Добрые люди выложили в открытый доступ базу паролей MySpace, которая некоторое время ходила по подпольным форумам и продавалась за большие деньги. Теперь она бесплатна и открыта для всех.
База с 427 миллионами паролей — самая большая коллекция паролей за всю историю утечек с разных сайтов, коих было немало в последние годы.
Myspace.com.rar (14,2 ГБ)
Пароль на RAR-архив: KLub8pT&iU$8oBY(*$NOiu
SHA1: 8C7E FFE4 3486 C617 E1B4 E295 DBF7 9E10 01AC 86BD
SHA256: 5FA0 5F95 1EFD DA18 8A2E 3D50 8948 1A4F AACA 311E C559 205F EB15 B2BB F7DE EC61
Торрент
magnet:?xt=urn:btih:17E6FC94DAE0A3168301012C290A53A2BD314A28
Пары логин/пароль можно проверять на ящиках электронной почты Mail.ru, Gmail и др., на различных веб-сайтах, в том числе «Вконтакте» и TeamViewer. Утечка паролей MySpace произошла относительно недавно: 11 июня 2013 года, но львиная доля паролей была установлена гораздо раньше, когда MySpace ещё был популярным сайтом в интернете. Напомним, до появления Facebook это была самая популярная социальная сеть в мире.
Хотя большинство паролей установлены давным-давно, но некоторые пользователи много лет используют одинаковые ники и стандартные пароли на многих сайтах, так что эти пароли встр��чаются спустя несколько лет на новых сайтах, которые начали работу уже после MySpace. Другими словами, база паролей имеет не только академическую, но и практическую ценность для пентестинга.
Разумеется, гигантская коллекция паролей представляет интерес для исследователей и учёных. Раньше проводились исследования на эту тему и составлялись списки самых популярных паролей на менее объёмных базах.
Коллекция готовых паролей, ранжированная по популярности, отлично подходит для пополнения словарей в программах для брутфорса.
Всего база MySpace содержит 360 213 024 аккаунта. Для каждого из них указан может быть указан адрес электронной почты, имя пользователя, первый пароль и, в некоторых случаях, второй пароль.
Пароли хранились в виде хэшей SHA1 без соли, то есть их относительно просто привести в первоначальный вид. В реальности, 99% хэшей расшифровали в течение нескольких дней.
Хранение паролей в таком виде не соответствует общепринятым современным правилам информационной безопасности.
Эксперты, которые первыми получили доступ к базе и осуществили её анализ, отмечают, что очень небольшое количество паролей имеет длину более десяти символов.
Специалисты также предполагают, что большое количество аккаунтов с одинаковыми паролями homelesspa были автоматически сгенерированы, потому что почтовые адреса для этих аккаунтов следуют одинаковому шаблону.
В конце многих паролей указана цифра “1”. Скорее всего, MуSpace выдвигал требование, чтобы пароли обязательно содержали буквы и цифры для повышения безопасности и увеличения энтропии.
Самые популярные пароли из базы MySpace
Самые популярные почтовые домены из базы аккаунтов MySpace
Каждому пользователю рекомендуется скачать базу с паролями и проверить, насколько часто в ней встречается его собственный пароль. Это безопасный способ проверить свой пароль, не выдавая его онлайновому сервису проверки типа LeakedSource.
Появление паролей в открытом доступе после взлома сайта — всего лишь вопрос времени. В данном случае от взлома до появления их в открытом доступе прошло три года. «Это природа информации, — сказал хакер Tessa88, который рассекретил базу. — Трое могут хранить секрет только при условии, что двое из них умерли. Как только данные пару раз продали, в конце концов она попадёт в руки кому-нибудь не настолько надёжному, чтобы сохранить секрет, и затем информация распространяется ка ветви дерева [то есть в геометрической прогрессии — прим. пер.]».
Компания MySpace пока не комментирует факт взлома и утечки информации. Это был крупнейший сайт в интернете примерно десять лет назад, но с тех пор его посещаемость сильно снизилась. Недавно MySpace объявил о миллиарде зарегистрированных пользователей, но можно с большой долей уверенности предположить, что намного больше половины из них — это мёртвые аккаунты, покинутые давным-давно. В прошлом году активная месячная аудитория MySpace составляла всего 50 млн человек.
База с 427 миллионами паролей — самая большая коллекция паролей за всю историю утечек с разных сайтов, коих было немало в последние годы.
Myspace.com.rar (14,2 ГБ)
Пароль на RAR-архив: KLub8pT&iU$8oBY(*$NOiu
Скачать
SHA1: 8C7E FFE4 3486 C617 E1B4 E295 DBF7 9E10 01AC 86BD
SHA256: 5FA0 5F95 1EFD DA18 8A2E 3D50 8948 1A4F AACA 311E C559 205F EB15 B2BB F7DE EC61
Торрент
magnet:?xt=urn:btih:17E6FC94DAE0A3168301012C290A53A2BD314A28
Пары логин/пароль можно проверять на ящиках электронной почты Mail.ru, Gmail и др., на различных веб-сайтах, в том числе «Вконтакте» и TeamViewer. Утечка паролей MySpace произошла относительно недавно: 11 июня 2013 года, но львиная доля паролей была установлена гораздо раньше, когда MySpace ещё был популярным сайтом в интернете. Напомним, до появления Facebook это была самая популярная социальная сеть в мире.
Хотя большинство паролей установлены давным-давно, но некоторые пользователи много лет используют одинаковые ники и стандартные пароли на многих сайтах, так что эти пароли встр��чаются спустя несколько лет на новых сайтах, которые начали работу уже после MySpace. Другими словами, база паролей имеет не только академическую, но и практическую ценность для пентестинга.
Разумеется, гигантская коллекция паролей представляет интерес для исследователей и учёных. Раньше проводились исследования на эту тему и составлялись списки самых популярных паролей на менее объёмных базах.
Коллекция готовых паролей, ранжированная по популярности, отлично подходит для пополнения словарей в программах для брутфорса.
Всего база MySpace содержит 360 213 024 аккаунта. Для каждого из них указан может быть указан адрес электронной почты, имя пользователя, первый пароль и, в некоторых случаях, второй пароль.
- Имён пользователей — 111 341 258
- Аккаунтов со вторым паролем — 68 493 651 (в некоторых аккаунтах указан только второй пароль и не указан первый)
- Общее количество паролей — 472 484 128
Пароли хранились в виде хэшей SHA1 без соли, то есть их относительно просто привести в первоначальный вид. В реальности, 99% хэшей расшифровали в течение нескольких дней.
Хранение паролей в таком виде не соответствует общепринятым современным правилам информационной безопасности.
Эксперты, которые первыми получили доступ к базе и осуществили её анализ, отмечают, что очень небольшое количество паролей имеет длину более десяти символов.
Специалисты также предполагают, что большое количество аккаунтов с одинаковыми паролями homelesspa были автоматически сгенерированы, потому что почтовые адреса для этих аккаунтов следуют одинаковому шаблону.
В конце многих паролей указана цифра “1”. Скорее всего, MуSpace выдвигал требование, чтобы пароли обязательно содержали буквы и цифры для повышения безопасности и увеличения энтропии.
Самые популярные пароли из базы MySpace
| Место | Пароль | Количество |
|---|---|---|
| 1 | homelesspa | 855478 |
| 2 | password1 | 585503 |
| 3 | abc123 | 569825 |
| 4 | 123456 | 487945 |
| 5 | myspace1 | 276915 |
| 6 | 123456a | 244641 |
| 7 | 123456789 | 191016 |
| 8 | a123456 | 165132 |
| 9 | 123abc | 159700 |
| 10 | (POSSIBLY INVALID) | 158462 |
| 11 | qwerty1 | 141110 |
| 12 | passer2009 | 130740 |
| 13 | fuckyou1 | 125302 |
| 14 | iloveyou1 | 123668 |
| 15 | princess1 | 114107 |
| 16 | 12345a | 111818 |
| 17 | monkey1 | 106424 |
| 18 | football1 | 101149 |
| 19 | babygirl1 | 90685 |
| 20 | love123 | 88756 |
| 21 | a12345 | 85874 |
| 22 | iloveyou | 85001 |
| 23 | jordan23 | 81028 |
| 24 | hello1 | 80218 |
| 25 | jesus1 | 78075 |
| 26 | bitch1 | 78015 |
| 27 | password | 77913 |
| 28 | iloveyou2 | 76970 |
| 29 | michael1 | 75878 |
| 30 | soccer1 | 74926 |
| 31 | blink182 | 73145 |
| 32 | 29rsavoy | 71551 |
| 33 | 123qwe | 70476 |
| 34 | angel1 | 70271 |
| 35 | myspace | 69019 |
| 36 | fuckyou2 | 68995 |
| 37 | jessica1 | 67644 |
| 38 | number1 | 65976 |
| 39 | baseball1 | 65400 |
| 40 | asshole1 | 63078 |
| 41 | 1234567890 | 62855 |
| 42 | ashley1 | 62611 |
| 43 | anthony1 | 62295 |
| 44 | money1 | 61639 |
| 45 | asdasd5 | 60810 |
| 46 | 123456789a | 60441 |
| 47 | superman1 | 59565 |
| 48 | sunshine1 | 57522 |
| 49 | nicole1 | 56039 |
| 50 | password2 | 55754 |
| 51 | charlie1 | 54432 |
| 52 | shadow1 | 54398 |
| 53 | jordan1 | 54004 |
| 54 | 1234567 | 51131 |
| 55 | 50cent | 50719 |
Самые популярные почтовые домены из базы аккаунтов MySpace
| Место | Почтовый домен | Количество |
|---|---|---|
| 1 | @yahoo.com | 126 053 325 |
| 2 | @hotmail.com | 79 747 231 |
| 3 | @gmail.com | 25 190 557 |
| 4 | @aol.com | 24 115 704 |
| 5 | @aim.com | 5 345 585 |
| 6 | @live.com | 4 728 497 |
| 7 | @hotmail.co.uk | 4 701 850 |
| 8 | @msn.com | 4 378 167 |
| 9 | @myspace.com | 4 257 451 |
| 10 | @comcast.net | 3 275 651 |
| 11 | @ymail.com | 2 866 796 |
| 12 | @sbcglobal.net | 2 793 292 |
| 13 | @hotmail.fr | 2 335 422 |
| 14 | @web.de | 1 486 602 |
| 15 | @rocketmail.com | 1 420 819 |
| 16 | @yahoo.co.uk | 1 384 943 |
| 17 | @verizon.net | 1 255 478 |
| 18 | @cox.net | 1 082 304 |
| 19 | @mail.ru | 1 040 442 |
| 20 | @hotmail.it | 1 018 406 |
| 21 | @bellsouth.net | 961 018 |
| 22 | @gmx.de | 959 852 |
| 23 | @hotmail.de | 852 256 |
| 24 | @NONE | 790 159 |
| 25 | @yahoo.fr | 741 962 |
| 26 | @att.net | 685 951 |
| 27 | @earthlink.net | 652 769 |
| 28 | @hotmail.es | 612 748 |
| 29 | @yahoo.co.id | 604 816 |
| 30 | @yahoo.com.my | 601 114 |
| 31 | @yahoo.com.br | 551 956 |
| 32 | @charter.net | 548 031 |
| 33 | @yahoo.de | 543 823 |
| 34 | @live.fr | 518 523 |
| 35 | @netscape.net | 510 577 |
| 36 | @live.co.uk | 502 121 |
| 37 | @libero.it | 490 151 |
| 38 | @googlemail.com | 430 112 |
| 39 | @wp.pl | 401 928 |
| 40 | @live.com.mx | 397 944 |
| 41 | @yahoo.es | 389 453 |
| 42 | @yahoo.co.jp | 351 781 |
| 43 | @btinternet.com | 349 642 |
| 44 | @mail.com | 343 346 |
| 45 | @excite.com | 335 215 |
| 46 | @yahoo.com.mx | 330 927 |
| 47 | @qamail.msprod.msp | 328 267 |
| 48 | @peoplepc.com | 325 192 |
| 49 | @music.msprod.msp | 324 173 |
| 50 | @yahoo.ca | 320 579 |
| 51 | @tmail.com | 314 187 |
| 52 | @gmx.net | 310 143 |
| 53 | @netzero.com | 308 410 |
| 54 | @yahoo.it | 307 122 |
| 55 | @optonline.net | 306 284 |
Каждому пользователю рекомендуется скачать базу с паролями и проверить, насколько часто в ней встречается его собственный пароль. Это безопасный способ проверить свой пароль, не выдавая его онлайновому сервису проверки типа LeakedSource.
Появление паролей в открытом доступе после взлома сайта — всего лишь вопрос времени. В данном случае от взлома до появления их в открытом доступе прошло три года. «Это природа информации, — сказал хакер Tessa88, который рассекретил базу. — Трое могут хранить секрет только при условии, что двое из них умерли. Как только данные пару раз продали, в конце концов она попадёт в руки кому-нибудь не настолько надёжному, чтобы сохранить секрет, и затем информация распространяется ка ветви дерева [то есть в геометрической прогрессии — прим. пер.]».
Компания MySpace пока не комментирует факт взлома и утечки информации. Это был крупнейший сайт в интернете примерно десять лет назад, но с тех пор его посещаемость сильно снизилась. Недавно MySpace объявил о миллиарде зарегистрированных пользователей, но можно с большой долей уверенности предположить, что намного больше половины из них — это мёртвые аккаунты, покинутые давным-давно. В прошлом году активная месячная аудитория MySpace составляла всего 50 млн человек.
