Данные более 100 млн аккаунтов «Вконтакте» продаются в сети за 1 биткоин

    Случайная выборка показала валидность 92 из 100 (!) аккаунтов



    Ресурс LeakedSource, занимающийся мониторингом и анализом утечек, сообщил об утечке в Сеть данных примерно 100 млн аккаунтов социальной сети «Вконтакте». Эти данные не выложены в свободный доступ, но продаются. На продажу их выставил хакер с ником Peace.

    Специалисты, которые проанализировали утечку, сообщают о том, что в базе содержится 100 544 934 записи. Это не только логины и пароли, но также имена, адреса электронной почты, номера телефонов пользователей. Все это продается всего за 1 биткоин, примерно $570 по курсу. Лот выставлен на продажу в дарк-вебе, на одном из маркетплейсов.

    Что касается базы, которая получена ресурсом LeakedSource, то она была предоставлена пользователем Tessa88. По словам хакера Peace, база данных пользователей была получена в ходе взлома социальной сети. Этот взлом был совершен в промежутке между 2011 и 2013 годами, что объясняет отсутствие номера телефона рядом с именем пользователя в базе. Как уже говорилось выше, валидность базы высокая, случайная выборка показала корректность 92 из 100 записей.

    Интересно, что Peace — ник, который использовал и злоумышленник, продававший миллионы аккаунтов MySpace. В Сеть в конце мая попали данные более, чем 400 млн аккаунтов этой социальной сети.

    При анализе паролей аккаунтов выяснилось, что чаще всего пользователи устанавливали в качестве пароля число 123456.

    № п/п Пароль Частота
    1 123456 709,067
    2 123456789 416,591
    3 qwerty 291,645
    4 111111 189,151
    5 1234567890 156,614
    6 1234567 141,620
    7 12345678 107,799
    8 123321 93,048
    9 000000 91,981
    10 123123 89,461
    11 7777777 87,022
    12 qwertyuiop 77,256
    13 666666 77,048
    14 123qwe 68,800
    15 555555 66,208
    16 zxcvbnm 64,066
    17 1q2w3e 62,903
    18 gfhjkm 57,386
    19 qazwsx 56,465
    20 1q2w3e4r 55,251
    21 654321 51,680
    22 987654321 50,306
    23 121212 44,652
    24 zxcvbn 44,209
    25 777777 42,279
    26 1q2w3e4r5t 41,141
    27 qazwsxedc 39,287
    28 123456a 37,611
    29 112233 36,795
    30 qwe123 36,447
    31 ghbdtn 36,302
    32 PolniyPizdec0211 33,236
    33 159753 32,939
    34 123456q 32,123
    35 asdfgh 31,722
    36 1111111 31,621
    37 samsung 31,544
    38 qweasdzxc 30,459
    39 qwertyu 29,354
    40 1234qwer 29,132
    41 11111111 28,904
    42 222222 28,881
    43 asdfghjkl 28,175
    44 1qaz2wsx 28,142
    45 qweqwe 27,045
    46 1111111111 26,826
    47 123654 25,947
    48 marina 24,309
    49 123123123 24,176
    50 0987654321 23,749
    51 12345q 23,673
    52 999999 23,464
    53 qwerty123 22,937
    54 123456789a 22,749
    55 12345a 22,730

    Среди адресов электронной почты чаще всего встречались e-mail от mail.ru.

    № п/п Домен e-mail Частота
    1 @mail.ru 41,132,524
    2 e-mail не указан 21,877,927
    3 @yandex.ru 11,604,169
    4 @rambler.ru 7,416,993
    5 @bk.ru 2,183,690
    6 @gmail.com 2,033,429
    7 @list.ru 1,586,503
    8 @ukr.net 1,509,641
    9 @inbox.ru 1,411,841
    10 @yahoo.com 586,902
    11 @i.ua 523,155
    12 @hotmail.com 522,182
    13 @ya.ru 518,710
    14 @bigmir.net 413,599
    15 @yandex.ua 319,155
    16 @meta.ua 308,771
    17 @tut.by 227,743
    18 @e-mail.ru 147,319
    19 @pochta.ru 138,758
    20 @qip.ru 123,094
    21 @inbox.lv 106,310
    22 @vkontakte.ru 105,614
    23 @yndex.ru 94,643
    24 @e1.ru 84,581
    25 @meil.ru 82,608
    26 @ngs.ru 82,202
    27 @email.ru 79,524
    28 @sibmail.com 71,916
    29 @mai.ru 71,692
    30 @spaces.ru 71,008
    31 @km.ru 70,307
    32 @gmail.ru 64,141
    33 @ua.fm 60,568
    34 @abv.bg 56,825
    35 @narod.ru 55,076
    36 @mail.com 53,297
    37 @live.ru 52,698
    38 @web.de 50,339
    39 @ro.ru 49,454
    40 @e-mail.ua 45,403
    41 @online.ua 44,118
    42 @mail.ry 43,043
    43 @nm.ru 35,446
    44 @gala.net 34,613
    45 @gmx.de 34,535
    46 @seznam.cz 31,700
    47 @mail.ua 31,143
    48 @email.ua 30,951
    49 @pisem.net 30,044
    50 @live.com 27,386
    51 @il.ru 26,947
    52 @voliacable.com 25,347
    53 @aport.ru 24,104
    54 @hotbox.ru 23,636
    55 @mail.by 22,556

    Масштабная утечка данных учетных записей пользователей «Вконтакте» является продолжением «майского слива», когда в Сети появились данные миллионов аккаунтов Mail.ru, MySpace, LinkedIn. Правда, в текущем случае процент валидных аккаунтов гораздо выше — вероятно, это можно объяснить тем, что пользователи «Вконтакте» редко меняют данные своих учетных записей. Peace утверждает, что у него есть еще данные примерно 70 млн аккаунтов «Вконтакте», но их продавать он пока не собирается.

    Что касается истории с Mail.ru, то в мае в Сеть попали невалидные данные, более 99% аккаунтов из базы были неактуальными. «22,56% проанализированных учетных записей содержат вообще никогда не существовавший адрес электронной почты, еще 64,27% — неправильный пароль, в базе также присутствуют записи, указанные вообще без пароля (0,74%). Оставшиеся 12,42% аккаунтов уже проходят в Почте Mail.Ru как подозрительные (то есть по мнению нашей системы существуют основания полагать, что они либо были взломаны, либо созданы роботом) и заблокированы. Это означает, что войти в них по паролю невозможно, и владельцу необходимо пройти процедуру восстановления доступа», — сообщалось тогда в пресс-релизе компании.

    А вот базы LinkedIn и MySpace аккаунтов были подлинными, это не обычный вброс. Данные многих учетных записей из базы уже были иными, но, тем не менее, многие учетки были корректными, и с ними можно было залогиниться на указанные сайты.

    Пока что от «Вконтакте» нет комментариев по этому инциденту.
    Поддержать автора
    Поделиться публикацией

    Комментарии 163

      +14
      Интересно, чем обусловлена популярность пароля под номером 32?
        +7
        Набрученые фейки?
          0
          Скорее всего да, скрипт.

          Тут еще и продакт-плейсмент есть
          image

            –3
            Вероятно тем, что «ghbdtn» это «привет» с англ. раскладкой)
              +2
              Да сколько ж можно уже!
              под номером 32

          –20
          Меня больше удивил PolniyPizdec0211 с частотой использования 33к.
            +67
            Больше чем пароль под номером 32?
            +10
            Более 33000 аккаунтов, зарегистрированных одним скриптом?
              +2
              Может быть это ранее угнанные аккаунты, каждому из которых поменяли пароль на этот?
                0
                Интересная судьба у аккаунтов вырисовывается!
                  0
                  О! Теперь знаю, как избавится от старого акка.
                • НЛО прилетело и опубликовало эту надпись здесь
                  0
                  Почему нет? Их и сейчас то тысячами регистрируют, а когда телефон не нужен был так и подавно.
                  –3
                  Это крестик на цифровой клавиатуре, и, думаю, на приложении для смартфона.
                    –3
                    А посмотрите на цифровой клавиатуре как его набирать, крестик получается, видимо по этому.
                      0
                      Любопытно, что Марины ставят на пароль своё имя чаще всех. Как и фанаты самсунга ставят имя любимого бренда.
                        0
                        Не факт, что Марины ставят своё имя в качестве пароля чаще других. Тот факт, что они попали в выборку, может быть обусловлен целым рядом причин. Никто ведь не говорил, что выборка взломанных аккаунтов равномерно распределена по всему множеству id профилей. Другими словами, возможно, Марин просто по каким-то причинам чаще ломали. А ситуация с фанатами самсунга, в добавок к вышеозвученному, может быть вызвана еще и тем, что самих фанатов самсунга вконтакте больше, чем фанатов других брендов :)
                          0
                          Кажется, в одну из прошлых утечек, тоже было много Марин. Или у меня просто дежавю?
                            0
                            Мне кажется, дело в том, что «Марина» просто имеет меньше распространённых форм написания. Вот, например, Мария — это maria, marya, mary, masha, …
                            0
                            Самсунг еще и делает мониторы. Очень удобно, когда на мониторе нет несекурной post-it наклейки с паролем, а тем не менее, твой пароль у тебя перед глазами.
                          0
                          Видимо это фанаты группы Гражданская оборона)
                            +1

                            И почему именно 0211 в конце :)

                              0

                              Это дата конца света, не иначе.

                                0
                                База собиралась/угонялась с 11го года, свежие боты (февральские 11го) в неё попали, а 0212, например, уже нет (или попало слишком мало, или пароль ставили с вариациями).
                                –5
                                на цифровой клавиатуре вводят крестом
                                  +9
                                  у вас тут прямо целая перепись не сумевших сопоставить порядковый номер 32 и значение
                                    +2
                                    Спасибо. Я-то сидел и голову ломал, на какой такой цифровой клавиатуре можно «0211» набрать крестом.
                                      0
                                      А я до сих пор не вкурил…
                                        +3
                                        Это они 33й пароль объясняют вместо 32го
                                          –1
                                          Не знаю что произошло с коментариями, но вчера все коментарии были к посту с вопросом именно о пароле 159753, причем, что пароль был прописан в коментарии. Зато всем минусы наставили просто так.
                                    +2
                                    С нуля нумеруют, небось.
                              • НЛО прилетело и опубликовало эту надпись здесь
                                  0
                                  Для этого нужно зарегистрироваться и оплатить подписку. От 2$ биткоинами либо 4$ через paypal за сутки.
                                  • НЛО прилетело и опубликовало эту надпись здесь
                                      +1
                                      Так смените свой пароль от вконтактика и всё тут. Лучше перебздеть, чем недобздеть. Тем более, смена пароля — дело элементарное. Никуда ходить с бумажками и документами не надо…
                                        0
                                        Ну, если пароль действительно утек, то стоило бы задуматься каким образом, а если нет — то и силы тратить не за чем.
                                          +1
                                          Все зависит от степени риска, на который вы готовы пойти. Если вы владелец крупного сообщества на сотни тысяч человек, тогда при любом поводе надо бежать менять пароль. А если у тебя 20 человек в друзьях, фейковая фотография и никакой важной переписки, тогда и вообще забейте
                                            0
                                            А если стоит кейлоггер? Новый пароль украдется точно так же, как и старый. Просто поменять пароль может быть недостаточно.
                                              0
                                              Тогда проводить аудит сетевой активности соизмеримо со степенью вашей параноидальности
                                        0
                                        Увидел новость, зашел в вк, обнаружил, что они ввели двухфакторную аутентификацию — включил. Сменил пароль. Закрыл все активные сессии. Вроде успокоился )
                                          0
                                          Биткоины не так уж и сложно купить, достаточно приобрести BTC-E USD за любую электронную валюту или даже с карты, а потом вывести уже в BTC. Комиссии минимальны, можно даже с 0% обменять при желании.
                                          • НЛО прилетело и опубликовало эту надпись здесь
                                          +8
                                          чтобы узнать, находится ли ваша кредитная карта в базе карточных воров, отправьте нам ее номер и CVC код (с)
                                            0
                                            С почтой пройдите сюда:
                                            https://www.leakedsource.com/

                                            А с паролем сюда, пожалуйста:
                                            https://howsecureismypassword.net/

                                            Спасибо!

                                            p.s.
                                            А пароль под номером 32, который многим приглянулся, согласно howsecureismypassword.net очень даже устойчив :)
                                              0
                                              И в ответ: «теперь находится» (с) анек.
                                            • НЛО прилетело и опубликовало эту надпись здесь
                                              +4
                                              Зачем проверять? Нашли свою почту — смените пароль.
                                                0
                                                Планово меняю пароль где-то раз в месяц. Везде где можно включена двойная авторизация по СМС. В пароли фонетическая абракадабра со спецсимволами.
                                                Самы сок, что в VK сижу в ридонли, мог бы сидеть с фейка. А с паролями – просто полезная привычка.
                                                • НЛО прилетело и опубликовало эту надпись здесь
                                                    +4
                                                    Лови, товарищ.
                                                    keepass.info
                                                        0
                                                        Никто вам не запрещает обновляться в ручную.
                                                          0
                                                          Верно, но мнение создателя все равно напрягает: https://sourceforge.net/p/keepass/discussion/329220/thread/e430cc12/#f398
                                                          0
                                                          Включать автоапдейт и вообще давать доступ такому критичному приложению в Интернет… зачем??
                                                          0
                                                          По описанию непонятно следующее. Можно ли прогу выставить наружу, чтобы смотреть свои пароли не с основного компа?
                                                            +1
                                                            Нет. Либо использовать программы удаленного доступа к компьютеру где крутится KeePass.
                                                            Либо, как вариант: https://habrahabr.ru/post/269895/
                                                              +2

                                                              lastpass в помощь

                                                                0
                                                                Спасибо, но нет
                                                                http://lmgtfy.com/?q=lastpass+site%3Asecuritylab.ru+inurl%3A%2Fnews
                                                                  +1

                                                                  Везде речь идёт о фишинге, а не об уязвимости сервиса. Ничто не мешает провести сходную атаку против любого другого решения.

                                                                    0
                                                                    pwsafe.org?
                                                                0
                                                                Синхронизировать файл базы с «надежным облаком». И уже с этим файлом синхронизировать локальные базы например на телефоне.
                                                                  0
                                                                  База через дропбокс и т.п.
                                                                  1Password так же работает.
                                                                  На телефон\другой пк ставится клиент.
                                                                  0
                                                                  Ещё включить верхние пункты, чтоб блокировался когда надо:
                                                                  Скрытый текст
                                                                  image

                                                                  Временные ограничения (блокироваться через Х минут) мне, лично, не нравятся.
                                                                  –4

                                                                  Мне нравится вот этот способ: http://father-gorry.livejournal.com/790263.html
                                                                  Запоминаешь не сам пароль, а алгоритм его получения.

                                                                    0

                                                                    Интересно, что в этом комментарии не так. Кому-то не нравится, что нравится мне? :)
                                                                    Или не нравится метод, изложенный по ссылке?

                                                                      +1
                                                                      Метод работает по принципу «security by obscurity». В криптографии это считается плохой вещью и не приветствуется.

                                                                      То есть знание метода не должно ухудшать безопасность системы. В данном случае безопасность как раз основывается на методе перемешивания секретного слова и названия сервиса.
                                                                        0
                                                                        А против какой атаки этот метод ухудшает безопасность?

                                                                        Не забывайте только, что безопасность определяется самым слабым звеном. И 100 млн паролей угнали не потому, что пользователи подобным методом пользовались.
                                                                  +3
                                                                  Ники у вас тоже, судя по всему «фонетическая абракадабра со спецсимволами» :)
                                                                    0
                                                                    А в ВК советую ставить 2хфакторную через приложение. Всё-таки оно более безопасно, чем СМС.
                                                                  0
                                                                  Смена пароля сделает утёкший хэш невалидным. До следующей утечки, конечно.
                                                                    0
                                                                    Так утекли вообще plaintext'ы:
                                                                    «Passwords were stored in plaintext with no encryption or hashing. The methods VK used for storing passwords are not what internet standards propose because hackers can now see all 100 million passwords used on the site. „
                                                                      0
                                                                      Это уже не так критично. Пароль надо менять в любом случае.
                                                                      Если пароли утекли в чистом виде, то особенно важно надо убедиться, что такой же пароль не использовался где-то ещё.
                                                                        0
                                                                        И что новый получен не добавлением 123 в конце старого.
                                                                    +1
                                                                    а где можно проверить свой мейл?
                                                                    • НЛО прилетело и опубликовало эту надпись здесь
                                                                        0
                                                                        Странно, показывает, что мой email якобы есть в базе сайта «MYCE.com», хотя я там в жизни не бывал и не регистрировался.
                                                                          0
                                                                          У меня показывает, что мой email есть в базе VK, но на этот email не зарегистрирован аккаунт, даже сам контакт при попытке восстановления пароля говорит об этом.
                                                                            0
                                                                            Может быть раньше был привязан? А то у меня тоже показывает, что в базе ВК, но там почту я сменил где-то полгода назад.
                                                                              0
                                                                              Нет, на этот email никогда не регистрировал аккаунт, в почте так же проверил, нет писем от VK, а там все сообщения с момента регистрации ящика.
                                                                              Так же проверил аккаунт по номеру телефона, не нашёл ничего, номер менял в ноябре 2012.
                                                                              0
                                                                              Первый акк удалён мной больше 3 лет назад — в базе висит (я уже и пароль от него не помню), 2-й регал в 2012 (по логину с привязкой к номеру) — не найден (пароль там поинтереснее). В теме на хабре есть предположение, что после слива хеши чекали… долго, и ещё 71 миллион записей на сегодня не прочеканы. Непонятно, почему другие 100 миллионов записей хранились не зашифрованы. Впрочем, сейчас так новости пишутся.
                                                                          0
                                                                          https://haveibeenpwned.com/
                                                                          Там ещё подписаться можно, очень удобно :)
                                                                          –1
                                                                          А где проверить, если мой емаил в базе?
                                                                          0
                                                                          Возможно и риторический для многих вопрос, но КАК ему это удалось?
                                                                            –2
                                                                            Это Паша базу сливает:)
                                                                              0
                                                                              Судя по паролям ясно что это брут.
                                                                                +1
                                                                                По информации с leakedsource.com, в базе аккаунт есть, но брут маловероятен потому что пароль был сгенерирован keepass'ом, нигде больше не использовался и совсем далёк от тех что из списка. Правда не менялся он года четыре, это да. Видимо выборка брут только по большей части.
                                                                                  0
                                                                                  Причём по словарю. А судя по паролю №32 – по адаптированному на русских словарю.
                                                                                    0
                                                                                    100 миллионов записей одними словарями не соберешь.
                                                                                    0
                                                                                    Это вы по топовым паролям поняли? Там дальше есть такие пароли, для брута хеша от которых даже в md5 потребуется нереальные мощности, и то скорее найдётся коллизия, чем сам пароль.
                                                                                      0
                                                                                      Ну, может, это объединённая база, собранная разными техниками — брут, фишинг, етц.
                                                                                        0
                                                                                        Фишинг. Вообще, аккаунты vk и прочих соцсетей продаются по всему интернету и стоят не очень дорого, получают их явно не брутом, а скорее с фейков.
                                                                                          0
                                                                                          В базе я обнаружил не только свой основной аккаунт, но и временные, которые создавались на «один раз» и больше нигде не использовались и не светились. Кроме того, в базе есть информация, которая в моём профиле скрыта настройками приватности от «не друзей». Если допустить, что это собранная из разных источников база, то её собирали очень качественно.
                                                                                            0
                                                                                            Точно нет, именно взлом. Мой одноразовый пользователь там был.
                                                                                        +4
                                                                                        Интересно еще то, что не все пользователи слиты. К примеру, мой аккаунт там с 2007 года, а у жены с 2014 — оба не найдены (или не все данные предоставлены). Так что пока что в голову пришли такие мысли:
                                                                                        — Зараженные устройства пользователей, очень вероятно.
                                                                                        — Мобильное приложение, маловероятно — пользуемся ими на трех платформах (iOS, Android, Windows Phone) и нас нет.
                                                                                        — Атака непосредственно на сервера vk, вполне вероятно, особенно если принять данные о том, что взлом был где-то в 2011-2013 и Heartbleed тогда был известен далеко немногим.
                                                                                        — Банальный перебор по словарю. Маловероятно, но почему бы и нет? Учитывая, что слита почти треть пользователей, то вполне возможно, что этот список был получен брутфорсом, зная почту или телефон для входа (скорее телефон).
                                                                                        — Атака MITM. Вероятно. Тут могут быть и взломы внутри операторов, роутеры/точки доступа с бэкдорами итд.

                                                                                        А еще в голову пришла мысль, что подавляющее большинство пользователей в слитой БД — это боты.
                                                                                          0
                                                                                          Атака MITM

                                                                                          HTTPS вроде как защищает от этого…
                                                                                            +2
                                                                                            В августе 2013 года vk перешел на https по-умолчанию… Пока что все сходится.
                                                                                              0

                                                                                              Это на сайте. А в мобильном приложении подключение по https по умолчанию выключено. Нужно специально лезть в настройки и включать его.

                                                                                                0
                                                                                                Интересно, а когда совершаешь вход — тоже надо в настройки зайти? Или мой пароль передается в открытом виде?
                                                                                                  0

                                                                                                  Без понятия. Наверное, если галка стоит, то пароль должен быть закрыт. Я не умею анализировать трафик с телефона, чтобы разобраться самому.

                                                                                                    0
                                                                                                    Сейчас нет возможности проверить трафф с мобильного клиента, но посмотрел на браузер.
                                                                                                    Можно зайти на страницу vk.com по http(видимо безопасный вход уже не по-умолчанию), ввести реквизиты для входа и наблюдать все данные в открытом виде. Уже только после авторизации происходит редирект на https. При этом еще передаются хэшы с заголовками: ip_h и lg_h.
                                                                                                    Не думаю, что в мобильном клиенте все иначе.
                                                                                                    0
                                                                                                    огромное спасибо за совет! Я думал они по дефолту используют протокол https везде, где можно
                                                                                                0
                                                                                                Есть несколько аккаунтов в ВК, тремя пользуюсь довольно часто (захожу из разных доступных мне браузеров), скомпрометирован один — основной. Разницу вижу только в том, что он используется в мобильном приложении в телефоне и планшете.
                                                                                                  0
                                                                                                  Так было и года 4 тому назад?
                                                                                                    0
                                                                                                    Нет, из тех, что проверяла, тогда только основной существовал.
                                                                                                      0
                                                                                                      Собственно вот и оно — главное различие.
                                                                                                      Все предположения остаются в силе.
                                                                                                  0
                                                                                                  Нашел там свой старый, давно деактивированный аккаунт (других нет).
                                                                                                  Пароль был на тот момент не слишком серьёзный, так что тоже склоняюсь к перебору.
                                                                                                    0
                                                                                                    Там база по состоянию на 2011 год, возможно в то время у вашего аккаунта был другой email. Большинство пользователей ВК — боты, причём до ввода подтверждения по номеру телефона их регистрировали сумасшедшими темпами. База выглядит так, будто её реально слили с серверов ВК, а не сдампили с компьютеров юзеров троянами или плагинами к браузеру.
                                                                                                  • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                      0
                                                                                                      Я сделал поиск по частым именам и сделал выборку в 60 паролей pastebin.com/98VLqPSu
                                                                                                      Много цифровых паролей: простые пароли, даты, телефоны, непонятные. Есть пароли из цифр и текста, похоже, что использовался русский словарь, но переведенный в раскладку латиницей (йцукен -> qwerty). И есть сложные пароли, но их, скорее всего, установили злоумышленники после взлома аккаунта
                                                                                                        0
                                                                                                        Такое чувство, что при регистрации я один пишу длинные пароли)
                                                                                                      0
                                                                                                      Помнится, в 2012 году у меня взломали анкету и повступали меня в группы. Признаюсь честно, пароль был примитивный (но в топе популярных его нет ;)). Только уже тогда при заходе из постороннего места запрашивались цифры телефона, которые злоумышленник знать не мог (и вообще вряд ли кто-то мог знать, так как там был использован телефон, который я никому не давал). Я задал вопрос поддержке, мол, как это так не сработала защита по номеру телефона. Адекватного ответа так и не получил. Последний ответ закончился фразой «ничего определенного сказать пока нельзя.»

                                                                                                      Возможно, моя анкета стала жертвой именно того взлома в промежутке 2011 и 2013 годов.
                                                                                                        0
                                                                                                        Защита с вводом цифр телефона или получением СМС обычно срабатывает, если заходить с IP другой страны или заспамленного прокси.
                                                                                                          0
                                                                                                          Так и было. Я захожу из Чехии, а взломщики заходили из России.
                                                                                                          +1
                                                                                                          Пароль под номером 48 говорит об исключительном интеллекте людей с неким именем.
                                                                                                            0
                                                                                                            Обнаружил аккаунты себя, девушки, пары друзей в этой базе. Если сольют в открытом виде — потом проверю актуальность базы, т.к. действовавший до этого момента пароль я не менял уже довольно давно. Но это, конечно, потрясающе. Надеюсь, ВК заставит всех, чьи аккаунты были скомпрометированы поменять пароль на следующем входе.
                                                                                                              0
                                                                                                              Кстати, пароль явно подбирался не брутфорсом, т.е. налицо именно взлом (в пароле присутствовали цифры, спецсимволы и буквы вперемешку). Не могу сказать на 100%, что это не фишинг, потому что в наше время уже ни в чем точно уверенным быть нельзя, и какая-нибудь подмена DNS имени vk.com у провайдера или на DNS-сервера на роутере могла бы быть. Как пример — совсем недавно у одного из моих клиентов обнаружился взлом роутера ASUS RT-N12, который, как выяснилось, до последних прошивок ломался очень легко. Так вот, там был указан чей-то непонятный DNS-сервер, соответственно, все запросы шли через него.
                                                                                                              Но, думаю, какой-нибудь откровенно аляповатый фишинг-сайт я бы распознал.
                                                                                                                0
                                                                                                                А можно подробности про взлом роутера? У меня у самого RT-N10, но я постарался его защитить стандартными настройками как смог: запрет отвечать на пинги, запрет админки наружу, нестандартные пароли.
                                                                                                                  0
                                                                                                                  Собственно, по этой инструкции на https://forum.antichat.ru/threads/409897/ смог воспроизвести атаку на взломанный роутер клиента. С админкой наружу, конечно же.
                                                                                                                  +1
                                                                                                                  Сдаётся мне, слив через сервис типа MusicSig и типа того.
                                                                                                                    0
                                                                                                                    Мне кажется все куда проще:
                                                                                                                    1. Вирусы, которые добавляют в hosts vk.com. Видел такое довольно часто, один раз вместо VK у человека начал открываться какой-то ВСССР.
                                                                                                                    2. Всякое ПО и расширения для скачивания музыки, просмотра «гостей» и прочего, которые требуют указания логина и пароля.
                                                                                                                    3. Рассылка «у вас новое сообщение» по email базам, ссылка из письма ведет на фейк, где прикручена форма авторизации.

                                                                                                                    Подмена DNS на роутерах — это скорее экзотика.
                                                                                                                      0
                                                                                                                      Ну, СССР — это не обязательно левый сайт. Это такой «скин» интерфейса, родившийся из первоапрельской шутки. Можете включить, поменяв в настройках язык на «Советский».
                                                                                                                      Скрытый текст
                                                                                                                        0
                                                                                                                        В том случае был именно левый сайт, там кто-то неправильно настроил nginx, поэтому при попытке логина отдавался php код плейнтекстом. Но видимо дизайн взяли с этого скина, не знал о его существовании.
                                                                                                                          0
                                                                                                                          там кто-то неправильно настроил nginx, поэтому при попытке логина отдавался php код плейнтекстом
                                                                                                                          О, а такое и я видел, кажется.
                                                                                                                    0
                                                                                                                    > Надеюсь, ВК заставит всех, чьи аккаунты были скомпрометированы поменять пароль на следующем входе.
                                                                                                                    Главное, чтобы это не новые владельцы ВК актуализовали базу паролей.
                                                                                                                    И, конечно, минус им в карму за хранение паролей в неашифрованном виде.
                                                                                                                      0
                                                                                                                      А где вы нашли эту базу?
                                                                                                                        0
                                                                                                                        В обсуждении уже давали ссылку где можно проверить свою почту на наличие в базе
                                                                                                                        0
                                                                                                                        Насколько я знаю, сейчас вк не дает сменить пароль без привязки телефона. Или давай номер или гуляй Вася. А не все хотят это делать.
                                                                                                                        0
                                                                                                                        а пароль под номером 48? Откуда такая популярность имени Марина?
                                                                                                                          +1
                                                                                                                          среди марин
                                                                                                                            +7
                                                                                                                            Морпехи?!)
                                                                                                                            • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                                                +1
                                                                                                                                Более интересен пароль №32. Вряд ли 33 тыс. человек указали именно такую комбинацию, видимо какой-то бот, или угнанные учетки, причем разные пароли было ставить лень.
                                                                                                                                –4
                                                                                                                                Кстате про номера — в русском языке тысячные отбиваются пробелом, а не запятой, как в США. Выбешивает. Корректор вообще есть?
                                                                                                                                  –1

                                                                                                                                  Так это дробные доли, значит.

                                                                                                                                  +1
                                                                                                                                  Нашёл свой email в базе хотя пароль явно не словарный. Мдаа.
                                                                                                                                    0
                                                                                                                                    Аналогичная ситуация
                                                                                                                                    0
                                                                                                                                    Комментарии об утечке от Вконтакте:
                                                                                                                                    http://www.rbc.ru/technology_and_media/06/06/2016/575507249a7947351eb7bc0f?from=main
                                                                                                                                      +1
                                                                                                                                      А хранение паролей пользователей в plaintext как-то соотносится с законом о защите персональных данных? Или там нет подобных требований?
                                                                                                                                        0
                                                                                                                                        Ну вот Роскомнадзор это и проверит: https://lenta.ru/news/2016/06/08/check_vk/
                                                                                                                                          0
                                                                                                                                          С удивлением обнаружил, что даже Яндекс хранит пароли в plain text.

                                                                                                                                          Создал я в 2002 году сайт на narod.ru (который был яндекс, а теперь теперь юкоз). Сегодня решил зайти и поправить кодировку. Пароль не помню, решил восстановить на почту. Каково же было моё удивление, когда в письме пришла ссылка, но которой я могу не поменять, а посмотреть пароль. Нажал, увидел пароль, при этом обратил внимание, что вместо HTTPS использовался просто HTTP. Стало совсем грустно.
                                                                                                                                          0
                                                                                                                                          Кто-либо из тех, чей e-mail обнаружился в базе покупал у них доступ?
                                                                                                                                          Если есть такие, отозвитесь пожалуйста, действительно ли слит актуальный пароль.
                                                                                                                                            0
                                                                                                                                            Не покупал, но нашёл в базе только свой старый почтовый адрес, который от ВК отвязал несколько лет назад. Нового адреса, к которому привязан ВК сейчас там нет.
                                                                                                                                              0
                                                                                                                                              Обнаружился, старый пароль. Причем я его тогда сменил по просьбе VK
                                                                                                                                              –1
                                                                                                                                              а где можно посмотреть свой пароль?
                                                                                                                                                0
                                                                                                                                                94 тысячи опечаток yndex.ru, 43 тысячи опечаток mail.ry
                                                                                                                                                  0
                                                                                                                                                  Попробовал сменить пароль в ВК, в ответ упорное:
                                                                                                                                                  «Невозможно сменить пароль.
                                                                                                                                                  Попробуйте указать другой пароль или изменить его позже.»
                                                                                                                                                    +1
                                                                                                                                                    Вот оно одиночество. Даже хакерам я не нужен. Сколько баз уже выкладывалось, меня там никогда нету:(
                                                                                                                                                      +1
                                                                                                                                                      учитывая, что последнее время людям дают реальные сроки за репосты вконтактах, можно нехило так подставлять людей. И доказывай потом в суде, что не верблюд.
                                                                                                                                                        +1
                                                                                                                                                        Интересно, не хотят ли сами vk.com купить базу и хотя бы указать пользователям, какие пароли были скомпрометированы? (Прямо таргетно по e-mail'y, при следующем входе в аккаунт).

                                                                                                                                                        Ведь пароль могут использоваться и на других сервисах.
                                                                                                                                                          0
                                                                                                                                                          Нашел свой e-mail с пометкой Adobe database. Не припомню, чтобы когда-либо там вообще регистрировался.
                                                                                                                                                            0
                                                                                                                                                            а если мой email есть в базе и типа взломан в vk.com. но дата указана как 0000-00-00 00:00:00?
                                                                                                                                                              0
                                                                                                                                                              На странице https://www.leakedsource.com/blog/vk в разделе Passwords написано следующее:

                                                                                                                                                              Passwords were stored in plaintext with no encryption or hashing. The methods VK used for storing passwords are not what internet standards propose because hackers can now see all 100 million passwords used on the site.


                                                                                                                                                              Пароли хранились в открытом виде без шифрования или хеширования. Эта стратегия хранения паролей позволила хакерам получить все 100 млн паролей, используемых на сайте.


                                                                                                                                                              Не хочется верить, что в таком крупном и относительно взрослом проекте применяются столь небезопасные подходы. Хотя все подробности указывают на то, что сказанное выше — жесть и правда :(
                                                                                                                                                                0
                                                                                                                                                                Там даже востановление пароля красноречиво присылало на почту пароль.
                                                                                                                                                                0
                                                                                                                                                                Скорее всего бэкап базы уперли. Сплошь и рядом бэкапы охраняются как попало, а то и доступны в виде дампа dump.sql прямо с корня сайта )
                                                                                                                                                                  0
                                                                                                                                                                  Мой аккаунт привязан к мобильному номеру — как в этом случае можно навредить?
                                                                                                                                                                    0
                                                                                                                                                                    Самое безобидное: проспамить ленту и лички друзей. Или в группы добавить.
                                                                                                                                                                    Самое опасное: сделать от вашего аккаунта репост чего-нибудь не того.
                                                                                                                                                                      0
                                                                                                                                                                      Как они зайдут в аккаунт? Отключат привязку?
                                                                                                                                                                        0
                                                                                                                                                                        Если вы имеете ввиду двухфакторную авторизацию, то да, в аккаунт войти они не смогут (особенно если она по приложению). Если просто привязку, то она ничего не дает. Указать номер телефона, привязанный к аккаунту попросят только при заходе с заспамленного прокси или IP другой страны, если заходить с чистого прокси вашей страны, то пустит без вопросов.
                                                                                                                                                                      0
                                                                                                                                                                      Пароль может утечь в базы для брутфорса, потому лучше больше такой нигде не использовать
                                                                                                                                                                        +1
                                                                                                                                                                        Хватит! Хватит уже называть вещи чужими именами!
                                                                                                                                                                        Брут — это полный перебор, а базы — это словарный! У брута не может быть базы по определению!
                                                                                                                                                                      0
                                                                                                                                                                      Валидность базы :) Реклама и попытка привлечь покупателей. База гуляет в сети более 5 лет.
                                                                                                                                                                      За это время её уже использовали вдоль и поперёк.

                                                                                                                                                                      Обзор leakedsource.com

                                                                                                                                                                      Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                                                                                                                                      Самое читаемое