Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 150
То что папром в хеш виде это не страшно
Ребята, я малость не в теме. Подобный стиль обращения хакера, это прикол или он что-то этим подчёркивает?
Просто я такое видел последний раз лет 5-6 назад на сайтах типа udaff.
Просто я такое видел последний раз лет 5-6 назад на сайтах типа udaff.
Что-бы не спалили, каждый человек пишет по своему, свой вариант написания текста. Кто-то например делает ошибку, и постоянно перед И ставит запятую. В данном случае легче написать по левому, не по своему, что-бы в случае чего не было подозрений на тебя
Я тоже подумал, про некую форму конспирации, но вдруг это дело рук какой-то организации. В некоторых сообществах имеется свой стиль письма и обращений.
ты «чтобы» тоже неправильно пишешь, чтобы тебя не спалили?
Тоже не понимаю, мог бы просто нос зажать и набирать типа «Парамаунт пик-черзз представляет!».
Забавно, но еще можно писать грамотно, без орфографических, пунктуационных и стилистических ошибок. Тогда тоже никто не узнает.
Это уже распространенная практика
Имиджборды способствуют такой манере в наши дни.
Скорее все таки падонкаффский сленг, на имиджбордах хоть и своеобразно, но все таки грамотно общаются, если не школота (а школота вряд ли бы смогла хакнуть что-либо).
Такой стиль повествования автора уже давно нигде не используется. Напоминает разве что творчество с udaff.com. Видимо как сказали уже выше текст написан так чтобы запутать следы.
нигде не используется
Ох, если бы. Примитивизация речи используется довольно широко и волна распространения идет как раз от этих самых имиджборд. Например, мем хлебушек.
файлопомойку хабраэффектом накрыло?
походу да
Опередили =)
Эту ссылку наверняка растиражировали уже по всему рунету.
И Хабр в том трафе — малая часть.
И Хабр в том трафе — малая часть.
могли бы уже где-нибудь и перезалить
См. здесь.
Да не о том речь.
Тут часто любят преувеличивать значимость хабраэффекта (наверное, чувство гордости порождает :)
х/э легко кладет какую-нибуть частную VDS-ку, но никак не файлопомойку.
Тут часто любят преувеличивать значимость хабраэффекта (наверное, чувство гордости порождает :)
х/э легко кладет какую-нибуть частную VDS-ку, но никак не файлопомойку.
А ссылка, видимо, подверглась «хабра-эффекту»
Кто-то таки перезалил в dropmefiles.com/8TNIu
Мало приятного, я там есть.
у меня тоже вроде был привязан, но меня также нет… а может и не привязан
А я сейчас глянул свой профиль, телефон не привязан, но я там есть.
Видимо из-за взлома перестало работать из API.
Не работает их официальное приложение play.google.com/store/apps/details?id=ru.freelance
краткий анализ выявил что адресс апи больше не существует: www.fl.ru/external/post-json/index.php
Надеюсь что временно, через приложения удобно было мониторить
Не работает их официальное приложение play.google.com/store/apps/details?id=ru.freelance
краткий анализ выявил что адресс апи больше не существует: www.fl.ru/external/post-json/index.php
Надеюсь что временно, через приложения удобно было мониторить
Ждем сайта slivfl.ru где можно быстренько проверить свой логин и телефон =)
Уже делаем)
И мы запустили: slivfl.ru
Зачем вы выводите данные?
А какой смысл что-то скрывать, если данные уже в публичном доступе?
mega.co.nz/#!aQcSFL4K!yR-YrLp0WAFpxT2ywMym5jxzFP6H50j-BDBVddX88KM
mega.co.nz/#!aQcSFL4K!yR-YrLp0WAFpxT2ywMym5jxzFP6H50j-BDBVddX88KM
и стырили мой css и текст и вообще почти все :(
вбиваем 0 в поиске и получаем всю базу.
На стороннем ресурсе, где новость была уже вчера предлагают такой вариант с .htaccess — заходишь на страницу с профилем, добавляешь тот же slil перед доменом и видишь контакты пользователя.
кстати, может замутить на коленке?
А… пока ждал свои 5 минут отхабренного — уже творят)
кстати, может замутить на коленке?
А… пока ждал свои 5 минут отхабренного — уже творят)
$ grep -r 'your_data' /parts/
Не то чтобы это имело значение, но можно и поменьше цифр и букв показывать… Для идентификации достаточно первых двух и последней одной буквы мыла и двух-трёх первых и двух последних цифр телефона. Пересечений не настолько много, чтобы скрывать только три-четыре значащих символа.
Согласен. Сейчас обновлю.
Уже доступно по адресу fl-check.ru
Уже доступно по адресу fl-check.ru
Хороший способ собрать остальные адреса фрилансеров =)
Надо же. Есть в списке. Ну хоть в какой-то список я угодил. Теперь буду более мнительным и с большим подозрением относиться к входящим звонкам, все также ленясь встать и ответить.
Ой, а меня нет. Видимо не всю базу слили
Особо весело вспоминается, что эти ребята предлагали всем в обязательном порядке обсуждать детали проектов в личных сообщениях, писать все пароли явки и данные по сути вопроса. Тогда забили себе гвоздь в крышку гроба, а теперь еще и добивают.
Я насчитал 180,869 уникальных ников.
Вот создал чекер на скорую руку — eg0r.ru/fl/
У меня в настройках привязка мобильного телефона выключена. И в топе страницы предлагается привязать телефон к аккаунту и получать SMS-уведомления. Тем не менее я нашёл свой телефон в слитых данных. Я уже не помню, возможно когда-то я и вводил его, а потом удалил. Означает ли это, что FL.ru продолжал хранить его? Вопрос, собственно, риторический.
cat ./*|cut -d"@" -f2|cut -d" " -f1|sort|uniq -c|sort -nr|head -n50Top 50 почтовых доменов
58415 mail.ru
43725 gmail.com
27521 yandex.ru
6385 rambler.ru
5807 bk.ru
4181 list.ru
4078 inbox.ru
3725 ya.ru
2575 ukr.net
1308 yahoo.com
835 i.ua
814 tut.by
693 hotmail.com
513 yandex.ua
411 bigmir.net
341 live.ru
306 meta.ua
305 narod.ru
249 ngs.ru
243 me.com
187 pochta.ru
177 qip.ru
176 ua.fm
157 pisem.net
147 yandex.com
143 nm.ru
125 sibmail.com
125 inbox.lv
100 e1.ru
99 mail.ua
96 yandex.by
92 ro.ru
85 googlemail.com
83 front.ru
82 land.ru
77 spaces.ru
75 mail.com
74 hotbox.ru
69 ymail.com
69 mail.by
66 li.ru
62 xakep.ru
55 km.ru
55 e-mail.ua
54 gala.net
48 gmail.ru
47 newmail.ru
47 lenta.ru
45 nxt.ru
45 live.com
43725 gmail.com
27521 yandex.ru
6385 rambler.ru
5807 bk.ru
4181 list.ru
4078 inbox.ru
3725 ya.ru
2575 ukr.net
1308 yahoo.com
835 i.ua
814 tut.by
693 hotmail.com
513 yandex.ua
411 bigmir.net
341 live.ru
306 meta.ua
305 narod.ru
249 ngs.ru
243 me.com
187 pochta.ru
177 qip.ru
176 ua.fm
157 pisem.net
147 yandex.com
143 nm.ru
125 sibmail.com
125 inbox.lv
100 e1.ru
99 mail.ua
96 yandex.by
92 ro.ru
85 googlemail.com
83 front.ru
82 land.ru
77 spaces.ru
75 mail.com
74 hotbox.ru
69 ymail.com
69 mail.by
66 li.ru
62 xakep.ru
55 km.ru
55 e-mail.ua
54 gala.net
48 gmail.ru
47 newmail.ru
47 lenta.ru
45 nxt.ru
45 live.com
Имею 2 акка (фрилансер, работодатель), слился только тот, в который я заходил в начале февраля. До этого на фри-лансе не логинился больше года.
Совокупность имени, фамилии и телефона являются персональными данными? (Судя по обсуждению — да).
Не сказать прямо, что все это очень приятно. Уже спам на телефон посыпался.
Совокупность имени, фамилии и телефона являются персональными данными? (Судя по обсуждению — да).
Не сказать прямо, что все это очень приятно. Уже спам на телефон посыпался.
Факты о таком зверском, просто бесчеловечном геноциде нельзя скрывать, они должны быть вынесены на суд мировой общественности, лучше всего прямо в ООН.
Да все интернеты просто забиты подробностями этого гнусного злодеяния!
Как страшно житьВНа Крыму нав пункте пропуска «Чонгар» произошел забавный инцидент. Российские пограничники задержали у себя на границе двух пьяных вна дым украинских коллег, заглянувших так сказать «нав огонек».
— Два украинских пограничника (1990 и 1978 года рождения) пришлинав пропускной пост с несколькими бутылками пива и патронами АК, — рассказали «КП» вна пресс-службе Пограничного управления ФСБ России по Республике Крым. – Мужчины сказали, что им было скучно, и они решили зайти в на гости, чтобы вместе выпить и поговорить по душам о ситуации между Россией и Украиной.
Обоих пограничников задержали до выяснения обстоятельств.
— Удивляет то, чтовна своем поведении они не видели ничего странного, — говорят вна пресс-службе. – Оба пограничника утверждают, что им нав посту пить никто не запрещает, и несколько литров пива еще никому не вредили. О каком порядке нав украинской границе вообще можно говорить, если пограничники, которые считаются лицом государства, работают вна состоянии алкогольного опьянения?
(с)
— Два украинских пограничника (1990 и 1978 года рождения) пришли
Обоих пограничников задержали до выяснения обстоятельств.
— Удивляет то, что
(с)
Бггг, и себя нашел. Собственно, кроме «мусорной» почты, ничего нового, чего в сети не найти.
А вообще, на сайт админы забили. Все. Точка.
А вообще, на сайт админы забили. Все. Точка.
Я уже пять лет фигею с free-lance.ru. Не перестают «радовать» сюрпризами. Приблизительно раз в год они делают себе серьезную антирекламу. Хотя давайте, в таком же духе. Чем больше инцидентов, тем быстрее Заказчик перейдёт на тот же адекватный «фрилансим» :).
Нашел себя… Радуюсь, что с момента регистрации там я успел дважды сменить почту и один раз телефонный номер.
Нашёл себя в БД, пойду пароль поменяю.
А меня нет =)
Я правда сервисом года 2 не пользуюсь.
Я правда сервисом года 2 не пользуюсь.
Самое странное, что я в списке есть, но там указан мой старый телефон, который я сменил 2 месяца назад на сервисе. Скорее всего база не новая. Хорошо, что утёк старый номер телефона =)
В этой базе только те, кто привязывал аккаунт к номеру телефона. Ценность данных только в том, что в файле указаны почтовые адреса и номера телефонов пользователей, которые в профиле не светились (хотя могли и совпадать), а использовались при регистрации и привязке. Интересно что покажет их расследование, но почему то мне кажется, что слив был сделан через админку одним из модераторов (самостоятельно, или его взломали), поэтому доступа к паролям пользователей, даже в хешированном виде, у него не было.
Как он тогда написал сообщение от чужого имени, если доступа к паролям нет?
Он получил доступ к аккаунтам администраторов и видимо после этого уже смог слить базу.
Вариантов несколько:
1) злоумышленник узнал пароль от аккаунта модератора, дампил базу, опубликовал от него же, или от другого аккаунта, от которого он тоже знал пароль.
2) злоумышленник и так знал пароль от аккаунта модератора, ибо раньше работал в этой компании. месяца три назад ему сказали что у него осталось две недели, он слил базу пользователей (те данные, что ему отображались в админке), регнул аккаунт и ушёл. сейчас вернулся и из под недавно зарегистрированного аккаунта выложил старый дамп.
1) злоумышленник узнал пароль от аккаунта модератора, дампил базу, опубликовал от него же, или от другого аккаунта, от которого он тоже знал пароль.
2) злоумышленник и так знал пароль от аккаунта модератора, ибо раньше работал в этой компании. месяца три назад ему сказали что у него осталось две недели, он слил базу пользователей (те данные, что ему отображались в админке), регнул аккаунт и ушёл. сейчас вернулся и из под недавно зарегистрированного аккаунта выложил старый дамп.
Аккаунту пол года отроду, телефон подтвержден.
заходил 3 дня 19 часов назад
В базе нет.
Похоже, сливали инъекцией, а собирали даные чем-то внедренным
заходил 3 дня 19 часов назад
В базе нет.
Похоже, сливали инъекцией, а собирали даные чем-то внедренным
Не совсем понятна реакция администрации FL.ru. С момента слива прошло больше суток.
Пользователям не сообщили. Обсуждения на форуме по этой теме закрываются. Вот, например, тема с их форума, где люди случайно узнали о том, что вообще произошел слив:
feedback.fl.ru/topic/620155-administratsii-vsyo-ravno-na-svoih-polzovatelej/
Что сделала администрация? Удалила тему из общего доступа. Также поступают с остальными темами про слив.
Это далеко не первый слив персональных данных в истории интернета. Если я правильно понимаю, то обычной практикой является наиболее широкое освещение этой информации, а не попытки зарыться в землю аки страус. Ведь нужно, чтобы люди знали о том, что их личная информация скомпроментирована и приняли меры — поменяли пароль, поменяли телефон, поменяли email или вообще ничего не делали. Тут главное — известить клиентов о факте взлома и утечки их данных.
Да, это пятно на репутации FL, но от попыток замалчивания это пятно только увеличивается. Нужно включить режим damage control, признать, что произошел слив и довести до сведения всех клиентов. Сейчас о факте слива знают только пользователи хабра.
Пользователям не сообщили. Обсуждения на форуме по этой теме закрываются. Вот, например, тема с их форума, где люди случайно узнали о том, что вообще произошел слив:
feedback.fl.ru/topic/620155-administratsii-vsyo-ravno-na-svoih-polzovatelej/
Что сделала администрация? Удалила тему из общего доступа. Также поступают с остальными темами про слив.
Это далеко не первый слив персональных данных в истории интернета. Если я правильно понимаю, то обычной практикой является наиболее широкое освещение этой информации, а не попытки зарыться в землю аки страус. Ведь нужно, чтобы люди знали о том, что их личная информация скомпроментирована и приняли меры — поменяли пароль, поменяли телефон, поменяли email или вообще ничего не делали. Тут главное — известить клиентов о факте взлома и утечки их данных.
Да, это пятно на репутации FL, но от попыток замалчивания это пятно только увеличивается. Нужно включить режим damage control, признать, что произошел слив и довести до сведения всех клиентов. Сейчас о факте слива знают только пользователи хабра.
Не совсем понятна реакция администрации FL.ru
С ними все уже давно понятно, они всегда наплевательски относились к своим пользователям.
Вчера здесь был опубликован ответ генерального директора:
ЦП обратился за комментарием к гендиректору FL.ru Владимиру Тарханову, который пояснил, что с точки зрения безопасности наличие такой базы угрозы не несёт, так как для получения доступа к паролю пользователя злоумышленнику пришлось бы взламывать его почтовый ящик или пытаться получить дубликат SIM-карты. Информация, опубликованная взломщиком, и ранее находилась в открытом доступе, так как многие пользователи сами размещают свои контактные данные для общения с заказчиками или фрилансерами, пояснил он.
Он так уверен, что все фрилансеры рады засветить свои телефоны в Интернете… Нет слов, одни эмоции…
Нда… Типа все нормально, ерунда, не парьтесь. И это платный сервис.
А то, что в базе помимо телефонов хранится и коммерческая информация и частная переписка, которая тоже могла быть слита? Или типа ее не опубликовали — переживать нечего?
То, что имея хэш пароля при желании можно получить доступ к аккаунту? И насколько можно быть уверенным, что хэш не декриптуется?
Фри-лансу мало проблем с кидаловом и с негативным отношением пользователей к проекту, упорно продолжают рыть себе яму.
А то, что в базе помимо телефонов хранится и коммерческая информация и частная переписка, которая тоже могла быть слита? Или типа ее не опубликовали — переживать нечего?
То, что имея хэш пароля при желании можно получить доступ к аккаунту? И насколько можно быть уверенным, что хэш не декриптуется?
Фри-лансу мало проблем с кидаловом и с негативным отношением пользователей к проекту, упорно продолжают рыть себе яму.
Информация, опубликованная взломщиком, и ранее находилась в открытом доступе..., пояснил он.
Аж два раза. Как насчет номеров телефонов? У меня, например, телефон даже в личном кабинете не прописан, но в слитой базе как-то оказался.
Ясное дело, что взломали. Ведь запись была опубликована с аккаунта администрации.
Аналогично. Не вписан, не привязан, но в базе есть.
Наверное, Вы выводили деньги за СБР (чтобы это сделать нужно получить одноразовый пароль по СМС) или каким-то другим образом хоть раз воспользовались телефоном при взаимодействии с сайтом.
Определенно базу слил какой-то уволенный сотрудник/партнер дабы насолить текущей администрации.
Факты за вышесказанное:
— нет аккаунтов, которым более 3-6 месяцев. (моего текущего нет — 4.5 мес, старый ~6 лет — присутствует с телефоном, который был изменен ~4.5 месяца назад)
— старые данные в базе (телефон,email)
— формат сообщения о взломе явно показывает «показушность» сообщения
Факты за вышесказанное:
— нет аккаунтов, которым более 3-6 месяцев. (моего текущего нет — 4.5 мес, старый ~6 лет — присутствует с телефоном, который был изменен ~4.5 месяца назад)
— старые данные в базе (телефон,email)
— формат сообщения о взломе явно показывает «показушность» сообщения
Базу взломали — это косяк. Но от этого никто на 100% не застрахован, будем реалистами.
Но как компания реагирует на подобные проблемы? Меня раздражает не только факт взлома, но очень плохая реакция со стороны компании на это. Нужно:
— сделать рассылку по пользователям
— разместить новость на главной
— объяснить какие именно данные скомпроментированы
— успокоить людей типа «ведем расследование» (это самое простое)
— на самом деле провести расследование (это посложнее)
— заткнуть дыры (если были) и двигаться дальше
Поезд уехал, так что нужно просто взять на себя ответственность. Нужно дать понять, что компания хоть и косячит, но думает о пользователях. Сейчас выходит, что компания косячит, но о пользователях особо не думает.
Но как компания реагирует на подобные проблемы? Меня раздражает не только факт взлома, но очень плохая реакция со стороны компании на это. Нужно:
— сделать рассылку по пользователям
— разместить новость на главной
— объяснить какие именно данные скомпроментированы
— успокоить людей типа «ведем расследование» (это самое простое)
— на самом деле провести расследование (это посложнее)
— заткнуть дыры (если были) и двигаться дальше
Поезд уехал, так что нужно просто взять на себя ответственность. Нужно дать понять, что компания хоть и косячит, но думает о пользователях. Сейчас выходит, что компания косячит, но о пользователях особо не думает.
Непонятно одно — почему не выложили на торренты? зачем вот эти депозитфайлс если есть torrent magnet ссылка? пришлось потратить минут 15 что бы проверить нахождения себя в БД.
А вообще, злоумышленник мог бы и добрее быть. Сливал бы помимо телефонов-адресов-имен еще и сферу деятельности, отзывы, ссылку на портфолио — вот это все. Не так обидно было бы. А от этой базы ничего кроме приглашения на новый фриланс-сайт ждать не приходится.
Врят ли базу сломали, скорее всего просто парсили с платного аккаунта, но недопарсили, т.к. ограничительная политика сервака сработала. Поэтому и акков в результирующих файлах мало.
А что, это оказывается не вся база… проверил рабочий акк и заказчика — слава Богу нету.
И не все аккаунты с привязанными телефонами в нее попали.
И не все аккаунты с привязанными телефонами в нее попали.
Испытываю двойную обиду, т.к. на fl.ru не появлялся несколько лет и примерно месяц назад не смог зайти на их сайт, потому что fl меня знать не знает, мол, аккаунт удалили за сроком давности. И сейчас любуюсь на себя в слитой базе. Нет слов, одни эмоции.
Не могу зайти на их форум:
feedback.fl.ru/
Вижу «У Вас нет доступа к этому форуму». Хотя несколько часов назад проблем не было.
Либо администрация закрыла форум для всех. Либо администрация закрыла форум для тех, кто обсуждает слив данных. Либо просто какой-то глюк. Вас пускают на форум?
feedback.fl.ru/
Вижу «У Вас нет доступа к этому форуму». Хотя несколько часов назад проблем не было.
Либо администрация закрыла форум для всех. Либо администрация закрыла форум для тех, кто обсуждает слив данных. Либо просто какой-то глюк. Вас пускают на форум?
Другие биржи теперь смотрятся еще привлекательнее на фоне FL.
P.S. Кстати, если не переключать раскладку на английскую, то при вводе букв fl получаем ад. Символично.
P.S. Кстати, если не переключать раскладку на английскую, то при вводе букв fl получаем ад. Символично.
Целый килограмм ада — ад.кг
Давно заметил )
Символично, что Вася в свое время приветствовал новых разработчиков фразой «Добро пожаловать в ад».
Так же символично, что когда был в команде разработчиков (а проект тогда был на домене free-lance.ru), локально проект у меня работал на любых доменах кроме «fl» — причину выяснить так и не смог, пришлось переименовывать )
Символично, что Вася в свое время приветствовал новых разработчиков фразой «Добро пожаловать в ад».
Так же символично, что когда был в команде разработчиков (а проект тогда был на домене free-lance.ru), локально проект у меня работал на любых доменах кроме «fl» — причину выяснить так и не смог, пришлось переименовывать )
После предыдущих шумих вокруг fl.ru Карма у их профиля Freelance упала ниже плинтуса. Они тогда завели новый аккаунт freelanceru. Странно что у него карма чистая.
Разработчики FL уже год не могут исправить поле сайт в профиле. Не проходят валидацию адреса в новых TLD.
Ребята пилят новые фишки, а старые ошибки видимо исправлять некому. О какой безопасности речь.
Ребята пилят новые фишки, а старые ошибки видимо исправлять некому. О какой безопасности речь.
Прошла почти неделя, а никаких официальных комментариев по поводу ситуации до сих пор нет. Только молча заставили сбросить пароль при попытке залогиниться (причем, опять же, никаких предупреждений не было, тупо разлогинили).
А ведь утекли персональные данные. Может быть, пора уже на них заяву катать? Пусть органы наводят порядок в компании, раз они сами не могут этого делать.
А ведь утекли персональные данные. Может быть, пора уже на них заяву катать? Пусть органы наводят порядок в компании, раз они сами не могут этого делать.
Столько лет прошло / бабла пришло, а фри-ланс не меняется. Разве, что в худшую сторону.
UPD: Появился сервис, где каждый по логину/почте/номеру/ФИО может проверить себя на нахождение в базе:
Уберите пожалуйста эту ссылку, при переходе по ней у меня в новой вкладке открылся левый сайт, который зациклил алерты и не давал ничего с делать браузером не смотря на хромовские галочки: «блокировать алерты в этом окне», требуя 5000 рублей и угрожая полицией.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Слив данных 180 тысяч пользователей FL.ru