Несколько минут назад мне на глаза попалась свежая новость об утечке с сайта Pikabu: Данные пользователей pikabu слили?
Я решил проверить безопасность своего аккаунта, к сожалению оказалось, что утечка вовсе не утка. Мой аккаунт и аккаунты моих знакомых все подтверждены: слиты почты; номера телефонов и никнеймы.
OSINT
Из публичного обсуждения на Pikabu ссылка на слитую базу оказалась замазанной, а ушлые пользователи, раздобывшие БД по своим каналам, в комментариях просили денежку за проверку какого-либо аккаунта.
Я взял первое предложение со скриншота из публичных комментариев на Pikabu и вбил его в поиск Яндекса использовав "лёгкий поисковый я.дорк". Данные действительно оказались публичные.
UPD. Со мной связались из Пикабу и Хабра и попросили изменить пост (вынужден уступить). Прошу пользователей отнестись с пониманием
++Спойлер++
Цитата.
Приветствую. Я руковожу службой поддержки пользователей Пикабу, руководство Хабра посоветовало мне написать вам.
Прежде всего, некоторые пользователи были введены в заблуждение пояснением в отношении раздела 7 Политики конфиденциальности, что почта и телефон хранятся в виде обезличенного хэша. Однако это не совсем верно, поскольку п. 7.1 подразумевает, что обезличивание и последующее хранение данных происходит при удалении аккаунта и прекращении обработки персональных данных:
Одновременно с удалением аккаунта Пользователем, Оператор удаляет все относящиеся к такому аккаунту персональные данные Пользователя с сайта с сохранением требуемого объема данных и/или информации законодательством Российской Федерации. При этом в отношении тех персональных данных, которые необходимы для регистрации и аутентификации, такие как: id Пользователя в социальной сети; адрес электронной почты; контактный номер телефона Оператор производит обезличивание путем хэширования для целей исполнения договора, в частности, пункта 10.8 правил. Если что, это стандартная практика для операторов пд, РКН даже создавал отдельные рекомендации по обезличиванию таких данных: https://10.rkn.gov.ru/mainwork/persondata/p14011/. Но делается это только при прекращении обработки пд.
Второе — скриншоты с поисковиком и сайтом. Понимаю, что непосредственный адрес затерт, но тем не менее из-за этого база начала активнее распространяться в сети. Я бы хотел попросить убрать этот скриншот.
UPD2. по поводу политики конфиденциальности смотри спойлер выше (цитату от представителя Пикабу).
Конец UPD/UPD2
------------------------------
Цитирование из политики конфиденциальности Pikabu
5.4. Категории персональных данных, которые Оператор собирает для достижения целей, указанных в пункте 5.2. Политики:
5.4.1. Контактный телефон.
5.4.2. Адрес электронной почты.
5.4.3. Информация об IP адресе.
5.4.4. Геолокационные данные.
5.5. Оператор не обрабатывает специальные категории персональных данных Пользователей.При этом в отношении тех персональных данных, которые необходимы для регистрации и аутентификации, такие как: id Пользователя в социальной сети; адрес электронной почты; контактный номер телефона Оператор производит обезличивание путем хэширования для целей исполнения договора, в частности, пункта 10.8 правил.
Либо 1 млн. записей хакеры дешифровали (обратное хэширование), проэксплуатировали 0-day, либо администрация Pikabu обманывает своих пользователей про обезличивание данных и нарушает закон, мне не известно (это моё субъективное мнение).
Исполнив соло на клавиатуре я создал новый аккаунт на Pikabu и вижу, что модераторы всё еще просят подтверждать свой аккаунт при помощи номера мобильного телефона (и даже где-то утверждают, что номер телефона защищён и в безопасности).
Пусть пользователи сами решают на сколько номер телефона в безопасности, а я считаю, что кто-то сильно обогатит новые БД, которые создают очередную угрозу для приватности/перс.данных пользователей Рунета...
В качестве примера: если у пользователя имеется ник в Tg и совпадает с префиксом утечки/почты (username@yandex.ru), то его скрытый телефон становится доступен тому, кто им заинтересуется (к сожалению примеров деанонимизации пользователей из-за подобных утечек гораздо больше чем может показаться на первый взгляд).
Слитая БД Pikabu содержит 1_091_670 записей
Материал подготовил разработчик OSINT-инструмента Snoop Project ne555.
Комментарии (113)
THQSql
05.03.2022 10:39+7Как-то удалиться пробовал от туда - фиг вам. Удалить свой аккаунт весьма не простая задача.
yarkov
05.03.2022 10:40+3Трижды удалялся. Пишешь письмо в ТП и нет проблем.
kokokolia
05.03.2022 10:50+3Только с недавних пор они перестали удалять комментарии при удалении профиля. Я специально спрашивал и мне отказали.
KislyFan
05.03.2022 12:54+12Где гарантия, что профиль удаляется? а не вешается флаг inactive/hide/deleted, и не копируется в исторические таблицы чтобы вернуть все если обкакаются?
XogN
05.03.2022 13:02+5
Вот тоже нет уверенности в полном удалении...
XogN
05.03.2022 14:22+1Специально поинтересовался. Ответили так:
tmin10
05.03.2022 14:38Информация хешируется? Зачем такое нужно?
XogN
05.03.2022 14:39На скрине выше, в пункте 4 видно, чтобы под этими данными не могли больше зарегаться.
tmin10
05.03.2022 14:40Тогда видимо не вся информация, а просто ник… Смысл хешировать все комментарии, например…
XogN
05.03.2022 14:42А комментарии вообще остаются после удаления учетки.
Просто показывает, что написаны от имени пользователя DELETED.
Хэшируется, скорее всего, ник и емейл, чтобы исключить повторную регу под ними.
klounader
05.03.2022 14:44+4Ну врать они могут сколько угодно. Сколько раз до них допытывались пассатижами и часто они таки раскусывались. Они там любят в секретики поиграть.
DWZ
05.03.2022 18:40+6То, что попало в Интернет - остаётся там НАВСЕГДА. Лично я не верю ни в какие удаления.
yarkov
05.03.2022 13:03+2Ну никто таких гарантий и не даёт. Я удалялся думая, что буду меньше залипать, если комментировать не буду. Но оно сильнее меня.
justPersonage
05.03.2022 14:24Удалить свой аккаунт весьма не простая задача.
Причем на многих сайтах.
DWZ
05.03.2022 18:38Лучший метод лечения - не болеть. Лучше не курить, чем пытаться бросить. Поэтому меня нет в Одноклассниках, например.
Lelant0s
05.03.2022 10:42А если логин осуществляется через Google - чревато или норм?
a1ebedew
05.03.2022 12:35+7Чревато тем, что ваш логин теперь надёжно ассоциирован с вашей почтой. Ваш кэп)
daniilzen
05.03.2022 21:21Ничем, если вы логинитесь с других сервисов и соц.сетей собственно там сливать нечего, на пикабу есть только пароль, а данные номер телефона/e-mail - это для защиты аккаунта, как бы сейчас это глупо не звучало :)
Все кто логинился так - нет в базе, также в базу попали только РФ/РБ, все остальные были удалены оттуда, как заверил автор взлома этого
anonym0use
05.03.2022 10:43+21Очередное подтверждение того что требование перс. данных у пользователей — плохая практика.
Не указывайте при регистрации свои настоящие данные, кроме пожалуй онлайн-банкинга и госуслуг.
Kenny00
05.03.2022 10:50+11Дельный совет. Я так делаю, и очень удобно, когда звонят "Сотрудники Банка" или какие-то услуги, и называют меня по "Имени", я точно знаю откуда был слит контакт))
DWZ
05.03.2022 18:45+3Меня учили рассказывать разным людям разные версии одного события, чтобы, когда всплывёт, было ясно, через кого именно шла утечка
DWZ
05.03.2022 18:44А лучше ходите на разные форумы под разными никами, с разных машин, через разных провайдеров, зареганными через разные E-mailы. Правда, так вышло случайно.
Как сказал разбойник в "Сокровищах Агробы": "Выбросить целый ларец легко, но и вам потОм найти его тоже будет легко". А потому - никаких входов через соцсети
Wesha
05.03.2022 22:02Как сказал разбойник в "Сокровищах Агробы": "Выбросить целый ларец легко, но и вам потОм найти его тоже будет легко".
Это, кстати, к вопросу о менеджерах паролей.
"Брелок сущ. — маленькая хреновинка, предоставляющая вам возможность потерять все ключи одновременно."
DWZ
06.03.2022 10:31Бывает и хуже. Вводишь пароль русскими буквами на английской раскладке, добавляешь в исключения Punto, сохраняешь в облако :)))))))
Kenny00
05.03.2022 10:47Пароль в Базе есть?
lea
05.03.2022 10:53+1Нет, только username+phone+email.
Lexicon
05.03.2022 15:00Жаль, я пару лет назад забыл пароль и почту от аккаунта там.
Было бы здорово восстановить
Номером телефона желания делиться с пикабу не было и видимо не зря.
Особенно забавляет что даже этого мало и видео из ВК требуют аккаунт еще и там.DWZ
05.03.2022 18:47Номером телефона не нужно делиться нигде. Мало того, что смогут отслеживать перемещения даже через бабушкофон, так ещё и у многих людей симка на реальное ФИО привязано. А если ещё этот телефон привязан к единственной зарплатной карте, то вообще туши свет и сливай воду.
Dario9000
07.03.2022 05:28Только 90% современных соцсетей требуют его в обязательном порядке. Можно, конечно, выкручиваться виртуальными номерами.
DWZ
07.03.2022 10:23Я не много не об этом. Я за то, чтобы НЕ давать номер ДОБРОВОЛЬНО. Вот например, сейчас mail.ru просит (пока не требует) ввести номер телефона. Закрыл окно и пошёл дальше.
Ellarihan
05.03.2022 11:02Ну и где можно проверить свои данные на утечку?
ChaikaWiFika
05.03.2022 11:11+2весьма чётко описан алгоритм получения базы данных из яндекса, откуда попадаем на тг канал и скачиваем базу
три скриншота с детальнейшим разбором как это найти
nixtonixto
05.03.2022 17:11+1Можно сделать проще… Написать имя файла в поисковике. Яндекс сразу даёт ссылку на анонфайл. Зачем все эти обходные пути с регистрацией в ТГ (если не зарегистрирован)?
lea
05.03.2022 11:13+1Если у тебя там такой же ник - плохие новости, ты там есть. Номер заканчивается на 236.
KislyFan
05.03.2022 12:58+1Скорее всего утекло всё, но выложили отфильтрованное по номерам телефонов российских и белорусских операторов. Через некоторое время гарантированно сольют и остальное.
У меня один аккаунт 6 лет, регистрировался еще на почту, его нет в этой выгрузки, а второй - регистрировался уже на терефонный номер пару лет назад, и в сливе есть.
borisdenis
06.03.2022 13:16-2Поможет прочтение комментов с этой темы Бачок потик. : Pikabu (reddit.com)
Evengard
05.03.2022 11:20Странно, моих данных нет. Возможно, правда, потому что к моей учётке там никогда не был привязан номер телефона...
KonstantinID
05.03.2022 12:26+15Те, кто слил базу, отсеяли украинские телефоны, ну и соответственно не стали добавлять без телефонов акки, т.к. очевидно что непонятно по email кому он принадлежит.
Кстати я думаю что это не взлом, а кто-то из своих по "национальности" или "с позицией". Более чем уверен даже.
dappdappgo
06.03.2022 05:48Так вот почему позиция всей аудитории сайта так явно перекосилась в одну сторону (видно по постам в топе).
Но мы наверное не узнаем, это стало причиной или следствием слива базы.
dbond
05.03.2022 12:04-2Прикабу продолжает сливать данные. Мне только что рекламная вставка пикабу выдала форму как бы для получения подарка с моим ником и имейлом, на который зареган аккаунт.
AC130
05.03.2022 12:07+5Все выложенные записи имеют номер телефона, соответственно с префиксом +7 (таких 1 046 490) или +375 (таких 45 180). Возможно, слитую базу просто отфильтровали на предмет телефонных номеров из соответствующих стран, а затем выложили. Для 516 115 записей почта отсутствует.
cubiculus
05.03.2022 12:42+22Повышенная безопасность, говорили они
acc0unt
05.03.2022 13:39+15Привязка телефонов ко всему - зло.
DWZ
05.03.2022 18:51Я даже на работе штук 20 планшетов на Android эксплуатирую БЕЗ создания Google Accountов, благо так можно
nlykl
05.03.2022 18:56А если еще и снести google service framework, то оно еще и будет работать быстрее, но некоторые приложения могут не работать.
DWZ
05.03.2022 19:30Ну, я так глубоко не лазил. И страшновато так делать для коммерческого использования. А тут штатная возможность:
- Хочешь?
- Нет
- Точно не хочешь
- Точно нет
и никаких проблем. Я к тому, что не надо накидывать на себя ошейник, тем более по своей воле там, где это вовсе и не требуется.
Aelliari
05.03.2022 13:02+6О, там ещё эпичненько меняют ники. Для смены нужно позвать в комментарии модератора (да хоть в посте-ответе администрации о событии) и указать новый ник. То-то сложность имея дамп комментариев спарсить новую базу и сопоставить новый-старый ник. Тот же pikabu.monster уже имеет такой бд-срез
a1ebedew
05.03.2022 13:05+6Пикабу рекомендует сменить ник, чтобы разорвать связь со слитыми данными:
- придумать ник от 4 до 16 символов, без нижнего подчеркивания "_";
- проверить ник через поиск, занят ли он;
- призвать модератора (можно в комментах);
- и попросить сменить ник на тот, который вам нужен.
M_AJ
05.03.2022 14:06+5Как уже выше писали:
То-то сложность имея дамп комментариев спарсить новую базу и сопоставить новый-старый ник. Тот же pikabu.monster уже имеет такой бд-срез
Таким "гениям" лучше в принципе никаких данных не доверять.
DWZ
05.03.2022 18:53+5Если вышел в Интернет - веди себя так, будто сказанное тобой будет доступно всем и навсегда.
sim2q
06.03.2022 01:35всё верно, но проблема, что неизвестно за что завтра "будут вешать"
Wesha
06.03.2022 05:59Отсюда мораль: в Интернете никто не должен знать,
что Вы - собака, кто Вы такой. Чтобы вешатели не нашли.DWZ
06.03.2022 10:41Найдут, но надо, чтобы постарались. Как говорится, мне не надо бежать быстрее медведя, мне всего лишь надо бежать быстрее тебя. Печально, но факт
DWZ
06.03.2022 10:40Именно так. Песенка "Оранжево Солнце, оранжевое небо" в своё время неплохо так сыграло. Да и с буквой "Z" теперь будут проблемы
XogN
05.03.2022 14:09+3На самом pikabu сейчас пишут так:
https://pikabu.ru/story/vesti_s_poley_8897549 Aelliari
05.03.2022 14:14+11Все что там написано - это фигня, привязка ник-номер телефона, иногда ник-почта не редко когда поможет установить и иные связи. Да, этих данных недостаточно для входа в аккаунт, зато может хватить деанонимизировать пользователя.
XogN
05.03.2022 14:16+1Ну я не спорю.
Просто есть пользователи, которые добавили свой номер телефона/зарегистрировались лишь в 2022 году. Им повезло...
GDragon
05.03.2022 20:15+3Проверил.
По телефону ассоциированному с учеткой admin@pikabu отвечает реальный владелец pikabu. Комментарии дать отказался.
Нашёл себя, пару знакомых.
Не нашёл знакомого зарегистрировавшегося в феврале 22.
Время утечки похоже на правду, про "не имели доступа к нашим базам данных" ооочень спорно, ведь в таком случае сам pikabu с какой то целью собирал и отдельно хранил эти данные.
muxa_ru
05.03.2022 15:59-5Пользуясь случаем, напоминаю об опросах на смежные темы:
- Опрос: программисты и квалифицированная электронная подпись - https://habr.com/ru/post/650219/
- Опрос: программисты и электронные трудовые книжки - https://habr.com/ru/post/559676/
CiceJis
05.03.2022 17:46+1Фух, я уж переживал, вдруг мне для чего понадобится тот "одноразовый номер для смс и регистрации", а я его и не запомнил... Ну, хоть в сливе подсмотрел.
andreishe
05.03.2022 22:06почта и телефон хранятся в виде обезличенного хэша
Телефон хешировать бесполезно (как и, скажем, IP-адреса). У него слишком мало уникальных значений, и сбрутить номер по хешу задача довольно простая.
Разве что делать много раундов хеширования с медленной функцией, чтобы на вычисление одного значения уходило хотя бы порядка секунды. Но кто так делает?
Wesha
05.03.2022 22:42-1Телефон хешировать бесполезно (как и, скажем, IP-адреса). У него слишком мало уникальных значений, и сбрутить номер по хешу задача довольно простая.
Вы про хеширование с солью правда-правда никогда ничего не слышали?
andreishe
05.03.2022 23:01+3И чем в этом конкретном случае соль поможет? Брутить придется каждую отдельную запись, а не все сразу, какой кошмар.
Wesha
05.03.2022 23:33+1Брутить придется каждую отдельную запись
СИЛЬНО лучше. Потому что в этом случае, да, можно (через несколько дней и киловатт) узнать, какой пароль у пользователя vasya.pupkin@mail.ru, но нельзя одним запросом получить "всех пользователей, у которых пароль password123 (хэш которого известен из радужной таблицы)".
Во втором случае атакующий несколькими нажатиями клавиш скомпрометировал сотни (а то и тысячи) пользователей. В первом случае после некоторой гребли на байдарках и каноэ атакующий скомпрометировал ОДНОГО пользователя.
andreishe
07.03.2022 09:13OK, с каким-нибудь BCrypt это имеет смысл. С чем-то мейнстримным типа SHA-256 - это мелкое препятствие.
Речь шла о телефонных номерах. Их очень мало по сравнению с паролями.
Wesha
07.03.2022 09:16Речь шла о телефонных номерах. Их очень мало по сравнению с паролями.
Потому и надо солить. Потому что посоленных (особенно если соль символов так под сотню) сразу станет очень много.
fshp
08.03.2022 02:28А если хэшировать почту и телефон, то как потом уведомления пользователям по этим каналам отправлять?
andreishe
08.03.2022 02:57Хешируются при удалении пользователя. Вопрос только с какой целью.
Если для последующего поиска по номеру телефона, то все измышления про соль и BCrypt выше неприменимы (иначе этот самый поиск будет медленным) и мы возвращаемся к тому, что брутфорс телефона по хешу тривиален.
ASHcommander
05.03.2022 22:39+5Я не знаю, кому сейчас еще нужен пикабу. Как развлечение это просто дно. Почти филиал одноклассников. Плюс это еще пристанище ватников и 15-рублевых.
WheatTail
06.03.2022 07:06Я на пикабу, в основном, захожу ради постов в пони-сообществе. Ни о чём не жалею)
DWZ
06.03.2022 10:52Люди из народа пишут трудовые будни - машинист, проводник, фельдшер на "Скрой помощи". Плюс ещё книжку почитываю в час по чайной ложке по мере её написания АВТОРОМ.
Oplkill
06.03.2022 11:54+3На Пикабу есть отличный инструментарий фильтра и подписки. Не нравится контент из одноклассников? Просто забань пару тегов и/или их связки. Даже на Хабре такого инструмента нет, хотя хотелось бы забанить пару пользователей включая редакторов
demoth
06.03.2022 00:52+1После прочтения новости побежал проверять свой аккаунт, которым я давно не пользовался. Оказалось, что у меня там нет ни телефона, ни емейла, ни пароля. А всё благодаря oauth через гугл. Теперь вот думаю, что буду его чаще юзать для рандомных сайтов. :)
DWZ
06.03.2022 10:53А если Гугл - всё?
Не следует подвязывать все пароли к одному источнику.
demoth
06.03.2022 11:03Ну под рандомными сайтами я имел в виду те, где не жалко потерять аккаунт. В моём случае Пикабу именно такой. Раньше я для таких сайтов юзал е-мейл/простой пароль, который тоже не особо жалко потерять, но всё же неприятно.
lxsmkv
07.03.2022 03:57Вероятность, что крупный сервис сделает нормальную архитектуру базы данных, разнеся информацию для повышения безопасности - гораздо выше.
Но остается проблема доступности. Когда физически не сможешь получить доступ к провайдеру аутентификации. По большому счету - самое надежное это никому не доверять. Но тогда невозможно будет пользоваться "информационными благами цивилизации" в полной мере.А, кстати, в мейл.ру есть такая функция как альтернативный адрес. Можно создать почтовые адреса-псевдонимы (alias) и когда на него начнет приходить спам сразу станет ясно откуда.
DWZ
07.03.2022 10:21Можно создать почтовые адреса-псевдонимы (alias) и когда на него начнет приходить спам сразу станет ясно откуда.
Прямо по моей системе :)
Wesha
07.03.2022 20:37"В очередь, сукины дети, в очередь!"
wc -l /etc/mail/aliases
1442 /etc/mail/aliases
DWZ
07.03.2022 10:26Вероятность, что крупный сервис сделает нормальную архитектуру базы данных, разнеся информацию для повышения безопасности - гораздо выше.
Зато больше сотрудников и точек слива и, как следствие, шансы на слив повышаются. Тут со службой безопасности никто серьёзно морочиться не будет. Это Вам не банк.
Paran01d
08.03.2022 05:53Гуглу то пока ничего не грозит. А вот вероятность того, что Рунет форкнется в Чебурнет, велика как никогда. Но в этом случае будет уже не до акка на Пикабушечке.
mc2
Много нашлось.
Что творится в мире..