Индийский Groupon выложил базу с паролями 200 000 пользователей

    Вся база данных пользователей SoSasta.com (индийский клон Groupon, куплен американской компанией в январе 2011 года) случайно попала в открытый доступ и была проиндексирована Google. База включает в себя почтовые адреса и пароли в открытом виде 204 926 пользователей.

    Базу обнаружил австралийский веб-разработчик Дэвид Гржелак во время рутинного поиска в гугле по запросу filetype:sql hotmail gmail password.



    Дэвид сообщил о находке своему другу с Risly.biz, который написал письмо в американский Групон. В течение 24 часов ему лично перезвонил исполнительный директор Эндрю Мейсон, чтобы выяснить подробности. Саму базу данных немедленно убрали из открытого доступа, а в компании SoSasta начато внутреннее расследование.

    Только через три дня после инцидента (то есть вчера) компания SoSasta решила разослать письма своим пользователям с упоминанием потенциально опасного “security issue” и рекомендацией сменить пароли. Groupon опубликовал официальное заявление, особо его не афишируя — разумеется, громкий скандал компании не нужен. В заявлении подчёркивается, что индийская SoSasta работает на своей собственной платформе и серверах и никак не связана с подразделениями Groupon в других странах.

    Дэвид Гржелак занимается постоянным мониторингом баз с паролями в индексе Google, сейчас их там несколько тысяч и он отслеживает новые поступления. По его словам, база Sosasta стала самой большой, которую когда-либо ему попадалась.

    Гржелак занимается разработкой игр, а в качестве хобби ведёт сайт ShouldIChangeMyPassword.com, куда выкладывает адреса электронной почты после известных взломов, чтобы юзеры могли поискать себя в утёкших данных. Сейчас на сайте 1,3 млн записей от 17 последних крупных взломов, в том числе всех взломов LulzSec, биткоин-биржи Mt. Gox и Gawker (список). Туда же теперь попала и SoSasta.

    Похожие публикации

    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 37

      +1
      Facepalm.jpg
        +10
        facepalm.sql
        +37
        Шутки про индийский код всё меньше кажутся смешными…
          +3
          Шутки совсем перестанут быть смешными, когда индийцы начнут не только руткиты, трояны писать, а еще и смс-банеры на хинди :). Ну и совсем станет страшно, когда янки выкупят китайский национальный почтовик. А китайцы потом сольют базу в открытом доступе в сеть. Думаю, тогда в архиве простого австралийского веб-разработчика Гржелака появится дополнительный бонус в миллиард записей размером. :)
            +3
            Вы вообще смеяться перестанете, когда встретитесь с индийским кодом. Будет не до смеха. (Проверено на собственном опыте)
            +2
            Занятное такое хобби у простого австралийского паренька. Не маленький словарик можно получить с подобного рода сайта тем, кому это интересно, из уже готовых комбинаций логин+пароль.
              0
              > База включает в себя почтовые адреса и пароли в открытом виде 204 926 пользователей.

              > индийская SoSasta работает на своей собственной платформе и серверах и никак не связана с подразделениями Groupon в других странах

              Они хотят сказать, что в их базах
                0
                Извините за предыдущий коментарий.

                > База включает в себя почтовые адреса и пароли в открытом виде 204 926 пользователей.
                > ...
                > индийская SoSasta работает на своей собственной платформе и серверах и никак не связана с подразделениями Groupon в других странах

                Они хотят сказать, что в их базах в других странах пароли хранятся в зашифрованном виде?
                  0
                  пароли хранятся в зашифрованном виде?

                  Эм, а это так сложно?
                    +5
                    Даже не знаю, что и ответить, глядя на находку Дэвида Гржелака…
                0
                Вот это fuckup. А у них пароли в чистом виде хранятся?
                  +7
                  Ого, сколько интересного в гугле по запросу из картинки :)
                  +5
                  filetype:sql mail.ru yandex.ru password
                    +34
                    Базу обнаружил австралийский веб-разработчик Дэвид Гржелак во время рутинного поиска в гугле по запросу filetype:sql hotmail gmail password.

                    ничего себе рутинный поиск веб-разработчика.
                      +1
                      В новости написано, что это его хобби — он так помогает пользователям, который сами себя во взломанных базах явно не найдут:)
                        +1
                        Не дочитали до конца. Это не просто рутинный поиск простого веб-разработчика, но часть хобби паренька, который собирает адреса электронной почты с взломанных сайтов
                          0
                          Он наверное конкуренцию по этому запросу оценивал…
                          +2
                          Любители могут себе гугл алерт поставить на что то подобное http://www.google.com/search?q=filetype:sql+password+123456+gmail
                            +1
                            правильнее так

                            encrypted.google.com/search?q=filetype:sql+password+123456+gmail&hl=all

                            а то ваш запрос видят все, а мой только я и гугл
                              0
                              Спасибо. Не знал о такой фиче, потому всё опасался пароль свой искать. Теперь удостоверился — Гугл о нём не знает (не считая того, что в аккаунте, конечно) даже без всяких gmail и filetype:sql — как-то легче на душе стало :)
                            +6
                            а в качестве хобби едёт сайт

                            Надеюсь Вы имели ввиду «едёт» в смысле «ведёт»?
                            • НЛО прилетело и опубликовало эту надпись здесь
                                0
                                ест
                                • НЛО прилетело и опубликовало эту надпись здесь
                              –2
                              fail
                                +3
                                Скачать базу где-то можно?
                                Что-то не нагугливается.
                                Мне для анализа сложности паролей только.
                                  +4
                                  Как корабль назовешь :)
                                    +1
                                    Тоже хотел сказать, что полная сосаста получилась :)
                                      0
                                      Не так давно яндекс проиндексировал бухгалтерию одного нашего магазина детских товаров. Я с удивлением себя в ней нашёл, с контактными данными и адресами. Vj;tn и пароли где-то там были…
                                        +2
                                        скажите своим прогерами, что так кодят только мудаки. (С)
                                          0
                                          Лучше я это же вам скажу.
                                          Я имел ввиду российский магазин, а не мой лично.
                                        +1
                                        Вот какой смысл хранить пароли в базе в открытом виде? Это по крайней мере неудобно, переменная длина, необходимость в экспейпе спецсимволов…
                                          0
                                          Высылать их пользователям если забыли без лишних нагрузок по шифрованию при каждом логине?

                                          Мне вот интересно как одноклассники.ру хранят пароли, они ведь хранят полную историю изменения паролей.
                                          0
                                          Сейчас вдоволь пошарился по инету, лью чью-то 10-метровую вроде базу)) Напомнило анекдот: «Заставил всех сменить пароли. Сменили, записали на бумажках, бумажки спрятали под клавами. Безопасность просто взлетела))»
                                            0
                                            Так вот как хакеры ломают аккаунты… Просто, блин, гуглят это. ;-)

                                            Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                            Самое читаемое