Утечка логинов, паролей и почты пользователей чата Youporn

[@sneep39]

Это прискорбно…

[@Chesnovich]

Yoporn.com подправьте

[@Maximuzzz]

В данном случае именно youporn.com

[@enchantner]

палево палево

[@Chesnovich]

чё ж меня минусовать? если автор ошибся

[@Haoose]

1. Автор не ошибся.
2. Такие сообщения (об ошибках) отправляются в личку, а не в комментариях.

[@dymonix]

Ну опечатка же в последнем абзаце, разве нет?

[@Kuuuzya]

Букву «u» эту увидеть должен ты

[@Chesnovich]

1. Автор ошибся
2. А какая разница? важно чтобы автор исправил ошибку, которую до сих пор не исправил. При переходе на которую мы попадаем на какойто конкурс с крышками для iPhone

[@Maximuzzz]

Да, действительно ошибся, не внимательность это мой конек. Исправил, спасибо!

[@Duha666]

Как-то жаль этих людей. Уже третий пароль подошел к почте.

[@xReaper]

не трож.

[@Maximuzzz]

Сначала сомневался, стоит ли писать об этом, подумав именно о людях, но с другой стороны информация уже «поползла» по миру и единственное, что может им помочь, своевременная реакция администраторов сайта и собственно «голова на плечах» самих пользователей, если она у них есть — быстрее узнают о проблеме — быстрее сменят свои пароли на почте и прочих ресурсах.

[@Duha666]

Стоит учесть, что дата последнего лога — 2010-ый год. У них явно было время.

[@Maximuzzz]

Значит «головы» нет, хотя с другой стороны, пока гром не грянет — мужик не перекрестится.

[@snowytoxa]

2010 только на wayback machine, а вот в торрентах и 2012 есть.

[@warlog]

где торрент? трб молчит

[@fuzzy]

bitsnoop.com/tmp-q34779123.html — вроде похоже оно…

[@warlog]

Благодарю.

[@shrikus]

Спасибо.

[@snowytoxa]

а вот и он

[@shrikus]

Да. Хотелось бы узнать про торрент поподробнее…

[@snowytoxa]

см. мой комент выше

[@L3n1n]

Можно конечно сделать рассылку что бы сменили пароли. Но такое количество писем нужно рассылать не один день…

[@Chesnovich]

Рай для порно-спамеров

[@korjik]

Уже впоймали хабраэффект?

[@drfisher]

Опять пароль менять :(

[@DeadFine]

А нафига там регаться?

[@stopmosk]

чтобы избранное держать, вестимо

[@areht]

Там же ссылочки на скачку есть. Мне говорили…

[@Spavvn]

Знакомый рассказывал, ага ;)

[@areht]

/оглядываясь/ кто здесь??

[@azxc]

Ага, и это один и тот же знакомый на весь интернет.

[@Duha666]

Судя по размеру логов, под Новый год шанс, что вам дадут выше на 25%

[@VMAtm]

С сервера уже не доступно.
Но Гугл услужливо предлагает кэшированную версию.

[@de1337ed]

Как хорошо в контекст вписывается слово «утечка»

[@Shark]

А ведь они недавно на Redis перешли. Интересно, это связано?

[@Shark]

А нет, видимо просто руки кривые.

[@snizovtsev]

Фух, вроде пронесло.

[@delph]

Наверно они просмотривая у себя траффик с хабра подумают, вот уж эти горячие русские головы и горячие русские программисткие ладони нами заинтересовались :)

[@hudson]

Ладони эта пять )

[@hudson]

Youporn не так давно перешёл с Catalyst на Symfony2 (пруф groups.google.com/group/symfony-devs/browse_thread/thread/586328a113e39846/d1b80a6dcf047a43). Интересно, чат тоже?

[@stfalcon]

все. сейчас PHP обвинят во всех смертных грехах :)

[@hudson]

Не факт что чат мигрировали )

[@zim32]

Ну сколько можно хранить пароли в открытую? Добавить 2 строчки кода и все. Один вывод — это делается намеренно.

[@trijin]

А вы смотрели логи? там просто дамп POST параметров.
Если уж додуматься вставить две строчки шифрования или хеширования, то можно и догадаться не сохранять логи в таком виде.

[@AbnormalHead]

История один в один похожа на историю кэширования мегафоновских смс яндексом.

Разница только в пикантности прохешированных данных.

Ну и то, что wayback archive целый год имел доступ к явно служебной папке совсем не красит админов сайта.

[@L3n1n]

Из торрента кто то точно чекает все пароли. Штуки 3 попробовал и на всех капча, а hotmail выдает что превышен лимит неправильно введенного пароля

[@nick4fake]

Да вообще, Tor еле работает

[@ilovepeople]

на основе логов собрать словарик паролей,
написать парсер для email= password=, не составляет труда

[@trijin]

Интересовались бы Redis — узнали бы о ссылке чуть раньше )

[@Xlab]

Для любителей редиски, так сказать

[@FSA]

Я уже тут подумываю тут сайт этот раскручивают. Уже второй раз вижу. Первый именно редиска была.

[@hazg]

«а вот на WayBack machine эти данные сохранены» — хабр против порева

/irony

[@L3n1n]

Уже 1млн уникальных mail и парсинг все еще идет. Совсем не утечка :-D

[@L3n1n]

1383080 ящиков!

[@Darbin]

Быстрый у тебя скрипт — у меня пока 500K, но я знаю к чему стремится :)

[@L3n1n]

Это у тебя что то слишком медленный ). Я сделал глупость добавить поле в БД во время инсертов. Все встало на 1 час…

[@Ierixon]

чет много вышло, там ~500к будет, это если без проверки на валидность, т.е. blabla@blabla тоже войдут в эту кучу.

[@L3n1n]

А вот и первая статистика самых популярных паролей:

pass cnt
123456 34097
123456789 8782
12345 5655
password 4034
1234 3892
qwerty 2874
12345678 2728
1234567 2457
111111 2086
123123 1940
123 1840
youporn 1839
000000 1778
1234567890 1526
pussy 1108
654321 1075
sex 1043
666666 971
ficken 967
fuckyou 953
abc123 933
fuckme 903
iloveyou 866
azerty 824
liverpool 820
1111 695
121212 694
football 680
fuck 669
123321 665

[@putnik]

Именно «ficken»? Немцы?

[@L3n1n]

Именно так как выше.
Мне показались более странными пароли liverpool и football.
Выводы не стану озвучивать :)

[@alprk]

azerty — французы)

[@Omni]

паролей fuckme больше, чем iloveyou — логично! :-)

[@openkazan]

странно что нет в TOP-е 123qwe )

[@SoLRoN]

А ведь только совсем недавно писали что они перешли на redis. Ведь про них?

[@RulleZ]

pron`их

[@iSeiryu]

Некоторые логины/пароли к почтовым ящикам подходят. Открыл два, а там сплошной спам, что в Отправленных, что во Входящих. Даже в почтовом чате все контакты — боты.

[@dohlik]

«коллега из Швеции» — звучит несколько двусмысленно в данном контексте ;)

[@Maximuzzz]

Ну уж какие есть )

С праздником!

[@woopler]

в почте у посетителей порно намного круче