Комментарии 50
^ Такой комментарий есть под каждой такой новостью, а вот ссылок в новостях как не было, так наверное и не будет.
Интересно почему, собственно нет ссылок? Ограничения правового поля?
Интересно почему, собственно нет ссылок? Ограничения правового поля?
Первое же предложение ссылка на первоисточник. Доступ к базе для работы только через API Leakedsource. А провериться если так:
Но кто же читает то.
You also may search for your email or username in any leaked databases by visiting our homepage.
Но кто же читает то.
это выходит, что бы восстановить свой пароль на мейл ру, мне надо будет купить его у каких то ребят, что свиснули у меня все данные? гениально. пробовал. предложили 2 доллара биткоинами скинуть. Хоть убейся, не знаю даже как их добыть. обидно, что в мейл ру работают такие товарищи. 3 года прошло, а восстановить не могу.
Я так понимаю что г-н Reeze имел ввиду ссылку на дамп базы, что я и комментировал.
Ведь «в руки» leakedsource она попала не из воздуха, правда же?
Из новостной записки прямо не следует что нет дампа «где-то на просторах тырнета».
Перефразируя вас — «но кто же думает когда читает то».
Ведь «в руки» leakedsource она попала не из воздуха, правда же?
Из новостной записки прямо не следует что нет дампа «где-то на просторах тырнета».
Перефразируя вас — «но кто же думает когда читает то».
Ссылок нет, потому что скорее всего базы нет в публичном доступе. leakedsource зарабатывает на продаже данных, и наиболее вероятно что они эти базы просто покупают на «чёрном рынке», или достают из старых запасов.
Хотелось бы узнать, в каком виде хранит пароли Яндекс. Дело в том, 15 лет назад я создал сайт на народе, в этом году решил поправить кодировку, но не помнил пароль — в итоге мне его просто прислали открытым текстом.
P.S. Да, я знаю, что народ — это уже Юкоз, а не Яндекс, но сам факт передачи пароля в открытом виде возмутителен.
P.S. Да, я знаю, что народ — это уже Юкоз, а не Яндекс, но сам факт передачи пароля в открытом виде возмутителен.
Чтобы не отставать от конкурентов, сотрудники Рамблера сами опубликовали базу своих учетных записей (с) Интернеты
sho_opyat.jpg
Походу там все эти базы хранятся на одном сервере.
Походу там все эти базы хранятся на одном сервере.
Нашел свою заблокированую почту от мейл ру там, на сервисе. предлагают купить за 2 доллара. весело.
товарищи, есть ли хоть какой тут представитель мейл ру, что мог бы помочь? я изза этой утечки 12 года (по сайту 13) не могу зайти на свой аккаунт мейл ру (vip-zone@mail.ru) хотя у меня есть доступ к привязаному к аккаунту телефону, который там висит там уже много лет. пароль вспомнить не могу, вместо секретного вопроса стоит 21 знак вопроса. вводя код восстановления — отправляет заполнять анкету «так как помню», после чего меня шлют на 3 буквы боты, каким фиг что обьяснишь. Есть хоть один живой человек? крыша уже едет! свяжитесь со мной по адресу justasstog@mail.ru, пожалуйста.
товарищи, есть ли хоть какой тут представитель мейл ру, что мог бы помочь? я изза этой утечки 12 года (по сайту 13) не могу зайти на свой аккаунт мейл ру (vip-zone@mail.ru) хотя у меня есть доступ к привязаному к аккаунту телефону, который там висит там уже много лет. пароль вспомнить не могу, вместо секретного вопроса стоит 21 знак вопроса. вводя код восстановления — отправляет заполнять анкету «так как помню», после чего меня шлют на 3 буквы боты, каким фиг что обьяснишь. Есть хоть один живой человек? крыша уже едет! свяжитесь со мной по адресу justasstog@mail.ru, пожалуйста.
после чего меня шлют на 3 буквы боты
Незнаю как сейчас, восстанавливал пол года назад там почту. Заполнял всё по-памяти, в течении дня уже имел доступ. Главное полно заполнить анкету.
При этом я аккаунтом не пользовался с 2008-го года.
понимаешь в чем дело. Имейл есть в списке взломаных. Теперь не хотят восстановить. туда прикручен мобильник. с 2006 года номер один и тот же у меня. Секретный вопрос оно отображает как ??????? ??????? ??????.. И я точно помню, что такой не оставлял. Там был нормальный вопрос, на который я дал нормальный таки ответ. пароль точно никак не вспомню. А в остальном — бот просто не поймет что написано. Например. Пароль не менял раньше. Как указать что других паролей небыло, если надо заполнить поле? А как указать, что нет имени — фамилии? а как указать, что с ящика никуда не писал лично с 2010 года? а как указать, что ящик для всякого хлама и форумов? да только от не учел другого. Аккаунт одной не очень популярной браузерной игры, в которую я играю с 2004 года — привязан именно к этой почте. и я не могу зайти ни на одного из персонажей, так как все пароли просто забылись. а на почту напомнить не могу. Вот и юмор весь. Я написал на все возможные мейл ру адреса, подал несколько заявок так, напрямую. и ничерта.
Нашел свою заблокированую почту от мейл ру там, на сервисе. предлагают купить за 2 доллара. весело.Хотел было вам помочь и купить для вас ваш пароль за 2$!
Но я не нашел на leakedsource аккаунт vip-zone@mail.ru. Там есть информация о vip-zone@mail.ru только по myspace, rambler и lastfm, а непосредственно по mail.ru нет
Восстанавливали почту через неделю после последнего захода (пароль давно не помнили, но авторизационная кука спасала) — ответили на вопросы, получили фигу в ответ. Было несколько (5?) лет назад. Сейчас, конечно, уже даже точно момент не вспомнить. Забытую чуть не в начале 0х свою почту даже не пытался восстановить, ибо материалов для анкеты ещё меньше и следов ннаверняка не осталось.
свяжитесь со мной по адресу justasstog@mail.ru
Я после аналогичного случая потратил некоторое время, и заменил на всех значимых аккаутнах ящики майла на яндекс и гугл.
Ага. Двухфакторную.
Только не забывайте что у Рамблера двухфакторная авторизация работает только для России, Беларуси и Украины. И если человек куда-либо переехал то ящиком фиг воспользуешься.
Только не забывайте что у Рамблера двухфакторная авторизация работает только для России, Беларуси и Украины. И если человек куда-либо переехал то ящиком фиг воспользуешься.
Простите, но как включить на Рамблере двухфакторку? Сколько уже не отслеживаю этот момент, так и не нашел еще этого. На том же Яндексе вот вроде бы она есть, но не по стандартному протоколу как у всех нормальных людей — поэтому, что есть — что нет. К своему приложению аутентификатору уже не подключить
Все просто:
Авторизуемся.
Справа вверху иконка аккаунта ->Мой профиль
Указать номер телефона.
Авторизуемся.
Справа вверху иконка аккаунта ->Мой профиль
Указать номер телефона.
Значит в моем случае двухфакторная аутентификация не работает, т.к. номер у меня указан достаточно давно, но никакой авторизации при заходе с новых устройств не запрашивается. Хотя использую и всегда использовал почту из России, номер Российский, язык выставлен Русский. Что я делаю не так?
Не знаю почему так у вас.
У меня двухфакторная авторизация сразу после добавления почтовых ящиков.
У меня двухфакторная авторизация сразу после добавления почтовых ящиков.
Написал в поддержку:
Получил ответ:
Так что судя по всему или этот функционал не для всех или мы с Вами говорим о каких-то разных вещах :)
Здравствуйте! Хотел бы использовать двухфакторную аутентификацию, телефон в учетной записи добавлен уже достаточно давно. Но при заходе в почту с разных неизвестных устройств достаточно только пароля, а хотелось бы еще подтверждение по телефону. Спасибо
Получил ответ:
Здравствуйте,
В данный момент подобная возможность в web-интерфейсе почты отсутствует. Мы постоянно добавляем новые возможности согласуясь с пожеланиями и потребностями наших пользователей. Ваше предложение учтено и будет передано разработчикам. Спасибо!
Так что судя по всему или этот функционал не для всех или мы с Вами говорим о каких-то разных вещах :)
У меня словарик для взлома паролей на 2 гига, текстовый файл, думаю, что с ним можно восстановить до 90% паролей, т.к. народ не всегда серьезно относится к безопасности. Даже если сервис хеширует пароли, их все равно множно восстановить, если они относительно простые.
Эм… а bcrypt? По словарику уже не выйдет.
2-х факторная авторизация от глобальных взломов точно спасёт. Даже зная пароль жертвы, если авторизация привязана в том числе и к телефону, то увы и ах.
Если второй канал не SMS. SMS — дыра.
А почему «SMS — дыра»?
Потому что были инциденты с выдачей дубликатов SIM. Но для этого нужно знать номер телефона жертвы и иметь определённый доступ к инфраструктуре сотового оператора.
Более реальную опасность представляет интернет-банкинг в некоторых банках (в т.ч. и топ-10): при наличии карточки и телефона можно получить полный доступ к интернет-банку. Вводишь номер карты — на телефон приходит SMS с паролем без всяких проверок — доступ есть. Если физически отжать кошелёк с телефоном, что проще, чем сделать дубликат SIM, то это дыра в безопасности.
Более реальную опасность представляет интернет-банкинг в некоторых банках (в т.ч. и топ-10): при наличии карточки и телефона можно получить полный доступ к интернет-банку. Вводишь номер карты — на телефон приходит SMS с паролем без всяких проверок — доступ есть. Если физически отжать кошелёк с телефоном, что проще, чем сделать дубликат SIM, то это дыра в безопасности.
Потому что мобильная связь сама по себе изначально не безопасный канал. Хорошая подача общей информации тут: https://meduza.io/feature/2016/08/13/sms-dolzhny-umeret-kak-mozhno-skoree-i-vot-pochemu
например, потому что при переезде в другую страну вспоминаешь о старых своих аккаунтах когда уже оператор отдал твою симку кому-то.
bcrypt почти никто и не использует, т.к. её основной плюс является и основным минусом для веба. Ну и по словарику выйдет, распараллеленный jtr вполне себе справляется с этой задачей.
SMS — дыра, с этим я согласен. Именно поэтому я уточнил, что 2-х факторная авторизация точно спасёт от глобальных взломов. Если вы являетесь целью хакеров/спецслужб, вас вообще ничего не спасёт, против утюга и паяльника не поспоришь.
SMS — дыра, с этим я согласен. Именно поэтому я уточнил, что 2-х факторная авторизация точно спасёт от глобальных взломов. Если вы являетесь целью хакеров/спецслужб, вас вообще ничего не спасёт, против утюга и паяльника не поспоришь.
М… это что-то новое. Какой же минус у bcrypt для веб? Мы вот используем, да ещё и с work factor = 13. Никто не жаловался пока.
Перебор bcrypt по словарю, конечно, возможен, но вот перебирать придётся каждый аккаунт по отдельности, а не строить табличку, как в случае какого-нибудь sha-1. Плюс это, в отличие от простого хеша, очень не быстро.
- Это может сделать массовый реверс паролей в относительно короткие сроки коммерчески не выгодным предприятием.
- Это даст время, в случае обнаружения утечки, без спешки закрыть дыры и попросить юзеров сменить пароли.
2-х факторная аутентификация — это не всегда SMS. Есть тот же Google Authenticator, например, для TOTP и HOTP. В случае использования их становятся фактически невозможны man in the middle и reply.
Вы это кто? Я о том, какая у вас нагрузка? Сопоставимая с рамблером? Я к тому, что высоконагруженный сервис не будет тратить машинное время на «долгую» авторизацию, это ни к чему.
«каждый аккаунт по отдельности» смешно ;) радужные таблицы это из категории «пароли в открытом виде». Когда речь идёт о восстановлении пароля из хеша, речь именно про перебор по алгоритму, а не про радужные таблицы. На перебор 100млн акков с известным алгоритмом (даже bcrypt) и известными солями (что предполагается) по словарю в 2 гига и нормальным железом уйдёт не более полугода.
Если вы параноик, которому нужно «здесь и сейчас», то пол года, конечно, это невозможно, не в этой жизни. А если для вас подобные базы — ремесло, то пол года это просто выделенная дата в календаре с подписью «rambler.ru»
«каждый аккаунт по отдельности» смешно ;) радужные таблицы это из категории «пароли в открытом виде». Когда речь идёт о восстановлении пароля из хеша, речь именно про перебор по алгоритму, а не про радужные таблицы. На перебор 100млн акков с известным алгоритмом (даже bcrypt) и известными солями (что предполагается) по словарю в 2 гига и нормальным железом уйдёт не более полугода.
Если вы параноик, которому нужно «здесь и сейчас», то пол года, конечно, это невозможно, не в этой жизни. А если для вас подобные базы — ремесло, то пол года это просто выделенная дата в календаре с подписью «rambler.ru»
Мы — это Stay.com. Нагрузка, естественно, значительно меньше рамблера. Но не мы одни. Из крупных bcrypt как минимум у Slack, Dropbox, Ashley Madison.
Вообще авториазация, учитывая всякие токены и remember me, происходит не так уж и часто. Чтобы нормально загрузить ей современную среднюю машинку надо чтобы одновременно авторизовалось около 150 юзеров. То есть ещё не факт, что с 98 млн. юзеров Рамблера набежит значительное для производительности число одновременных авторизаций. Я бы замерил...
На перебор 100млн акков с известным алгоритмом (даже bcrypt) и известными солями (что предполагается) по словарю в 2 гига и нормальным железом уйдёт не более полугода.
Интересно. А как вы считали? bcrypt по времени вычисления кардинально отличается от хешей без стретчинга. При использовании bcrypt с cost=13 и 6-и символьным паролем на один полный перебор одного хеша при использовании фермы из 6-и мощных видеокарт (~$15000 + остальное железо и большие счета за электричество) уйдёт примерно 21 день. Каждый GPU даёт ~28 хэшей в сек.
Если вы параноик, которому нужно «здесь и сейчас», то пол года, конечно, это невозможно, не в этой жизни. А если для вас подобные базы — ремесло, то пол года это просто выделенная дата в календаре с подписью «rambler.ru»
Тут согласен на 100%. Но всё-таки за пол года вероятность обнаружить факт взлома, закрыть дыру и ресетнуть пароли гораздо выше, чем при «здесь и сейчас».
stay.com прикольный сервис.
Тотальный брутфорс 6-ти символьного пароля это далеко не перебор по словарю, но ваши расчёты впечатляют, реально медленно. Мои данные из старых наработок, прогнать базу в несколько десятков миллионов пользователей по словарю, даже если там bcrypt с солью не занимало сверх много времени. Возможно, соль была не достаточной, возможно, словарик тогда использовал не шибко здоровый.
В случае с рамблером, учитывая количество сервисов совершенно разношёрстных, как по году «производства» так и по «качеству», авторизаций должно набегать нормальное количество.
Ну а найти дыру за пол года, в случае, если аттакующий не наследил, практически невозможно.
Тотальный брутфорс 6-ти символьного пароля это далеко не перебор по словарю, но ваши расчёты впечатляют, реально медленно. Мои данные из старых наработок, прогнать базу в несколько десятков миллионов пользователей по словарю, даже если там bcrypt с солью не занимало сверх много времени. Возможно, соль была не достаточной, возможно, словарик тогда использовал не шибко здоровый.
В случае с рамблером, учитывая количество сервисов совершенно разношёрстных, как по году «производства» так и по «качеству», авторизаций должно набегать нормальное количество.
Ну а найти дыру за пол года, в случае, если аттакующий не наследил, практически невозможно.
Возможно, у вас cost для bcrypt был не сильно высоким для того набора хешей.
В случае с рамблером, учитывая количество сервисов совершенно разношёрстных, как по году «производства» так и по «качеству», авторизаций должно набегать нормальное количество.
Возможно, но это предположение, требующее проверки.
Ну а найти дыру за пол года, в случае, если аттакующий не наследил, практически невозможно.
Если не делать аудит кода на предмет безопасности раз в пару месяцев — согласен.
О сколько нам открытий чудных… Как, как я вас спрашиваю, пароль «cfreyjdf», в русской раскладке «сакунова», взлетел на 7 позицию с частотой аж 237 009.
Вот дела, зато обновил все на всех других сразу, давно надо было.
Ух, восстановил 4 древних почты о которых забыл лет наверное еще 10 назад =D
Ребяты, если у сервиса масштаба рамблера утекла база, то плейн-текст пароли в ней — далеко не самая большая проблема. Более того, совсем не проблема на фоне остального.
Ну вы же не используете одинаковые пароли на разных сайтах, да?) Ну даже если используете, хотя бы логины на всяких мейлах с вконтактиками у вас отличаются, т.е. автоматом их не подберёшь?)
Так вот даже не ваша личная переписка (кому вы нужны?), а всякие служебные сообщения от разных там сайтов, которые можно парсить автоматом по всей базе — вот это действительно проблема. Там ведь и паспортные данные из авиабилетов можно брать, и адреса доставки фаллоимитаторов размера «огнетушитель» (ну вряд ли это подарок тёще), и номера карточек регекспом парсить (фигли там, [45]\d{3}...}, и по совокупности — вот она цифровая кража вашей личности… Массовая кража роботом!
ALL YOUR BASE ARE BELONG TO US!
Ну вы же не используете одинаковые пароли на разных сайтах, да?) Ну даже если используете, хотя бы логины на всяких мейлах с вконтактиками у вас отличаются, т.е. автоматом их не подберёшь?)
Так вот даже не ваша личная переписка (кому вы нужны?), а всякие служебные сообщения от разных там сайтов, которые можно парсить автоматом по всей базе — вот это действительно проблема. Там ведь и паспортные данные из авиабилетов можно брать, и адреса доставки фаллоимитаторов размера «огнетушитель» (ну вряд ли это подарок тёще), и номера карточек регекспом парсить (фигли там, [45]\d{3}...}, и по совокупности — вот она цифровая кража вашей личности… Массовая кража роботом!
ALL YOUR BASE ARE BELONG TO US!
Так как узнать свой старый пароль-то?)
не основная база пользователей рамблера, а какая-то условно «соседняя»
Вполне может быть и основной.
Вот только что зашел на ozon.ru, нажал кнопку "забыл пароль".
И что бы вы думали?
Здравствуйте, Алексей
Рады видеть Вас на Ozon.ru
Ваш логин: my-email@mail.ru
Ваш пароль: мой-реальный-парольНа минуточку, один из крупнейших онлайн-магазинов России.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
В сети опубликовали базу из 98 млн учетных записей Rambler