Рынок данных в даркнете: как купить чужие данные и не потерять свои

[VladSmir]

Что-то у вас тут цены заоблачные. И о каком падении цен идет речь?) 5 лет назад скан документов стоили 100-300 деревянных. Данные CC были по 5-10 зеленых

[xsevenbeta]

Ни за что не поверю, что могут гарантированно взломать чей-то акк gmail или фб всего за 50-60$. Это скам?

[aborouhin]

Я так понимаю, это предложения формата "мы тут кого-то рандомного взломали, вот Вам доступ", а не "мы взломаем того, кого Вы укажете". В оригинале там именно "Hacked Gmail account" написано.

[Xokare]

Gmail аккаунты стоят в диапозоне от 10 до 100р в зависимости от характеристик. Какие 50$. В исследовании ИМХО по ряду позиций цены завышены, по другой же, напротив, занижены

[Marinacolec]

Хороши данные) кто уже затестировал?

[Roland21]

3000 за паспорт ЕС? Рандомный или прямо с твоим фото? :))

[Tschuess]

Даже если цены в 10 раз ниже или в 10 раз выше приведённых — это не влияет на масштабы проблемы.

"Паниковский всех продаст и купит. И ещё раз продаст. Но уже дороже." И. и П.

[CBET_TbMbI]

используйте менеджер паролей. Многие из них бесплатны. Помнить пароли за вас может также ваш браузер.

А насколько они безопасны?

[xtended]

Палка о двух концах кмк. Ну, кроме браузера, в них непонятно почему рекомендуют в статье хранить. Любой стилер вытащит их оттуда с радостью, в отличии от парольных менеджеров (не всех разумеется). А почему палка, думаю что запоминать разные криптостойкие пароли, да еще и подходящие по требования к разным сайтам, будет тупа лень большинству. А тут все в одном месте, удобно, да и защита вроде как есть. А если использовать одинаковый пароль, либо попроще, что по словарю переберется, это очевидно проще, но не очень безопасно

[plFlok]

на примере lastPass: их похачили полтора года назад, хеши (на самом деле шифрованные пароли) утекли. "Но вы не переживайте, это же хеши", - ответила поддержка, и прислала инвойс на следующую годовую подписку.

Потом интересовались, почему я не стал продлевать подписку. "you had one job", как говорится.

[3ycb]

на примере lastPass:

А как вообще можно было начинать иметь дело с любой проприетарной конторой, которая хранит твое кровное, где-то в небесах, не пойми где, не пойми как, да еще за деньги, если есть куча бесплатных и проверенных опенсорсных альтернатив?

lastPass:- Как корабль назовешь, так он и поплывет. "ПоследнийПароль" типа последний, с концами. Хорошо уж, что не LostPass

[Doman]

Тот же 1Password регулярно проходит аудиты, имеет сертификацию SOC 2 type 2, поэтому вопросов "где?" и "как?" не возникает. Подробнее здесь.

А вот self-hosted решения требуют собственной инфраструктуры, которая, за редким исключением, настраивается любителем и не проходит никаких аудитов. Как и сами oss решения, кстати. Спасает только "неуловимость Джо", но если вылезет какой-нибудь эксплойт через открытый порт, то ваш сервер быстро заshodanят и сольют всё что надо.

Конечно, можно держать локальные контейнеры и синхронизовать их всякими дропбоксами и rsync-ами, но удобство такого решения далеко от SaaS решений.

Поэтому вопрос выбора хранилища паролей остается открытым.

[3ycb]

Тот же 1Password регулярно проходит аудиты, имеет сертификацию SOC 2 type 2, поэтому вопросов "где?" и "как?" не возникает.

Вот и допроходился(прохудился), причем уже не в первый раз. Так что все таки возникают вопросы. Ой, извините, был невнимателен, я про lastpass, не про 1Password

Конечно, можно держать локальные контейнеры и синхронизовать их всякими
дропбоксами и rsync-ами, но удобство такого решения далеко от SaaS
решений.

Если вы между безопасностью и удобством выбираете удобство, вы ССЗБ

Не так уж неудобно иметь дело к примеру с Keepass и синхронизировать через тот же дропбокс. Точнее, я бы сказал, вообще никакое неудобство не испытываю. Все автоматом само синхронизируется и прозрачно используется на разных концах. Даже если контейнер попадет в чужие руки, Флаг им, как говорится.

[Doman]

Вы уверены, что у 1Password были серьезные утечки или другие проблемы с безопасностью? В оригинальном комментарии - речь шла о lastPass. У них, на мой взгляд, менее серьезный подход к безопасности.

Абсолютная безопасность невозможна, это всегда компромисс. Решение с keepass и дропбоксом выглядит, на первый взгляд, более надежным, но все опять упирается в качество кода, которое невозможно оценить без полноценных аудитов. А опенсурсность открывает дополнительные векторы для атаки. Под один только Android есть целых 6 клиентов от разных авторов, с разными кодовыми базами, билдчейнами и правилами для контрибьюторов. Я бы в такое не рискнул свой мастер-пароль вводить.

[3ycb]

Я извинился и отредактировал свой коммент выше. Да имел ввиду lastPass конечно.

[aGGre55or]

Вы всё равно правы. Складывать все яйца в одну корзину, а тем более отдавать её дяде никогда не было хорошей стратегией. При первой же утечке вендора коснувшейся пользователя, ему глубоко неинтересно сколько сертификаций у этого вендора и насколько серьёзна с точки зрения вендора и окружающих его триллионов пользователей утечка.

8 лет назад инженер Microsoft Дэйл Майерс выяснил что 1Password хранят метаданные и URL-ы в незашифрованных javascript. Он обратился к разработчику и 1Password дали ему официальный ответ, что шифровать всё не имеет смысла. Иначе придётся дешифровать больше, программа потеряет производительность, а компания - рынок. Тогда Майерс опубликовал заметку с атакой на 1Password с многократным сбросом пароля от своего аккаунта.

Не знаю имел ли 1Password сертификацию SOC 2 type 2 на тот момент и так ли это важно. Не знаю сколько раз они стали "лучше" и сколько сертификатов за эти годы получили. Но в 2023 что-то опять пошло не так. Может и не единожды за прошедшие годы, опять же - не интересно.

Когда пользователь хранит свои данные у себя: при их утечке или потере - СЗБ. Это нормально и называется нести ответственность за собственную жизнь.

[ksologub]

Тот момент когда аббревиатура SaaS принимает совсем другой смысл

[3ycb]

Я конечно не Станиславский, но ни в жизнь не поверю, что возможно массово взломать аккаунты с двухфакторной аутентификацией, не говоря уж о всяких там Passkey или FIDO U2F ключах. (Ну если только не прийти на дом с утюгом)

[ksologub]

Массовость не обязательна. Человек обладающий талантом вступать в доверие и применяющий навыки социальной ишженерии вполне может уговорить сотрудника потенциальной компании передать логин и пароль привелигированного доступа. А вот Passkey или FIDO U2F ключи здесь сложнее

[3ycb]

Вы наверное не обратили внимание, я имел ввиду аккаунты с 2FA. A про массовость, это я к тому, что без нее, не особо эффективные продажи сами по себе.

[3ycb]

Мне почему-то кажется, что даркнет, это как блошинный рынок. Всякого барахла/мусора полно, а антиквариат конечно возможен, но большая редкость. Все ИМХО.

[DarkTiger]

Скорее, он похож на авторынок. Можно купить что-то хорошее очень дешево, но для этого в машинах надо уметь разбираться. Иначе получится наоборот.

[xaosxaos2]

А почему нет амазона? Что с ним не так?

[DarkTiger]

Как в анекдоте:
- По статистике, 30% жен изменяют своим мужьям
- К черту статистику! Нам нужны фамилии, адреса, телефоны!
Это к тому, что игровой эккаунт Sony PS можно легко купить и на Авито, пусть и с наценкой, а вот французский паспорт там уже не купить, надо иметь некоторый рейтинг в даркнете и уметь в нем ориентироваться, иначе попадешь в категорию услуги "список лохов, которых можно на@#$ть с продажей конфиденциальной информации"