Здравствуйте, гость ( Вход | Регистрация )




 
Ответить в эту темуОткрыть новую тему
> В сеть выложили базу данных с 773 млн. email-адресов и 22 млн. паролей
aprika
сообщение 18.1.2019, 9:17
Сообщение #1


Админша
*******

Группа: Администратор
Сообщений: 14 100
Регистрация: 20.9.2006
Пользователь №: 1
Спасибо сказали: 321 раз(а)
Фуу сказали: 7 раз(а)




Репутация:   21  


Хакеры выложили в сеть базу данных с почти 773 млн уникальных email-адресов и почти 22 млн уникальных паролей.

По словам эксперта в области компьютерной безопасности Троя Ханта, папка под названием «Коллекция №1» появилась в облачном сервисе MEGA, а также на «популярном хакерском форуме». Коллекция составлена из разных источников, начиная с 2008 года.

Целью создания такой базы могло быть ее последующее использование с целью кражи аккаунтов. Так, хакеры могут выбирать какой-либо сайт, а затем автоматически подставлять комбинации из базы. Поскольку пользователи часто используют одни и те же логины и пароли, преступникам удается завладеть их аккаунтами.

Прикрепленное изображение

Сам Трой Хант обнаружил в базе свой логин и пароль, но двухлетней давности.

Напомним, в конце 2018 года специалисты компании SplashData назвали 100 самых ненадежных паролей.

Источник: troyhunt.com



--------------------
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Цитировать в форуму быстрого ответаОтветить с цитированием данного сообщения
Сильва
сообщение 20.1.2019, 7:25
Сообщение #2


Знающий
*****

Группа: Супермодератор
Сообщений: 1 158
Регистрация: 27.3.2012
Из: Москва
Пользователь №: 10 904
Спасибо сказали: 6 раз(а)
Фуу сказали: 0 раз(а)




Репутация:   0  


Пост от популярного блогера ammo1 на тему.

Сайт haveibeenpwned проверяет пароли или крадёт их?

Вчера я написал о крупнейшей в мире базе украденных паролей и сайте, на котором можно проверить, был ли скомпрометирован ваш e-mail (ammo1.livejournal.com/1011988.html). Более половины из полутора сотен комментаторов предположили, что этот сайт сам ворует пароли, собирает емейлы для рассылки спама и прочее в том де духе. Один из комментаторов даже написал "Алексею нужно , либо пост удалять либо извиняться за распространение такой лажы, иначе репутация будет малость подмочена" (орфография сохранена, правило "жи-ши" из второго класса средней школы забыто).

Давайте разбираться.

Прикрепленное изображение

Трой Хант, создавший сайт https://haveibeenpwned.com, является экспертом по интернет-безопасности. Вот статья о нём в английской Википедии: en.wikipedia.org/wiki/Troy_Hunt. Трой ведёт блог, посвящённый интернет-безопасности troyhunt.com.

О новости про утекшую базу с миллиардом паролей вчера написал не только я. Вот публикация редакции Хабра: habr.com/ru/post/436420. Вот публикация Лаборатории Касперского: facebook.com/KasperskyLabRussia/photos/a.133379716735218/2440782895994877. Об этом написали ТАСС, РБК, Эхо Москвы и множество других СМИ.

Компания Mozilla, создавшая популярный браузер FireFox, запустила сервис проверки утечек monitor.firefox.com, использующий API сайта haveibeenpwned.com, но не передающий на него проверяемые адреса электронной почты (передаются только хэши).

Прикрепленное изображение

Этот сервис удобен тем, что сразу показывает сайты, на которых произошли утечки пар емейл-пароль и даты, когда это произошло. По моему основному адресу показывается пять утечек 2011-2013 годов.

Прикрепленное изображение

А ещё на сайте Троя можно скачать базу хешей всех паролей (это не пароли в открытом виде, но контрольные суммы по которым можно однозначно проверить, есть ли пароль в базе).

Прикрепленное изображение

Исходя из всех приведённых выше факторов, получается, что сайту haveibeenpwned.com можно доверять и никакие емейлы и пароли он не собирает и его создатель не является злоумышленником.

Мне кажется самым правильным было бы сделать очень простую вещь, о которой я уже говорил вчера. Если бы сайт при вводе емейла отправлял на этот емейл письмо о том, что по этому адресу электронной почты обнаружены следующие утечки паролей и приводил в явном виде все пары логин-пароль с указание сайта, с которого утекло и дату утечки, сомнений было бы гораздо меньше и пользы больше. Ещё раз повторю, пары емейл-пароль должны быть только в письме, отправляемом на скомпрометированный адрес, по-моему это вполне безопасно.

Теперь о странном. Несколько человек написали, что вводили на сайте несуществующие адреса электронной почты и сайт сообщал, что по ним есть утечки. Давайте попробуем это зафиксировать. Пожалуйста проверьте ещё раз такие несуществующие или только что зарегистрированные адреса на https://haveibeenpwned.com и на monitor.firefox.com и расскажите о результатах, приведя этот емейл, чтобы и я и другие тоже смогли их проверить.


© 2019, Алексей Надёжин
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Цитировать в форуму быстрого ответаОтветить с цитированием данного сообщения
Поделиться с друзьями в соцсетях



Ответить в эту темуОткрыть новую тему
2 чел. читают эту тему (гостей: 2, скрытых пользователей: 0)
Пользователей: 0

 


 
Текстовая версия Сейчас: 19.9.2019, 19:25