже xml. То есть нельзя тупо передать файл настроек или шаблон генератора отчётов, приходится добавлять в архив с простейшим паролем, типа единички.
                        0
                        Везет вам, у нас если архив с паролем — он заворачивается безопастникам
                          0
                          Ну так если там ничего криминального — не страшно.
                          У нас вообще безопастники палок в колёса понаставляли, а грамотно разрулить с админами сетевой доступ и необходимые ресурсы для разных отделов так и не осилили. Типа это не им надо, админам тоже незачем инициативу проявлять. Вот только когда припрёт совсем, служебку накатаешь — немного сдвигается дело с мёртвой точки.
                    –8
                    Этично ли размещать ссылку на торрент на ГТ? Я понимаю, что эту ссылку можно найти на других, менее популярных сайтах, но все же.
                      +7
                      Этично ли было выкладывать на ГТ приложение, взламывавшее Тройку?
                      Но это лирика. Эта ссылка уже висит в открытом доступе, так почему бы и не приложить ее к новости? Каждый раз, как появляется очередная новость про взлом, очень хочется, чтобы кто-нибудь приложил ссылку на базу, чтобы можно было спокойно ее скачать и проверить, есть ли там твой ящик, а не искать ее по разным ресурсам (а если учесть, что такие новости расходятся довольно широко по интернету, в поисковой выдаче нужная ссылка находится не сразу).
                        0
                        А ещё и попутно вирусов нахватать, попав из поиска на левый сайт. Всякое может быть, а тут чистая проверенная ссылка, забота о читателе.
                        +4
                        Ваш вопрос лично меня поставил в тупик. Можете пояснить логику, по которой размещение этой ссылки вообще может быть неэтичным?
                          0
                          О, это легко. Представьте что вы случайно забыли закрыть дверь своей квартиры. Ну бывает.
                          Ваш сосед это заметил.

                          И теперь он ходит по площадке перед домом, и каждому говорит что «Иванов забыл закрыть дверь своей квартиры».
                          С каждым новым человеком, которому ваш сосед сказал о вашей квартире, вероятность ее кражи возрастает.
                          Это как бы НЕ ПРЕСТУПНО, но и НЕ ЭТИЧНО.

                          Этичнее стать возле нее, позвонить вам, и спросить что делать дальше. Так-то.
                            +4
                            В статье указано, что Иванов забыл закрыть дверь своей квартиры целую вечность тому назад, а именно — в 2013 году. Квартира уже давно разграблена, дом сожжён, квартал снесён, город стёрт с лица земли. Пример Иванова служит назиданием потомкам.

                            Нет ничего неэтичного в том, чтобы сегодня рассказывать каждому, что Ахилла можно было убить ударом в пятку, поскольку Ахилл и так давно мёртв.
                              0
                              Приходит к тебе сосед и такой говорит: «Знаешь, я в прошлом году снял слепок с твоего замка, ну и раздаю его всем уже недельку. Но этож ничо плохого, тыж там еще щеколду поставил за этот год и вообще сам не живешь в квартире, чего тебе плохого от этого будет.»
                                0
                                Да, вот так ситуация выглядела в 2014 году, и тогда это действительно могло бы быть неэтично. Но сейчас уже нет.
                                  0
                                  Замени прошлый позапрошлым. Никакой принципиальной разницы нет.

                                  Я раздал всем слепок твоих ключей, друг, не переживай, тыж там не живешь, ну и пофигу на то что там у тебя лежит.
                          +1
                          Информацию обо всех уязвимостях как раз и надо публиковать со всеми подробностями и украденными данными. Именно потому, что это показывает последствия наплевательсткого отношения к информационной безопасности.

                          Почему это важно? Все просто: сейчас утекло 360 миллионов паролей от популярного сервиса. В комментариях смеются «Да кому нужен этот сервис!» Из-за развития IoT через 5 лет утечет 360 миллионов паролей от домашних камер, а через десять лет — 360 миллионов паролей от систем «Сверумный дом — управляй всей бытовой техникой и открывай двери со смартфона». Тогда кто-то будет смеяться?

                          Вы думаете, такого не будет? А с чего бы? Разработчики будут теми же самыми, ИБ будет уделено столько же внимания, если ничего не делать. Именно поэтому мы должны привлекать внимание людей к ИБ и показывать последствия игнорирования проблем, а не кричать, что это неправильно, некрасиво и неэтично.
                          +1
                          13 и 14 пароли — от любви до ненависти…
                          • UFO just landed and posted this here
                              0
                              Хит-парад top100 для тех, кто не будет качать, можете составить?
                                0
                                Я тоже вряд ли буду качать.
                                • UFO just landed and posted this here
                              +3
                              Тот эпохальный день, когда Blink 182 оказались популярнее, чем 50 Cent.
                                0
                                password1 — 2 место 585503
                                password2 50 место 55754
                                Отличная статистика )
                                Интересна частота встречи password1 — password10
                                  –1
                                  А разрешено открыто постить такие базы?
                                    +4
                                    у кого нужно было разрешение спросить?
                                    0
                                    Пароль на RAR-архив: KLub8pT&iU$8oBY(*$NOiu

                                    Почему не homelesspa?
                                    • UFO just landed and posted this here
                                        0
                                        при такой длине спец символы и прочее уже не так уж актуально.
                                        habrahabr.ru/post/220949
                                      +1
                                      База паролей — хороший. Только паролей в ней нет. Мне кажется, база хешей и база паролей это не одно и то же.
                                      Еще интересно, что во всех записях с паролем homelesspa присутствует второй пароль. И он везде уникальный.
                                      Пример записи из базы:
                                      555196985:msmhomelessartist+45624672@gmail.com:wilfriedboettcher:0xAB726600510D71831FB17A87A598EC755D6C3C74:
                                      0x10ED93E0B193A446C08FE7B8364D35F39C71438E
                                        –1
                                        Если убрать все числовые пароли, то останется 111 320 676 паролей.
                                        Числовые пароли тоже странные, почти всегда совпадают с «номером строки». Можно предположить, что пароль «не подобрался» по хэшу и вместо него записали номер.
                                        Т.о. не «Торрент с 427 000 000 паролей MySpace», «Торрент с 111 000 000 паролей и 427 000 000 хэшей MySpace».
                                        Собсна вопрос, а как законодательтва разных стран относятся к раздаче этого торрента?
                                        Файл явно заточен под «черные шапки», в то время как «белым шапкам» было бы достаточно просто списка подобранных паролей.
                                        «Черные шапки» теряют 33Гб, а «белые шапки» только 1.4Гб.
                                        Мораль: «белой шапкой» быть выгоднее! )
                                          0
                                          попытка пиара leakedsource.
                                          Пароли старые и уже давно использованные.
                                          Обзор leakedsource.com

                                          Only users with full accounts can post comments. Log in, please.