Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 163
Интересно, чем обусловлена популярность пароля под номером 32?
Набрученые фейки?
Меня больше удивил PolniyPizdec0211 с частотой использования 33к.
Более 33000 аккаунтов, зарегистрированных одним скриптом?
Это крестик на цифровой клавиатуре, и, думаю, на приложении для смартфона.
А посмотрите на цифровой клавиатуре как его набирать, крестик получается, видимо по этому.
Любопытно, что Марины ставят на пароль своё имя чаще всех. Как и фанаты самсунга ставят имя любимого бренда.
Не факт, что Марины ставят своё имя в качестве пароля чаще других. Тот факт, что они попали в выборку, может быть обусловлен целым рядом причин. Никто ведь не говорил, что выборка взломанных аккаунтов равномерно распределена по всему множеству id профилей. Другими словами, возможно, Марин просто по каким-то причинам чаще ломали. А ситуация с фанатами самсунга, в добавок к вышеозвученному, может быть вызвана еще и тем, что самих фанатов самсунга вконтакте больше, чем фанатов других брендов :)
Видимо это фанаты группы Гражданская оборона)
на цифровой клавиатуре вводят крестом
у вас тут прямо целая перепись не сумевших сопоставить порядковый номер 32 и значение
Спасибо. Я-то сидел и голову ломал, на какой такой цифровой клавиатуре можно «0211» набрать крестом.
А я до сих пор не вкурил…
Это они 33й пароль объясняют вместо 32го
Не знаю что произошло с коментариями, но вчера все коментарии были к посту с вопросом именно о пароле 159753, причем, что пароль был прописан в коментарии. Зато всем минусы наставили просто так.
Да тут все комментарии в ветке — вчерашние, вообще-то. И в комментарии за 8 часов до вашего уже шутка о том, что комментаторы не умеют считать до 32.
С нуля нумеруют, небось.
Для этого нужно зарегистрироваться и оплатить подписку. От 2$ биткоинами либо 4$ через paypal за сутки.
Так смените свой пароль от вконтактика и всё тут. Лучше перебздеть, чем недобздеть. Тем более, смена пароля — дело элементарное. Никуда ходить с бумажками и документами не надо…
Ну, если пароль действительно утек, то стоило бы задуматься каким образом, а если нет — то и силы тратить не за чем.
Увидел новость, зашел в вк, обнаружил, что они ввели двухфакторную аутентификацию — включил. Сменил пароль. Закрыл все активные сессии. Вроде успокоился )
Биткоины не так уж и сложно купить, достаточно приобрести BTC-E USD за любую электронную валюту или даже с карты, а потом вывести уже в BTC. Комиссии минимальны, можно даже с 0% обменять при желании.
чтобы узнать, находится ли ваша кредитная карта в базе карточных воров, отправьте нам ее номер и CVC код (с)
Зачем проверять? Нашли свою почту — смените пароль.
Планово меняю пароль где-то раз в месяц. Везде где можно включена двойная авторизация по СМС. В пароли фонетическая абракадабра со спецсимволами.
Самы сок, что в VK сижу в ридонли, мог бы сидеть с фейка. А с паролями – просто полезная привычка.
Самы сок, что в VK сижу в ридонли, мог бы сидеть с фейка. А с паролями – просто полезная привычка.
По описанию непонятно следующее. Можно ли прогу выставить наружу, чтобы смотреть свои пароли не с основного компа?
Нет. Либо использовать программы удаленного доступа к компьютеру где крутится KeePass.
Либо, как вариант: https://habrahabr.ru/post/269895/
Либо, как вариант: https://habrahabr.ru/post/269895/
lastpass в помощь
Синхронизировать файл базы с «надежным облаком». И уже с этим файлом синхронизировать локальные базы например на телефоне.
Ещё включить верхние пункты, чтоб блокировался когда надо:
Временные ограничения (блокироваться через Х минут) мне, лично, не нравятся.
Скрытый текст
Временные ограничения (блокироваться через Х минут) мне, лично, не нравятся.
Ники у вас тоже, судя по всему «фонетическая абракадабра со спецсимволами» :)
А в ВК советую ставить 2хфакторную через приложение. Всё-таки оно более безопасно, чем СМС.
Смена пароля сделает утёкший хэш невалидным. До следующей утечки, конечно.
а где можно проверить свой мейл?
Странно, показывает, что мой email якобы есть в базе сайта «MYCE.com», хотя я там в жизни не бывал и не регистрировался.
У меня показывает, что мой email есть в базе VK, но на этот email не зарегистрирован аккаунт, даже сам контакт при попытке восстановления пароля говорит об этом.
Может быть раньше был привязан? А то у меня тоже показывает, что в базе ВК, но там почту я сменил где-то полгода назад.
Первый акк удалён мной больше 3 лет назад — в базе висит (я уже и пароль от него не помню), 2-й регал в 2012 (по логину с привязкой к номеру) — не найден (пароль там поинтереснее). В теме на хабре есть предположение, что после слива хеши чекали… долго, и ещё 71 миллион записей на сегодня не прочеканы. Непонятно, почему другие 100 миллионов записей хранились не зашифрованы. Впрочем, сейчас так новости пишутся.
https://haveibeenpwned.com/
Там ещё подписаться можно, очень удобно :)
Там ещё подписаться можно, очень удобно :)
А где проверить, если мой емаил в базе?
Возможно и риторический для многих вопрос, но КАК ему это удалось?
Это Паша базу сливает:)
Судя по паролям ясно что это брут.
Причём по словарю. А судя по паролю №32 – по адаптированному на русских словарю.
Это вы по топовым паролям поняли? Там дальше есть такие пароли, для брута хеша от которых даже в md5 потребуется нереальные мощности, и то скорее найдётся коллизия, чем сам пароль.
Ну, может, это объединённая база, собранная разными техниками — брут, фишинг, етц.
Фишинг. Вообще, аккаунты vk и прочих соцсетей продаются по всему интернету и стоят не очень дорого, получают их явно не брутом, а скорее с фейков.
В базе я обнаружил не только свой основной аккаунт, но и временные, которые создавались на «один раз» и больше нигде не использовались и не светились. Кроме того, в базе есть информация, которая в моём профиле скрыта настройками приватности от «не друзей». Если допустить, что это собранная из разных источников база, то её собирали очень качественно.
Точно нет, именно взлом. Мой одноразовый пользователь там был.
Интересно еще то, что не все пользователи слиты. К примеру, мой аккаунт там с 2007 года, а у жены с 2014 — оба не найдены (или не все данные предоставлены). Так что пока что в голову пришли такие мысли:
— Зараженные устройства пользователей, очень вероятно.
— Мобильное приложение, маловероятно — пользуемся ими на трех платформах (iOS, Android, Windows Phone) и нас нет.
— Атака непосредственно на сервера vk, вполне вероятно, особенно если принять данные о том, что взлом был где-то в 2011-2013 и Heartbleed тогда был известен далеко немногим.
— Банальный перебор по словарю. Маловероятно, но почему бы и нет? Учитывая, что слита почти треть пользователей, то вполне возможно, что этот список был получен брутфорсом, зная почту или телефон для входа (скорее телефон).
— Атака MITM. Вероятно. Тут могут быть и взломы внутри операторов, роутеры/точки доступа с бэкдорами итд.
А еще в голову пришла мысль, что подавляющее большинство пользователей в слитой БД — это боты.
— Зараженные устройства пользователей, очень вероятно.
— Мобильное приложение, маловероятно — пользуемся ими на трех платформах (iOS, Android, Windows Phone) и нас нет.
— Атака непосредственно на сервера vk, вполне вероятно, особенно если принять данные о том, что взлом был где-то в 2011-2013 и Heartbleed тогда был известен далеко немногим.
— Банальный перебор по словарю. Маловероятно, но почему бы и нет? Учитывая, что слита почти треть пользователей, то вполне возможно, что этот список был получен брутфорсом, зная почту или телефон для входа (скорее телефон).
— Атака MITM. Вероятно. Тут могут быть и взломы внутри операторов, роутеры/точки доступа с бэкдорами итд.
А еще в голову пришла мысль, что подавляющее большинство пользователей в слитой БД — это боты.
В августе 2013 года vk перешел на https по-умолчанию… Пока что все сходится.
Сейчас нет возможности проверить трафф с мобильного клиента, но посмотрел на браузер.
Можно зайти на страницу vk.com по http(видимо безопасный вход уже не по-умолчанию), ввести реквизиты для входа и наблюдать все данные в открытом виде. Уже только после авторизации происходит редирект на https. При этом еще передаются хэшы с заголовками: ip_h и lg_h.
Не думаю, что в мобильном клиенте все иначе.
Можно зайти на страницу vk.com по http(видимо безопасный вход уже не по-умолчанию), ввести реквизиты для входа и наблюдать все данные в открытом виде. Уже только после авторизации происходит редирект на https. При этом еще передаются хэшы с заголовками: ip_h и lg_h.
Не думаю, что в мобильном клиенте все иначе.
огромное спасибо за совет! Я думал они по дефолту используют протокол https везде, где можно
Есть несколько аккаунтов в ВК, тремя пользуюсь довольно часто (захожу из разных доступных мне браузеров), скомпрометирован один — основной. Разницу вижу только в том, что он используется в мобильном приложении в телефоне и планшете.
Нашел там свой старый, давно деактивированный аккаунт (других нет).
Пароль был на тот момент не слишком серьёзный, так что тоже склоняюсь к перебору.
Пароль был на тот момент не слишком серьёзный, так что тоже склоняюсь к перебору.
Там база по состоянию на 2011 год, возможно в то время у вашего аккаунта был другой email. Большинство пользователей ВК — боты, причём до ввода подтверждения по номеру телефона их регистрировали сумасшедшими темпами. База выглядит так, будто её реально слили с серверов ВК, а не сдампили с компьютеров юзеров троянами или плагинами к браузеру.
Я сделал поиск по частым именам и сделал выборку в 60 паролей pastebin.com/98VLqPSu
Много цифровых паролей: простые пароли, даты, телефоны, непонятные. Есть пароли из цифр и текста, похоже, что использовался русский словарь, но переведенный в раскладку латиницей (йцукен -> qwerty). И есть сложные пароли, но их, скорее всего, установили злоумышленники после взлома аккаунта
Много цифровых паролей: простые пароли, даты, телефоны, непонятные. Есть пароли из цифр и текста, похоже, что использовался русский словарь, но переведенный в раскладку латиницей (йцукен -> qwerty). И есть сложные пароли, но их, скорее всего, установили злоумышленники после взлома аккаунта
Помнится, в 2012 году у меня взломали анкету и повступали меня в группы. Признаюсь честно, пароль был примитивный (но в топе популярных его нет ;)). Только уже тогда при заходе из постороннего места запрашивались цифры телефона, которые злоумышленник знать не мог (и вообще вряд ли кто-то мог знать, так как там был использован телефон, который я никому не давал). Я задал вопрос поддержке, мол, как это так не сработала защита по номеру телефона. Адекватного ответа так и не получил. Последний ответ закончился фразой «ничего определенного сказать пока нельзя.»
Возможно, моя анкета стала жертвой именно того взлома в промежутке 2011 и 2013 годов.
Возможно, моя анкета стала жертвой именно того взлома в промежутке 2011 и 2013 годов.
Пароль под номером 48 говорит об исключительном интеллекте людей с неким именем.
Обнаружил аккаунты себя, девушки, пары друзей в этой базе. Если сольют в открытом виде — потом проверю актуальность базы, т.к. действовавший до этого момента пароль я не менял уже довольно давно. Но это, конечно, потрясающе. Надеюсь, ВК заставит всех, чьи аккаунты были скомпрометированы поменять пароль на следующем входе.
Кстати, пароль явно подбирался не брутфорсом, т.е. налицо именно взлом (в пароле присутствовали цифры, спецсимволы и буквы вперемешку). Не могу сказать на 100%, что это не фишинг, потому что в наше время уже ни в чем точно уверенным быть нельзя, и какая-нибудь подмена DNS имени vk.com у провайдера или на DNS-сервера на роутере могла бы быть. Как пример — совсем недавно у одного из моих клиентов обнаружился взлом роутера ASUS RT-N12, который, как выяснилось, до последних прошивок ломался очень легко. Так вот, там был указан чей-то непонятный DNS-сервер, соответственно, все запросы шли через него.
Но, думаю, какой-нибудь откровенно аляповатый фишинг-сайт я бы распознал.
Но, думаю, какой-нибудь откровенно аляповатый фишинг-сайт я бы распознал.
А можно подробности про взлом роутера? У меня у самого RT-N10, но я постарался его защитить стандартными настройками как смог: запрет отвечать на пинги, запрет админки наружу, нестандартные пароли.
Сдаётся мне, слив через сервис типа MusicSig и типа того.
Мне кажется все куда проще:
1. Вирусы, которые добавляют в hosts vk.com. Видел такое довольно часто, один раз вместо VK у человека начал открываться какой-то ВСССР.
2. Всякое ПО и расширения для скачивания музыки, просмотра «гостей» и прочего, которые требуют указания логина и пароля.
3. Рассылка «у вас новое сообщение» по email базам, ссылка из письма ведет на фейк, где прикручена форма авторизации.
Подмена DNS на роутерах — это скорее экзотика.
1. Вирусы, которые добавляют в hosts vk.com. Видел такое довольно часто, один раз вместо VK у человека начал открываться какой-то ВСССР.
2. Всякое ПО и расширения для скачивания музыки, просмотра «гостей» и прочего, которые требуют указания логина и пароля.
3. Рассылка «у вас новое сообщение» по email базам, ссылка из письма ведет на фейк, где прикручена форма авторизации.
Подмена DNS на роутерах — это скорее экзотика.
Ну, СССР — это не обязательно левый сайт. Это такой «скин» интерфейса, родившийся из первоапрельской шутки. Можете включить, поменяв в настройках язык на «Советский».
Скрытый текст
> Надеюсь, ВК заставит всех, чьи аккаунты были скомпрометированы поменять пароль на следующем входе.
Главное, чтобы это не новые владельцы ВК актуализовали базу паролей.
И, конечно, минус им в карму за хранение паролей в неашифрованном виде.
Главное, чтобы это не новые владельцы ВК актуализовали базу паролей.
И, конечно, минус им в карму за хранение паролей в неашифрованном виде.
А где вы нашли эту базу?
Насколько я знаю, сейчас вк не дает сменить пароль без привязки телефона. Или давай номер или гуляй Вася. А не все хотят это делать.
а пароль под номером 48? Откуда такая популярность имени Марина?
Кстате про номера — в русском языке тысячные отбиваются пробелом, а не запятой, как в США. Выбешивает. Корректор вообще есть?
Комментарии об утечке от Вконтакте:
http://www.rbc.ru/technology_and_media/06/06/2016/575507249a7947351eb7bc0f?from=main
http://www.rbc.ru/technology_and_media/06/06/2016/575507249a7947351eb7bc0f?from=main
А хранение паролей пользователей в plaintext как-то соотносится с законом о защите персональных данных? Или там нет подобных требований?
Ну вот Роскомнадзор это и проверит: https://lenta.ru/news/2016/06/08/check_vk/
С удивлением обнаружил, что даже Яндекс хранит пароли в plain text.
Создал я в 2002 году сайт на narod.ru (который был яндекс, а теперь теперь юкоз). Сегодня решил зайти и поправить кодировку. Пароль не помню, решил восстановить на почту. Каково же было моё удивление, когда в письме пришла ссылка, но которой я могу не поменять, а посмотреть пароль. Нажал, увидел пароль, при этом обратил внимание, что вместо HTTPS использовался просто HTTP. Стало совсем грустно.
Создал я в 2002 году сайт на narod.ru (который был яндекс, а теперь теперь юкоз). Сегодня решил зайти и поправить кодировку. Пароль не помню, решил восстановить на почту. Каково же было моё удивление, когда в письме пришла ссылка, но которой я могу не поменять, а посмотреть пароль. Нажал, увидел пароль, при этом обратил внимание, что вместо HTTPS использовался просто HTTP. Стало совсем грустно.
Кто-либо из тех, чей e-mail обнаружился в базе покупал у них доступ?
Если есть такие, отозвитесь пожалуйста, действительно ли слит актуальный пароль.
Если есть такие, отозвитесь пожалуйста, действительно ли слит актуальный пароль.
а где можно посмотреть свой пароль?
94 тысячи опечаток yndex.ru, 43 тысячи опечаток mail.ry
Попробовал сменить пароль в ВК, в ответ упорное:
«Невозможно сменить пароль.
Попробуйте указать другой пароль или изменить его позже.»
«Невозможно сменить пароль.
Попробуйте указать другой пароль или изменить его позже.»
Интересно, не хотят ли сами vk.com купить базу и хотя бы указать пользователям, какие пароли были скомпрометированы? (Прямо таргетно по e-mail'y, при следующем входе в аккаунт).
Ведь пароль могут использоваться и на других сервисах.
Ведь пароль могут использоваться и на других сервисах.
Нашел свой e-mail с пометкой Adobe database. Не припомню, чтобы когда-либо там вообще регистрировался.
а если мой email есть в базе и типа взломан в vk.com. но дата указана как 0000-00-00 00:00:00?
На странице https://www.leakedsource.com/blog/vk в разделе Passwords написано следующее:
Не хочется верить, что в таком крупном и относительно взрослом проекте применяются столь небезопасные подходы. Хотя все подробности указывают на то, что сказанное выше — жесть и правда :(
Passwords were stored in plaintext with no encryption or hashing. The methods VK used for storing passwords are not what internet standards propose because hackers can now see all 100 million passwords used on the site.
Пароли хранились в открытом виде без шифрования или хеширования. Эта стратегия хранения паролей позволила хакерам получить все 100 млн паролей, используемых на сайте.
Не хочется верить, что в таком крупном и относительно взрослом проекте применяются столь небезопасные подходы. Хотя все подробности указывают на то, что сказанное выше — жесть и правда :(
Скорее всего бэкап базы уперли. Сплошь и рядом бэкапы охраняются как попало, а то и доступны в виде дампа dump.sql прямо с корня сайта )
Мой аккаунт привязан к мобильному номеру — как в этом случае можно навредить?
Самое безобидное: проспамить ленту и лички друзей. Или в группы добавить.
Самое опасное: сделать от вашего аккаунта репост чего-нибудь не того.
Самое опасное: сделать от вашего аккаунта репост чего-нибудь не того.
Как они зайдут в аккаунт? Отключат привязку?
Если вы имеете ввиду двухфакторную авторизацию, то да, в аккаунт войти они не смогут (особенно если она по приложению). Если просто привязку, то она ничего не дает. Указать номер телефона, привязанный к аккаунту попросят только при заходе с заспамленного прокси или IP другой страны, если заходить с чистого прокси вашей страны, то пустит без вопросов.
Пароль может утечь в базы для брутфорса, потому лучше больше такой нигде не использовать
Валидность базы :) Реклама и попытка привлечь покупателей. База гуляет в сети более 5 лет.
За это время её уже использовали вдоль и поперёк.
Обзор leakedsource.com
За это время её уже использовали вдоль и поперёк.
Обзор leakedsource.com
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Данные более 100 млн аккаунтов «Вконтакте» продаются в сети за 1 биткоин