Крупнейший дамп в истории: 2,7 млрд аккаунтов, из них 773 млн уникальных



    Известный специалист по безопасности Трой Хант уже несколько лет поддерживает сайт Have I Been Pwned (HIBP) с миллионами записей об украденных аккаунтов. Каждый может проверить там свой email на предмет утечки. Трой Хант следит за хакерскими форумами, покупает базы данных, которые выставляют на продажу, иногда эти базы присылают ему бесплатно. Но он никогда не видел, чтобы на продажу выставляли такую огромную базу, как нынешняя Коллекция № 1 (Collection #1).

    Гигантский архив содержит 2 692 818 238 записей с адресами электронной почты и паролями.

    Хант раздобыл базу и провёл анализ, хотя её огромный размер вызвал определённые технические трудности из-за превышения 32-битного значения.



    Трой говорит, что скачал архив с файлообменника Mega. Несколько информаторов оперативно прислали ему ссылку на файл, но вскоре его удалили с хостинга. В архиве оказалось более 12 000 отдельных файлов общим размером более 87 ГБ. Ссылка была опубликована на одном из хакерских форумов вместе со скриншотов, подтверждающим содержимое архива. Вот полный список файлов.

    На скриншоте можно заметить, что корневая папка называется Collection #1. По списку файлов можно получить некоторое представление об источниках информации (itotal.ru, ineedtutor.ru. kazachok.com и так далее).

    Сообщение на форуме упоминало «коллекцию более 2000 дехешированных баз данных и комбинаций по темам» и список из 2890 файлов в архиве.

    Пока рано говорить о том, насколько достоверная информация содержится в новой базе. Однако Трой Хант нашёл там свой адрес электронной почты и пароль, который использовал много лет назад. «К счастью, — говорит он, — эти пароли больше не используются, но я всё ещё испытываю чувство тревоги, когда вижу их снова. В результате утечки несколько лет назад были скопированы парольные хеши, но в этой базе содержатся дехешированные пароли, которые взломаны и преобразованы обратно в обычный текст».

    База составлена из множества различных отдельных утечек — буквально из тысяч источников. Всего в ней 1 160 253 228 уникальных комбинаций адресов электронной почты и паролей. Это при обработке паролей с учётом регистра и адресов электронной почты без учёта регистра. Трой Хант отмечает, что в этом объёме есть определённое количество мусора, потому что хакеры не всегда аккуратно форматируют свои дампы для удобной обработки (сочетание различных типов разделителей, включая двоеточия, точки с запятой, а также сочетание различных типов файлов, таких как текстовые файлы с разделителями, файлы, содержащие операторы SQL и другие сжатые архивы).

    Новых адресов электронной почты в базе 772 904 991. Все данные уже загружены на сайт и доступны для поиска. Это крупнейшее обновление в истории HIBP.

    Обнаружено также 21 222 975 уникальных паролей (то есть сочетаний электронной почты и паролей). Как и в случае с адресами электронной почты, эта цифра получена после применения множества правил, чтобы максимально очистить базу от дубликатов, насколько это возможно, включая удаление паролей в хэшированной форме, игнор строк с управляющими символами и фрагментами операторов SQL и т. д. После добавления новых данных общее количество уникальных записей в базе сайта выросло до 551 509 767.

    Трой Хант признаётся, что после обработки этой базы на облачном хостинге ему предстоит неприятный разговор с женой по финансовому вопросу.


    Проверить свой email можно прямо на сайте, а также через API или сервис Firefox Monitor. Это инструмент создаёт хеш SHA-1 для введённого в форму почтового адреса и сверяется с базой HIBP, используя первые шесть цифр. Например, test@example.com превращается в 567159D622FFBB50B11B0EFD307BE358624A26EE, и отсюда используется только 567159. В ответ агрегатор утечек «отдаёт» возможные совпадения, если таковые имеются. При этом email-адрес не передаётся в сколь-нибудь очевидной форме. Затем Firefox Monitor осуществляет поиск по полному хешу. Если совпадения найдены, пользователю сообщают, какие именно утечки данных затронули его данные, а также настоятельно порекомендуют сменить пароли.
    Поделиться публикацией

    Комментарии 154

      +6
      Судя по скриншоту на обработку потрачено 22 тысячи австралийских долларов = 1 миллион рублей. Вот это энтузиазм!
      Понятно, что скорее всего он получает что-то донатами, но все равно… :)
        +20
        Или 15к долларов, для тех, кому рубли тоже надо переводить.
          +6
          что-то мне кажется будет дешевле. там вот Est(imated) cost per month 22k. А он явно не весь месяц обрабатывал базу.
            0
            Ну даже если пару дней — всё равно тысяча долларов выйдет. Не настолько страшно, но и приятного мало.
              +2
              Учитывая, что это «энтузиазм», который не ясно окупится или нет. Я представляю, как он жене объяснял куда деньги потратил :)
                –1
                Не очень понятно почему он должен объяснять жене куда потратил деньги, которые сам заработал
                  +1
                  Представьте, что вы вдвоем с коллегой по работе снимаете квартиру и в конце месяца не можете обеспечить свою половину взноса. Что произойдет, если в ответ на вопросы коллеги вы ответите «почему я должен объяснять тебе, куда потратил деньги, которые сам заработал»?
                    0
                    А с чего вы взяли что не сможет обеспечить? Вроде все взрослые люди и знаем сколько и на что тратим
                    –1
                    Может быть потому, что в семье нет понятия «я», а есть «мы». И деньги, которые зарабатывает один из супругов принадлежат обоим.
                    +1
                    Насколько я понял, у него еще какой-то договор ввиде рекламы с 1Password.
                    +1
                    О, черт, «per month»-то я и не заметил… Да, тогда энтузиазм в разумных пределах :)
                  +1
                  Не совсем так. Это 22к AUD в случае, если он не будет его выключать месяц.
                  Скорее всего, он закончит сильно раньше.
                    0
                    Да, меня уже ткнули носом в комментарии выше :)
                  +3
                  Пишет что есть одна учетка, но к какому сайту, не буду же я менять все пароли на всем. Может один раз регился где-то на каком-то форуме и его слили.
                    +5
                    вниз надо пролистать, ниже рекламы 1Password.com написано на каком конкретно сайте
                      0
                      спасибо, но там ссылка на гуглдокс на файл которого не существует. надялся что он напишет акк от чего хотябы
                        0
                        Там пишется название сервиса (вот как у меня)
                          +6
                          не сервиса, а в какой набор слитых данных попадал твой адрес. У меня вот один из адресов попал в эту новую Collection#1, но там нет инфы о конкретном сайте
                          +1
                          Были утечки с указанием сайта, и были просто пары «почта-пароль».
                        +1
                        После первого этапа — проверки слива самого адреса, можно перейти ко второму — проверить пароли.

                        Если из названия утечки (внизу сайта) сразу не понятно, от чего утекли пароли, то можно проверить пароли от всех важных источников, связанных с этим адресом почты (в первую очередь собственно саму регистрацию почты).

                        Или напрямую, если доверяете честности HIBP, или через запрос списка хэшей по 5 символам:
                        https://api.pwnedpasswords.com/range/{hashPrefix}
                        Можно использовать предложенные в комментариях скрипты для автоматической генерации хэша и проверки.

                        Выйдет быстрее, чем смена всех паролей при обнаружении компрометации адреса почты.
                        +6
                        Опс. Обнаружил свой гмейловский аккаунт в этой утечке.

                        Только не совсем понятно, что именно утекло — емеил + пароль стороннего сервиса, где я регестрировался с его помощью? Тогда это же не должно быть так страшно, так как у меня по паролю на сайт, а на самых мусорных я вообще вбиваю что-то вроде «qWeRtY123» — пусть ломают, мне не жалко.

                        Плохо, что в этом дампе не указывается с какого именно источника достали емеил — было бы понятнее.
                          +3
                          Нашел, где это проверить: Pwned Passwords — отдельный, не привязанный к емеилам список «засвеченных» паролей. Что и следовало ожидать, утекли только мусорные пароли, нормальные в безопасности. (Остается только надеятся, что никто не взломал эту страницу и не собирает логи того, какие пароли проверяли, а то облом выйдет)
                            –1
                            Пароль можно проверить на наличие в базе Троя без отправки его на сервер — если дружишь с линуксом.
                              +16
                              неплохо, сначала вы проверяете свои почты, далее проверяете пароли, и всё на одном сайте, с одного браузера и ip, далее им остаётся только сопоставить почту и пароль. гениально зачем кого-то взламывать, если параноики сами тебе всё введут.
                                +1
                                Вот я тоже осознал уже, что являюсь не слишком уж умным человеком. На всякий случай сменю пароль на почте — всё-равно давно пора уже было.
                                  +1
                                  Вот тут описано, как защищается пароль в этом подсервисе:
                                  www.troyhunt.com/ive-just-launched-pwned-passwords-version-2#cloudflareprivacyandkanonymity

                                  tl;dr передается только префикс хэша.
                                    +2
                                    И все же, нет никаких гарантий, что после проверки ваш пароль не попадет в какую-нибудь базу для брутфорса. Не рискнул проверить свои основные пароли. А вот второстепенные пароли все в базе, даже которые выглядят как набор букв :((
                                      +1
                                      И все же, нет никаких гарантий

                                      На это я люблю отвечать, что у человека нет даже гарантий (до тех пор, пока он не сделает тест ДНК), что его не подменили в роддоме.
                                        0
                                        Нет никаких гарантий, что этот тест не подтасуют :)
                                          +3
                                          что его не подменили в роддоме.

                                          А что это меняет? С паролями другое дело.
                                          +1
                                          Скачайте его базу хешей и проверьте по ней хеш своего пароля (та же страница, пункт Downloading the Pwned Passwords list)

                                          И проверяйте хеши своих паролей локально.
                                            0
                                            Достаточно прочитать javascript примитивный. По аналогии с ним проверку хэша по базе можно сделать и руками. Если префикс 12345, то отправляем сюда api.pwnedpasswords.com/range/12345 и получаем набор хэшей.
                                              +3
                                              Тут вот сам Трой пишет, как проверять, если нет доверия его сайту:

                                              www.troyhunt.com/ive-just-launched-pwned-passwords-version-2/#cloudflareprivacyandkanonymity

                                              Если коротко, то надо сначала локально посчитать SHA-1 от своего пароля. В линуксе, к примеру, вот так:
                                              echo -n yourpassword | sha1sum | awk '{print $1}'
                                              

                                              Не забудьте отключить журнал терминала или потом его почистить.

                                              После этого надо открыть через браузер (или любым другим способом) адрес
                                              https://api.pwnedpasswords.com/range/{hashPrefix}
                                              

                                              где вместо {hashPrefix} вставить первые пять символов своего посчитанного SHA-1 («префикс»). Сайт выведет все хеши паролей из базы, которые начинаются с той же комбинации символов, дальше с помощью Ctrl-F смотрим, есть ли полный хеш нашего пароля в списке (точнее, не полный, а его оставшаяся часть, идущая после префикса, который вводился в адресной строке).
                                                +2
                                                echo -n 'password' | sha1sum | awk '{prefix=substr($1,1,5); reminder=substr($1,6,35); if(system("curl -s https://api.pwnedpasswords.com/range/" prefix "> ./pwhashes.txt")){print "Error"; exit} cmd="cat ./pwhashes.txt | tr [A-Z] [a-z] | grep \"" reminder "\""; cmd | getline result; close(cmd); split(result,arr,":"); if(!length(arr[2])) print "Password not found"; else print "Password found: " arr[2]}'

                                                Вместо 'password' подставить проверяемый пароль. Постоянно этим пользуюсь.
                                                  +1
                                                  То же самое для винды (powershell):

                                                  function Check-Password($password) {
                                                    $passwordBytes = [System.Text.Encoding]::ASCII.GetBytes($password)
                                                    $hash = (Get-FileHash -InputStream ([System.IO.MemoryStream]::new($passwordBytes)) -Algorithm SHA1).Hash
                                                    $hashSuffix = $hash.Substring(5)
                                                    [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12
                                                    $hashes = (Invoke-RestMethod "https://api.pwnedpasswords.com/range/$($hash.Substring(0, 5))") -split "\s+"
                                                    $hashes | ? { $_ -like "$hashSuffix`:*" } | % { ($_ -split ":")[1] } | % { "Password is used by $_ user(s)" }
                                                  }
                                                  
                                                  Check-Password (Read-Host)
                                                    +1
                                                    Спасибо за скрипт. Проверил свои — самый важный от почты не найден, уже хорошо. А остальные от 20 до 300 раз. Не факт, что именно от моей учетки, может просто у кого-то такой же, ибо это часть одного серийника.
                                                      +1

                                                      J3QQ4-H7H2V-2HCH4-M3HK8-6M8VW ?

                                                        0

                                                        Типа того. только не от 98)

                                                    +3

                                                    Я бы читал пароль из stdin, что бы по забывчивости не оставить его в .bash_history или где-то в схожем месте:


                                                    #!/usr/bin/env bash
                                                    
                                                    set -e
                                                    #set -x
                                                    
                                                    # ask user for password
                                                    read -p "Input password for check: " -t 30 passwd
                                                    
                                                    if [ -n "$passwd" ]; then
                                                        hash=$(echo -n "$passwd" | sha1sum | awk '{print $1}')
                                                        partial_hash=${hash:0:5}
                                                        last_hash=${hash:5}
                                                        result=$(curl -q https://api.pwnedpasswords.com/range/${partial_hash} 2>/dev/null | tr [A-Z] [a-z] | grep "$last_hash")
                                                        if [ -n "$result" ]; then
                                                            echo "pwned: $result"
                                                        fi
                                                    fi
                                                      0
                                                      Если нет связи с сервером Троя, то не выводится сообщение об ошибке. Возникает ложная уверенность, что пароль «чистый».
                                                        0

                                                        PoC, но вообще — вы правы.

                                                        0
                                                        Там еще с сертификатом проблемы.
                                                        Пришлось, -k в запросе вставлять
                                                          +4
                                                          На случай, если кому-то вдруг пригодится, я немного допилил скрипт уважаемого monah_tuk таким образом, что он теперь проверяет, был ли доступен сайт, а также скрывает пароль звездочками при вводе. Код под катом.
                                                          Код bash-скрипта, секьюрно проверяющего пароль в базе pwnedpasswords.com
                                                          #!/bin/bash
                                                          
                                                          # ask the user for the password
                                                          unset passwd
                                                          unset CHARCOUNT
                                                          
                                                          echo -n "Input your password to securely check on pwnedpasswords.com whether it's compromised: "
                                                          
                                                          stty -echo
                                                          
                                                          CHARCOUNT=0
                                                          while IFS= read -p "$PROMPT" -r -s -n 1 CHAR
                                                          do
                                                              # Enter - accept password
                                                              if [[ $CHAR == $'\0' ]] ; then
                                                                  break
                                                              fi
                                                              # Backspace
                                                              if [[ $CHAR == $'\177' ]] ; then
                                                                  if [ $CHARCOUNT -gt 0 ] ; then
                                                                      CHARCOUNT=$((CHARCOUNT-1))
                                                                      PROMPT=$'\b \b'
                                                                      passwd="${passwd%?}"
                                                                  else
                                                                      PROMPT=''
                                                                  fi
                                                              else
                                                                  CHARCOUNT=$((CHARCOUNT+1))
                                                                  PROMPT='*'
                                                                  passwd+="$CHAR"
                                                              fi
                                                          done
                                                          
                                                          stty echo
                                                          
                                                          #check the password
                                                          if [ -n "$passwd" ]; then
                                                              #compute SHA1 hash locally
                                                              hash=$(echo -n "$passwd" | sha1sum | awk '{print $1}')
                                                              #extract the first 5 symbols of the hash
                                                              partial_hash=${hash:0:5}
                                                              #store the remainder
                                                              last_hash=${hash:5}
                                                              #lookup the first five symbols of the hash on pwnedpasswords.com
                                                              url="https://api.pwnedpasswords.com/range/${partial_hash}"
                                                              res=$(curl -sw "%{http_code}" -q -k "$url" 2>/dev/null)
                                                              #store the HTTP response code to check whether the site has been reached
                                                              http_code="${res:${#res}-3}"
                                                              if [ ${#res} -eq 3 ]; then
                                                                  body=""
                                                              else
                                                                  body="${res:0:${#res}-3}"
                                                              fi
                                                              #check whether the site has been reached
                                                              if [ "$http_code" = "200" ]; then
                                                                  #check whether the password has been compromised by locally checking whether the remainder of our hash has been returned by pwnedpasswords.com
                                                                  result=$(echo "$body" | grep -i "$last_hash" | tr -d '\r')
                                                                  numberoftimes="${result##*:}"
                                                                  if [ -n "$result" ]; then
                                                                      echo
                                                                      echo "====WARNING===="
                                                                      echo "According to pwnedpasswords.com, your password has been pwned at least $numberoftimes times."
                                                                      echo "Change it immediately!"
                                                                      echo "====WARNING===="
                                                                  else
                                                                      echo
                                                                      echo 'ALL OK: your password has NOT been pwned yet, at least according to pwnedpasswords.com.'
                                                                  fi
                                                              else        
                                                                  echo "ERROR: site was not reached, aborting."
                                                              fi
                                                          else
                                                              echo
                                                              echo "Empty password received, aborting."
                                                          fi
                                                          
                                                          

                                                        +2
                                                        Не забудьте отключить журнал терминала или потом его почистить.

                                                        Достаточно пробел в начале поставить.
                                                          +2
                                                          Не во всех системах это включено.
                                                          0
                                                          У меня в пароле запятые, точки, вопросительные и восклицательные знаки. Выдаёт такую ошибку: bash (мой пароль): event not found.
                                                            +1
                                                            stardust1 так вы без кавычек указывали, а если будете с кавычками как в следующем примере, то и проблем не будет.
                                                            echo -n 'password'
                                                              0
                                                              У вас в пароле восклицательный знак :) Экранируете его обратным слэшем.
                                                        +1
                                                        А это действительно гениально. Сессию отследить легко, т.е если человек подряд проверил и почты и пароли то владелец получает набор почта — пароль, при чём что немаловажно — уникальный.
                                                          0
                                                          Один из классических, старейших методов.

                                                          «Введите номер Вашей кредитной карты, чтобы проверить не украдена ли она».
                                                          +3
                                                          Если дружишь с SHA-1 то можно отправить на их API первые 5 символов хеша твоего пароля, и из всего списка который там есть найти свой хеш.
                                                          Так я проверил все свои пароли и живу спокойно.
                                                          haveibeenpwned.com/API/v2#PwnedPasswords

                                                          Отправляем GET запрос на адрес:
                                                          api.pwnedpasswords.com/range{first 5 hash chars}

                                                          И получаем список хешей, дальше ищем свой
                                                            0
                                                            Странно, список хешей вывалил, но совпадение только по первым 3-м символавм в 4-х местах и только одно из них в начале хеша. (Вариант конечно, что хеш неправильно посчитал)
                                                              +2
                                                              там уже не полные хэши выдает, а оставшийся «хвост»
                                                            0
                                                            Кстати, нашёл плагин для Keepass для проверки всех паролей (будем надеяться 179 звезд на гитхабе означают, что он не сольёт пароли куда-то ещё :)
                                                              +2
                                                              Правильная ссылка. Проверил свои. Чёрт, у меня там под сотню разных учеток с breach date от 17.01.2019.

                                                              Большинство старых и неиспользуемых, но всё равно. Многие, как я понимаю, просто неуникальные пароли, которые у кого-то другого могли встретиться (на многих «одноразовых» сайтах у меня чисто несколько цифр в качестве пароля).
                                                                +1
                                                                179 звезд на гитхабе
                                                                Может быть, он сливает пароли 179 злоумышленникам?
                                                                  0
                                                                  За звёздочку.
                                                                    0
                                                                    Может он во время проверки использует логин-пароль от гитхаба и ставит звёдочку сам себе? :)
                                                            +1
                                                            2 утечки гуглопочты, основной, при чем очень древней. Новый бекапный, где почти нет деятельности — нет утечек.
                                                            Апдейт, да, увидел где утечки… геймерские сайты…
                                                              +5
                                                              Мда, нашёл и себя. Слив был от Dropbox и Adobe.
                                                                +1
                                                                Игровые сайты, Adobe, ВК и Unreal Engine.
                                                                  0
                                                                  Забавно, что например старая утечка паролей от nnm-club, которые хранили(а может и сейчас хранят) пароли плейн текстом, на сайте этого мужика не представлена. Хотя мне не так давно пришло письмо с вымогательством битков на основе древнего пароля от nnm-club. Посмеялся.
                                                                    0
                                                                    а, это там где что-то про приватный контент упоминается? мне такое тоже приходило, пароль был указан тот который использовался на сайтах недвижимости при продаже квартиры, таких сайтов несколько десятков, везде один и тот же пароль.
                                                                      0
                                                                      Посмеялся

                                                                      А фотки друзьям дошли?)

                                                                      Мне сегодня тоже пришло на почту (для всякого шлака и фейковых аккаунтов), вот только вспомнил что где-то с пол-года назад не мог зайти в эту почту, пароль поменяли. Восстановил, посмотрел откуда заходили — как обычно Уганда/Зимбабве.

                                                                      При этом, в письме говорят о том, что предварительно сохранили все контакты. Т.е. такое вполне возможно, в тот момент когда они заходили в аккаунт, всю переписку разом забрать.
                                                                      И писали что-то вроде «как только вы откроете письмо, пойдет отсчет 8 часов» — но тут на лоха, в коде письма нет способа отследить было ли оно открыто, как например делает mailchimp — картинка 1x1px с src в виде урла с определенным id на конце.
                                                                        0
                                                                        Ну, мне написали тот самый пароль от nnm-club'a с таким текстом, что, мол, на одном из порно сайтов был их эксплойт, который заснял меня через вебку, а заодно взломал почту и фейсбук и слил оттуда все контаты, и разошлет видео им всем, если я не заплачу около 1.5к баксов :)
                                                                        Все бы здорово, только вот я не верю в такие чудесные эксплойты, да и вебки у меня тупо нету :-D
                                                                        А клубочек раскрылся как раз от того пароля — я такие нигде не использую, это был пароль, который сгенерил мне сам nnm, ну а т.к. я этим акком ни разу не дорожу, то и менять не стал. Но вообще, хранить пароли плейнт текстом в 21 веке это нонсенс, хотя, например, Чип и Дип таким страдает…
                                                                          0
                                                                          На днях получил письмо вот такого содержания, теперь вот жду фоток:

                                                                          I am aware &ltvery old and now unused password&gt is one of your pass words. Lets get right to the purpose. There is no one who has paid me to investigate about you. You do not know me and you are probably thinking why you are getting this email?

                                                                          Let me tell you, i actually placed a software on the 18+ video clips (pornography) website and do you know what, you visited this web site to have fun (you know what i mean). When you were viewing video clips, your internet browser started out working as a Remote control Desktop that has a keylogger which gave me access to your display as well as webcam. after that, my software obtained your entire contacts from your Messenger, Facebook, as well as e-mailaccount. and then i made a double video. 1st part displays the video you were watching (you've got a good taste hehe), and next part displays the recording of your web cam, yea its u.

                                                                          You got just two possibilities. Lets read the solutions in details:

                                                                          First choice is to disregard this message. Then, i will send your actual video clip to each one of your contacts and then just think regarding the disgrace you will get. and likewise if you are in an affair, precisely how it will affect?

                                                                          Number 2 solution is to compensate me USD 969. We are going to describe it as a donation. in this scenario, i most certainly will immediately remove your video. You will keep going on your daily routine like this never occurred and you surely will never hear back again from me.

                                                                          You will make the payment via Bi‌tco‌in (if you do not know this, search for 'how to buy b‌itcoi‌n' in Google).

                                                                          B‌T‌C‌ ad‌dre‌ss: 1DG8pnwK9vdevHjB1nfDQRUmyYVJyPQNf9

                                                                          [case SeNSiTiVe so copy and paste it]

                                                                          if you may be thinking about going to the law enforcement, surely, this email can not be traced back to me. I have dealt with my steps. i am not trying to ask you for money much, i would like to be paid for. message if i do not get the ‌bi‌tco‌in‌, i will, no doubt send your video to all of your contacts including relatives, colleagues, and so on. Nonetheless, if i receive the payment, i will erase the recording right away. If you need evidence, reply with Yeah! & i will send out your video to your 8 friends. it is a non:negotiable offer, thus please don't waste mine time and yours by replying to this mail.


                                                                          PS: нашел, упоминаемый этим засранцем пароль, использовавшийся на launchpad.net (последняя активность в 2013 г).
                                                                            0
                                                                            USD 969

                                                                            Жадюги. С меня всего $879 просили 13.01.2019.
                                                                              0
                                                                              Мне аналогичная фигня месяца три назад начала сыпаться, по паре писем в день, с неполным старым паролем, причём не от того аккаунта, на который ссылаются.
                                                                              Текст под копирку, только цифры выкупа меняются :)).
                                                                                0
                                                                                Похоже, как будто у вымогателя миденофобия :-), ни одного нуля во всех числах.
                                                                        0
                                                                        Проверил несколько своих email — все есть в списках на разных сайтах, с которых так или иначе были какие-то утечки в далеком 2011 или 2012, в т.ч. из крупных — Dropbox
                                                                          –5
                                                                          Утекли:
                                                                          xxx@mail.ru
                                                                          xxx@yandex.ru
                                                                          xxx@rambler.ru

                                                                          Не утекли
                                                                          xxx@gmail.com
                                                                          yyy@gmail.com

                                                                          Наводит на мысли о надежности сервисов.
                                                                            0
                                                                            Скорее должно быть «попало в паблик» и «не попало». несколько лет назад сливы были по всем основным почтовым сервисам (в статье не все, что то еще было), так что ни на какие мысли это не наводит.
                                                                            Ну и вот тоже не сильно старое habr.com/ru/company/1cloud/blog/344972

                                                                              0
                                                                              У меня 1 утечка yandex.ru (утек профиль github в geekedin) и 12 от gmail.com, так что это ничего не означает.
                                                                                0
                                                                                у меня вот gmail утёк а яндекс нет
                                                                                  +1
                                                                                  Выводы уже сделаны — 14 января увели и удалили ящик от mail.ru, о существовании которого знал только mail.ru. Уникальные имя ящика и пароль.
                                                                                    0
                                                                                    У меня давным-давно была учетка на mail.ru, созданная исключительно для баттлнета, нигде не пользовался ею и не светил. В один прекрасный момент не смог на него зайти, в том числе и восстановить пароль. А в результате общения с поддержкой, которой были сообщены ВСЕ сведения о ящике, получил ответ «вы предоставили недостаточно данных для подтверждения владения ящиком». Отвечал по пунктам на их же вопросы, дополнительных мне не задали, дальнейшие попытки общения ни к чему не привели.
                                                                                      +2
                                                                                      А у меня бесплатный терабайт отняли. Застолбил по акции и года три им не пользовался, а потом вдруг пригодился — я туда, а его и след простыл.
                                                                                      +1
                                                                                      Если о ящик никто не знает то толку от такого ящика ноль, поэтому потеря безболезненна. Если, все же, ящик использовался (переписки, регистрации, отсылка отчетов и т.д.), то о нем уже знаете не только вы и хостер ящика.
                                                                                      +1
                                                                                      у меня утекли только мейлы, из-за контакта, Адоба и Квипа.
                                                                                      +1
                                                                                      Спасибо за статью и ценный URL.

                                                                                      Один из моих адресов засветился в базе слитых аккаунтов myspace.com
                                                                                      И смех и грех
                                                                                        +4
                                                                                        Сдается мне, за такие деньги он мог машину не арендовать, а просто сервер домой купить, и молоть данные локально, так сказать. Но — хочет погордиться, как деньги тратит, так кто ж ему мешать будет? «Сочувствуем!», что сказать.
                                                                                          +1
                                                                                          «Сочувствуем!», что сказать.

                                                                                          лучше денег задонатьте.
                                                                                          По поводу а просто сервер домой купить — дома интернет не такой надёжный и электричка не так стабильно работает.
                                                                                            +3
                                                                                            Не, ну конечно, раз в неделю прожевать миллион аккаунтов — это нужно ДЦ уровня Tier III гонять хотя бы. Зато не по-экономичному!
                                                                                              0
                                                                                              интернет для работы базы данных не нужен, вопрос с питанием решается покупкой злого бесперебойника (хорошо, +500 USD)
                                                                                                0
                                                                                                Дак интернет то по проводам, туда сложно подключить бесперебойник, без разрешения.
                                                                                                  0
                                                                                                  Напомнило. Когда работал в провайдере, звонил как-то мужичок, жалующийся на нерабочий интернет при отсутствии электричества в доме. Попытка объяснить, что на чердаке установлено наше оборудование, и в данный момент оно обесточено, натыкалась на ответ «Ну и что?! У меня ноутбук же работает!»
                                                                                              –3
                                                                                              Дядька явно выпрашивает донат. Все это можно проделать на домашней рабочей станции стоимостью в 1000 долларов, причем для повторных опытов машина уже была бы бесплатной. Но он якобы потратил в 17 раз больше, бедняжка. Впрочем он конечно все равно молодец.
                                                                                                0
                                                                                                С другой стороны время обработки было на порядок дольше, чем в облаке.
                                                                                                  0
                                                                                                  Так и с женой на порядок легче договориться, бросил машину на ночь считать, да спать пошел, а тут все то же, но плюс счет на многоденег.

                                                                                                  Ладно, одним донатопросителем больше, одним меньше, дело-то делает хорошее.
                                                                                                    0
                                                                                                    Не знаю что в облаке, но знаю что за 1к можно купить условный тредприпер 12/16-ядерный и обсчитать все что угодно.
                                                                                                    +1
                                                                                                    Судя по скриншоту, он бы потратил $22000, если бы занимался обработкой данных целый месяц. Скорее всего обработка завершилась намного быстрее.
                                                                                                    +2
                                                                                                    Хде скачать то? :)
                                                                                                      +2
                                                                                                      Было здесь raidforums.com/Thread-2000-dehashed-databases-and-combolists-in-megaaccount
                                                                                                      Пишут, что здесь есть raidforums.com/Thread-100-Billion-Credential-Leak-Collection-1-600gb
                                                                                                      У кого-нибудь с хабра есть акк этого сайта? Там какая-то муть с кредитами.
                                                                                                        +4
                                                                                                        magnet:?xt=urn:btih:ba304cab082bad215263bd7f66902e128eccc7a3&dn=bigDB&tr=udp%3a%2f%2f9.rarbg.me%3a2710%2fannounce&tr=udp%3a%2f%2ftracker.leechers-paradise.org%3a6969&tr=udp%3a%2f%2fexodus.desync.com%3a6969&tr=http%3a%2f%2fbt.careland.com.cn%3a6969%2fannounce&tr=udp%3a%2f%2fcoppersurfer.tk%3a6969%2fannounce&tr=udp%3a%2f%2ftracker.pomf.se&tr=udp%3a%2f%2ftracker.blackunicorn.xyz%3a6969&tr=udp%3a%2f%2fopen.demonii.com%3a1337&tr=http%3a%2f%2fmgtracker.org%3a2710%2fannounce
                                                                                                          +2
                                                                                                          там какой-то чувак написал, что это не та база, про которую говорит Troy Hunt, и создал этот пост
                                                                                                          raidforums.com/Thread-Collection-1-5-Zabagur-AntiPublic-Latest-120GB-1TB-TOTAL-Leaked-Download
                                                                                                          хз, что там, но если не жалко, было бы неплохо ссылочку)
                                                                                                            0
                                                                                                            Там ссылки на mega.nz, и есть вероятность, что дампы скоро удалят, если выложить ссылки публично. Я качаю с 2 каналов, но это займет какое-то время. Если у вас или у кого-то, кто видит это сообщение, есть гигабитный канал и 500 ГБ (остальные 500 ГБ возьму на себя) свободного места, напишите, дам ссылку.
                                                                                                              +1
                                                                                                              У меня нет, но я буду ждать магнет ссылку. Спасибо тебе большое!
                                                                                                                +1
                                                                                                                У меня гигабит и 800ГБ свободного места на SSD. Готов присоединиться. Коллеги будут не очень рады скушанному интернету в офисе, но уже вечер :-)
                                                                                                                  +1
                                                                                                                  ValdikSS А сможете потом разбить на части, хотя бы по 25/50ГБ? Проверить, где именно засвет хочется, но за раз столько не утащить.
                                                                                                                    0
                                                                                                                    обычно эти базы разбиты по директориям и по файлам и с торрента можно скачать не всё
                                                                                                                    0
                                                                                                                    Есть сервер во франции с гигабитом и достаточным местом на hdd, так что могу посодействовать
                                                                                                                      0
                                                                                                                      в очереди за ссылкой
                                                                                                                        0
                                                                                                                        Скинте ссылочку в личку, попробую скачать
                                                                                                                          0
                                                                                                                          Ссылки выпилили, что там с торрентом?
                                                                                                                            0
                                                                                                                            Почти всё скачал, сожму в zstd и сделаю торрент завтра утром.
                                                                                                                              +3
                                                                                                                              На raidforums уже сжали и выложили торренты:
                                                                                                                              Collection 1
                                                                                                                              files.catbox.moe/dt5ic2.torrent

                                                                                                                              Collection 2-5 + antipublic
                                                                                                                              files.catbox.moe/8ntq8q.torrent

                                                                                                                              megapro17, danteteam, ladutsko, kellis
                                                                                                                                0
                                                                                                                                спасибо
                                                                                                                                0
                                                                                                                                Ого, а я думал что мне 7-Zip-zstd никогда не пригодится. Буду ждать.
                                                                                                                                Спасибо
                                                                                                                                  +4
                                                                                                                                  Почистил дубликаты и сжал в Zstandard, получилось 296.7 GiB.
                                                                                                                                  21549 файлов-дубликатов и файлов нулевого размера из ≈95000 файлов всего, очень грязная база.

                                                                                                                                  files.catbox.moe/irs1km.torrent
                                                                                                                                  my.mixtape.moe/vwgfaa.torrent
                                                                                                                                  a.uchi.moe/gxhtlb.torrent
                                                                                                                                  dl.asis.io/zdlG70S3.torrent
                                                                                                                                    0
                                                                                                                                    некоторые архивы запаролены, и никакой инфы ни на райдфоруме, ни в ридми
                                                                                                                                      0
                                                                                                                                      удалось найти пароли?
                                                                                                                                        0
                                                                                                                                        так же интересует пароль, если у кого-нибудь получилось найти — чирканите в личку, спасибо :)
                                                                                                                                        0
                                                                                                                                        спасибо огромное за проделанную работу, а что с этими файлами торента не так, что их Texati открывает а старенький uTorrent нет?
                                                                                                                                          0
                                                                                                                                          Размер блока или самого файла большой, старые версии такое не переваривают.
                                                                                                                                            0
                                                                                                                                            дык вот файлы торента выше по тексту с еще большим общим размером, но не отфильтрованные нормально открываются
                                                                                                                                            "files.catbox.moe/dt5ic2.torrent" например этот, причем уже скачалось без проблем…
                                                                                                                                            судя по инфе — 16МБ блоки кушаются старым uTorrent, а 32МБ уже нет, но где выгода от 32ных блоков? торент файлы dt5ic2.torrent и 8ntq8q.torrent весят килобайты, открыаются без проблем и скачиваются, а вот новые весят мегабайты, Texati жутко лагает и сжирает 1.5-2ГБ RAM, вот и вопрос, а в чем фишка то? :)....uTorrent съедает где-то 100-200МБ RAM
                                                                                                                                              0
                                                                                                                                              Так в новом 300+ гигов инфы, а в старых на порядок меньше. И выгода от больших блоков как раз на больших объёмах и проявляется. Иначе бы торрент файл весил в два раза больше.
                                                                                                                                              То есть про размеры вы напутали. Проблемный в 1- раз больше.
                                                                                                                                          0
                                                                                                                                          Подскажите как сделать поиск по всем файлам в папке, без распаковки? Или лучше распаковать сначала?
                                                                                                                                            0
                                                                                                                                            По сжатым Zstandard-файлам можно искать с помощью zstdgrep. RAR-архивы, вероятно, придется распаковать.
                                                                                                                                    0
                                                                                                                                    Collection 1 36.2gb tar.gz
                                                                                                                                    magnet:?xt=urn:btih:B39C603C7E18DB8262067C5926E7D5EA5D20E12E
                                                                                                                                    www.mediafire.com/file/mluhkk4dpqi8vfm/Collection+1.torrent

                                                                                                                                    Collection #2-#5 & Antipublic 364gb tar.gz
                                                                                                                                    magnet:?xt=urn:btih:D136B1ADDE531F38311FBF43FB96FC26DF1A34CD
                                                                                                                                    www.mediafire.com/file/or4pgfr4hdjy1w5/Collection+%232-%235+%26+Antipublic.torrent
                                                                                                                            +10
                                                                                                                            после обработки этой базы на облачном хостинге ему предстоит неприятный разговор с женой по финансовому вопросу

                                                                                                                            На $16 тыс. влетел. Не гнался бы за новомодными облаками а взял классический сервак за $200 в месяц — и горя бы не знал. 2 млрд. — это не мало, конечно, но и не супер много — до 500 Гб. данных. Работали с такими базами и никаких тысяч долларов не тратили.
                                                                                                                              0
                                                                                                                              За $16000 мог бы купить мощный компьютер домой, и ещё хватило бы на оплату трафика (перекачать базу себе и обратно) и электричества.
                                                                                                                                +3
                                                                                                                                Нее! «я модный и экономный! Всё в облаке считаю!… кроме денег»
                                                                                                                                0
                                                                                                                                Не на 16 тысяч, он в твиттере говорит, что пользовался этими мощностями всего несколько часов для быстрой обработки базы (чтобы быстрее сообщить подписавшимся на его рассылку о утечках конкретно их аккаунтов), и счёт составит несколько сотен долларов. Когда нужно обработать данные действительно быстро, почему бы не воспользоваться облаком?
                                                                                                                                  0
                                                                                                                                  и счёт составит несколько сотен долларов

                                                                                                                                  На скрине 21967 AUD.
                                                                                                                                    +1
                                                                                                                                    На скрине 21967 AUD.

                                                                                                                                    За месяц. А прямо над скрином график использования, где видно, что обработка продолжалась меньше суток, что Трой в комментах и подтверждает.

                                                                                                                                      –1
                                                                                                                                      Ну, если он каждый месяц платит 16 тыс за поддержку своего сайта, то +- пару сотен долларов его не обанкротит.
                                                                                                                                0
                                                                                                                                Прошелся по списку основных мыл (около 10 шт.), вроде все чисто, что удивляет больше если бы там что-то и нашло
                                                                                                                                  0
                                                                                                                                  А что подразумевается под утечкой?
                                                                                                                                  То что связанные с данным мейлом аккаунты где-то вскрылись? Или что сама почта сломана?
                                                                                                                                    0
                                                                                                                                    Указывается что произошла утечка
                                                                                                                                    комбинаций логинов и паролей
                                                                                                                                      0
                                                                                                                                      Спасибо, разобрался вроде )
                                                                                                                                    –1

                                                                                                                                    https://github.com/gorhill/uBlock/issues/3140#issuecomment-337670759


                                                                                                                                    Troy Hunt is a pathetic creep lurking around here and there to find any small bit piece of information he can use to blow it open on the Twitter and his blog and he holds a very old grudge against content blockers in general probably he because he doesn't get his way when it comes to folks blocking ads, promotions and 3rd party content with impunity on his blog.
                                                                                                                                      +2
                                                                                                                                      Вот код на python3 для проверки своих паролей. Пароль никуда не отправляется.
                                                                                                                                      Оригинал: disq.us/p/1yy2tst

                                                                                                                                      import hashlib
                                                                                                                                      import requests
                                                                                                                                      import getpass
                                                                                                                                      
                                                                                                                                      def test_pw(byte_string):
                                                                                                                                          hasher = hashlib.sha1()
                                                                                                                                          hasher.update(byte_string)
                                                                                                                                          digest = hasher.hexdigest().upper()
                                                                                                                                          print(f'Hash: {digest[:5]}, {digest[5:]}')
                                                                                                                                          print(f'GET https://api.pwnedpasswords.com/range/{digest[:5]}')
                                                                                                                                          pw_list = requests.get(f'https://api.pwnedpasswords.com/range/{digest[:5]}')
                                                                                                                                          for line in pw_list.text.split('\n'):
                                                                                                                                              info = line.split(':')
                                                                                                                                              if info[0] == digest[5:]:
                                                                                                                                                  print(f'Pwned! Seen {int(info[1])} times.')
                                                                                                                                                  break
                                                                                                                                          else:
                                                                                                                                              print('Not found')
                                                                                                                                      
                                                                                                                                      pw = getpass.getpass()        
                                                                                                                                      test_pw(pw.encode())
                                                                                                                                      
                                                                                                                                        0
                                                                                                                                        Самые старые почтовые адреса вполне логично попадают в базы компрометации.
                                                                                                                                          0
                                                                                                                                          Ждем продолжения, общий слив насчитывал 7 архивов, в сумме почти на 1 Тб
                                                                                                                                          Spoiler header
                                                                                                                                          image
                                                                                                                                            0

                                                                                                                                            Проверил адреса со своего домена через https://haveibeenpwned.com/DomainSearch
                                                                                                                                            В итоге — слишком много автосгенерированных email'ов там:


                                                                                                                                            Скрытый текст

                                                                                                                                              0
                                                                                                                                              утекли 4 адреса:
                                                                                                                                              xxx@gmail.com — 2 шт
                                                                                                                                              xxx@yandex.ru
                                                                                                                                              xxx@mail.ru
                                                                                                                                              гмаил заблокировал 2 попытки входа в аккаунт, включил двухфакторную аутентификацию
                                                                                                                                              вконтакте залогинились, включил двухфакторную аутентификацию
                                                                                                                                              маил.ру — пофиг, не пользуюсь
                                                                                                                                              яндекс — включил двухфакторную аутентификацию
                                                                                                                                              два дня менял пароли на всех важных для меня сайтах
                                                                                                                                                0
                                                                                                                                                Вот, к примеру, один из источников с миллионами аккаунтов, который хранит пароли в текстовом нешифроманном виде, и при этом заставляет вас их периодически менять: ЖЖ
                                                                                                                                                  0
                                                                                                                                                  Нашёл себя, вк и спрашивайру, зашёл на аккаунт, а я там оказывается ищу развратного мальчика для себя, мдэ…
                                                                                                                                                    0
                                                                                                                                                    Нашли?
                                                                                                                                                    0
                                                                                                                                                    Любопытно. Пара моих почтовых ящиков там засветились, но при этом пароли от них — нет.
                                                                                                                                                      0

                                                                                                                                                      Там не почта взломана, а сервисы, где эта почта указывалась как логин или как контакт. Следует ожидать, что пароль от ящика и от сервиса будут разными :)

                                                                                                                                                      0
                                                                                                                                                      Странно. Показывает какие-то tracks+ и exatis. Я там вроде не регался.

                                                                                                                                                      С другой стороны дропбокс, ВК, линкедин указаны правильно.

                                                                                                                                                      ВК взламывали или это просто админы продали на сторону базу?
                                                                                                                                                        0
                                                                                                                                                        А чей-нибудь аккаунт Steam там просветился? А то бывают новости о том, как у Steam украли данные по пользователям.

                                                                                                                                                        PS У меня всё хорошо, игровой сайт и lost.fm
                                                                                                                                                          0
                                                                                                                                                          Большой, очень большой повод задуматься! На мой взгляд, регулярная смена паролей никогда лишней не была. Автору статьи большое уважение!
                                                                                                                                                          PS Комментарии становиться страшно читать…
                                                                                                                                                            +1
                                                                                                                                                            ха ха: «This password has been seen 5 483 times before» ))
                                                                                                                                                            Так и знал что майнеры на самом деле генерят хеши для радужных таблиц
                                                                                                                                                              0
                                                                                                                                                              Если сливали базы с ВК, то не позже, чем год назад — мой новый ящик там не засвечен (менялся год назад или даже чуть раньше), а старый показывается слитым с ВК.
                                                                                                                                                                0
                                                                                                                                                                Базу ВК сливали где-то в районе 2012 года.
                                                                                                                                                                +1
                                                                                                                                                                Забавно. Есть 2 ящика на гмыле. Один я использую как основной и регаюсь на важных сайтах (хабр, hh, банки, хостинг, сосц.сети) и второй для всяких сайтов которые я посещаю один раз. На первом указываю сгенерированые пароли в 20 символов, а на втором пароли типа 1q2w3e4r. Первый засвечен на 17 сайтах. Второй на 3-х. Забавно.
                                                                                                                                                                  0
                                                                                                                                                                  Утекли gmail.com и mail.ru на last.fm, vk и adobe, но судя по датам, воры утащили уже протухшие пароли, с тех пор они менялись уже раз 20.
                                                                                                                                                                    0
                                                                                                                                                                    Бред. Меня якобы «ломанули» якобы на mail.ru (как она связана с gmail не ясно), vk (как мог быть скомпрометирован мой gmail, если там привязка по тел. — установить не представляется возможным) и myspace, на котором я никогда не был зарегистрирован! Потрясающий сайт. Что они там могли найти на mail.ru, на котором я был зарегистрирован 15 лет назад, даже не представляю.
                                                                                                                                                                      +2

                                                                                                                                                                      Окей. Моё мыло есть в базе, но пароль однозначно неверный. Есть ли возможность сделать так, чтобы сайт перестал считать моё мыло powned?

                                                                                                                                                                        –2
                                                                                                                                                                        Нашел где можно скачать то что тут обсуждаеться, как всегда свежие дампы мыл, хешей и т.д. инфы:
                                                                                                                                                                        raidforums.com
                                                                                                                                                                        Коллекция № 1
                                                                                                                                                                        Коллекция № 2
                                                                                                                                                                        Коллекция № 3
                                                                                                                                                                        Коллекция № 4
                                                                                                                                                                        Коллекция № 5
                                                                                                                                                                        Последние анти-публичные (120GB)
                                                                                                                                                                        и Zabagur # 1
                                                                                                                                                                        Это всего 1 ТБ. ~ 30 милиардов линий слитой инфы! Но пишут что около 100 миллиардов!
                                                                                                                                                                        Правда просят за это денюшку!
                                                                                                                                                                        0
                                                                                                                                                                        По ссылкам выше полная коллекция, или без этих файлов как написано в ридми?

                                                                                                                                                                        The following folders are missing (if they surface a 3rd torrent will be made):
                                                                                                                                                                        — Half of Collection #2_New combo cloud_Database Collection_Dump расшифрованные
                                                                                                                                                                        — Collection #2_New combo cloud_Database Collection_Dump HASH_HASH сборка
                                                                                                                                                                        — Collection #2_New combo cloud_Database Collection_Dump HASH
                                                                                                                                                                        — Collection #2_New combo cloud_Database Collection_Database Collection by ТЫ С4АСТЛNÐ’_Wildstart
                                                                                                                                                                        — Collection #2_New combo cloud_Database Collection_Database Collection by ТЫ С4АСТЛNÐ’
                                                                                                                                                                        — Collection #2_New combo cloud_Database Collection_DataBase's 23-05-2016_Linkedin
                                                                                                                                                                        — Collection #2_New combo cloud_Database Collection_DataBase's 23-05-2016
                                                                                                                                                                        — Collection #2_New combo cloud_Database Collection
                                                                                                                                                                        — Collection #2_New combo cloud_BTC Collection
                                                                                                                                                                        — Collection #2_New combo cloud_AbuseWithUs Logs
                                                                                                                                                                        — Collection #2_Monetary combos
                                                                                                                                                                        — Collection #2_MAIL access combos
                                                                                                                                                                        — Collection #2_GAMES combos
                                                                                                                                                                        — Collection #2_DUMPS dehashed
                                                                                                                                                                        — Collection #2_BTC combos

                                                                                                                                                                        This totals 98.82GB of missing content out of 945GB. However, most of it will be duplicates.
                                                                                                                                                                        The total size of the uncompressed contents is 847GB.

                                                                                                                                                                        Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                                                                                                                                        Самое читаемое