Случайная выборка показала валидность 92 из 100 (!) аккаунтов
Ресурс LeakedSource, занимающийся мониторингом и анализом утечек, сообщил об утечке в Сеть данных примерно 100 млн аккаунтов социальной сети «Вконтакте». Эти данные не выложены в свободный доступ, но продаются. На продажу их выставил хакер с ником Peace.
Специалисты, которые проанализировали утечку, сообщают о том, что в базе содержится 100?544?934 записи. Это не только логины и пароли, но также имена, адреса электронной почты, номера телефонов пользователей. Все это продается всего за 1 биткоин, примерно $570 по курсу. Лот выставлен на продажу в дарк-вебе, на одном из маркетплейсов.
Что касается базы, которая получена ресурсом LeakedSource, то она была предоставлена пользователем Tessa88. По словам хакера Peace, база данных пользователей была получена в ходе взлома социальной сети. Этот взлом был совершен в промежутке между 2011 и 2013 годами, что объясняет отсутствие номера телефона рядом с именем пользователя в базе. Как уже говорилось выше, валидность базы высокая, случайная выборка показала корректность 92 из 100 записей.
Интересно, что Peace — ник, который использовал и злоумышленник, продававший миллионы аккаунтов MySpace. В Сеть в конце мая попали данные более, чем 400 млн аккаунтов этой социальной сети.
При анализе паролей аккаунтов выяснилось, что чаще всего пользователи устанавливали в качестве пароля число 123456.
Среди адресов электронной почты чаще всего встречались e-mail от mail.ru.
Масштабная утечка данных учетных записей пользователей «Вконтакте» является продолжением «майского слива», когда в Сети появились данные миллионов аккаунтов Mail.ru, MySpace, LinkedIn. Правда, в текущем случае процент валидных аккаунтов гораздо выше — вероятно, это можно объяснить тем, что пользователи «Вконтакте» редко меняют данные своих учетных записей. Peace утверждает, что у него есть еще данные примерно 70 млн аккаунтов «Вконтакте», но их продавать он пока не собирается.
Что касается истории с Mail.ru, то в мае в Сеть попали невалидные данные, более 99% аккаунтов из базы были неактуальными. «22,56% проанализированных учетных записей содержат вообще никогда не существовавший адрес электронной почты, еще 64,27% — неправильный пароль, в базе также присутствуют записи, указанные вообще без пароля (0,74%). Оставшиеся 12,42% аккаунтов уже проходят в Почте Mail.Ru как подозрительные (то есть по мнению нашей системы существуют основания полагать, что они либо были взломаны, либо созданы роботом) и заблокированы. Это означает, что войти в них по паролю невозможно, и владельцу необходимо пройти процедуру восстановления доступа», — сообщалось тогда в пресс-релизе компании.
А вот базы LinkedIn и MySpace аккаунтов были подлинными, это не обычный вброс. Данные многих учетных записей из базы уже были иными, но, тем не менее, многие учетки были корректными, и с ними можно было залогиниться на указанные сайты.
Пока что от «Вконтакте» нет комментариев по этому инциденту.
Ресурс LeakedSource, занимающийся мониторингом и анализом утечек, сообщил об утечке в Сеть данных примерно 100 млн аккаунтов социальной сети «Вконтакте». Эти данные не выложены в свободный доступ, но продаются. На продажу их выставил хакер с ником Peace.
Специалисты, которые проанализировали утечку, сообщают о том, что в базе содержится 100?544?934 записи. Это не только логины и пароли, но также имена, адреса электронной почты, номера телефонов пользователей. Все это продается всего за 1 биткоин, примерно $570 по курсу. Лот выставлен на продажу в дарк-вебе, на одном из маркетплейсов.
Что касается базы, которая получена ресурсом LeakedSource, то она была предоставлена пользователем Tessa88. По словам хакера Peace, база данных пользователей была получена в ходе взлома социальной сети. Этот взлом был совершен в промежутке между 2011 и 2013 годами, что объясняет отсутствие номера телефона рядом с именем пользователя в базе. Как уже говорилось выше, валидность базы высокая, случайная выборка показала корректность 92 из 100 записей.
Интересно, что Peace — ник, который использовал и злоумышленник, продававший миллионы аккаунтов MySpace. В Сеть в конце мая попали данные более, чем 400 млн аккаунтов этой социальной сети.
При анализе паролей аккаунтов выяснилось, что чаще всего пользователи устанавливали в качестве пароля число 123456.
| № п/п | Пароль | Частота |
| 1 | 123456 | 709,067 |
| 2 | 123456789 | 416,591 |
| 3 | qwerty | 291,645 |
| 4 | 111111 | 189,151 |
| 5 | 1234567890 | 156,614 |
| 6 | 1234567 | 141,620 |
| 7 | 12345678 | 107,799 |
| 8 | 123321 | 93,048 |
| 9 | 000000 | 91,981 |
| 10 | 123123 | 89,461 |
| 11 | 7777777 | 87,022 |
| 12 | qwertyuiop | 77,256 |
| 13 | 666666 | 77,048 |
| 14 | 123qwe | 68,800 |
| 15 | 555555 | 66,208 |
| 16 | zxcvbnm | 64,066 |
| 17 | 1q2w3e | 62,903 |
| 18 | gfhjkm | 57,386 |
| 19 | qazwsx | 56,465 |
| 20 | 1q2w3e4r | 55,251 |
| 21 | 654321 | 51,680 |
| 22 | 987654321 | 50,306 |
| 23 | 121212 | 44,652 |
| 24 | zxcvbn | 44,209 |
| 25 | 777777 | 42,279 |
| 26 | 1q2w3e4r5t | 41,141 |
| 27 | qazwsxedc | 39,287 |
| 28 | 123456a | 37,611 |
| 29 | 112233 | 36,795 |
| 30 | qwe123 | 36,447 |
| 31 | ghbdtn | 36,302 |
| 32 | PolniyPizdec0211 | 33,236 |
| 33 | 159753 | 32,939 |
| 34 | 123456q | 32,123 |
| 35 | asdfgh | 31,722 |
| 36 | 1111111 | 31,621 |
| 37 | samsung | 31,544 |
| 38 | qweasdzxc | 30,459 |
| 39 | qwertyu | 29,354 |
| 40 | 1234qwer | 29,132 |
| 41 | 11111111 | 28,904 |
| 42 | 222222 | 28,881 |
| 43 | asdfghjkl | 28,175 |
| 44 | 1qaz2wsx | 28,142 |
| 45 | qweqwe | 27,045 |
| 46 | 1111111111 | 26,826 |
| 47 | 123654 | 25,947 |
| 48 | marina | 24,309 |
| 49 | 123123123 | 24,176 |
| 50 | 0987654321 | 23,749 |
| 51 | 12345q | 23,673 |
| 52 | 999999 | 23,464 |
| 53 | qwerty123 | 22,937 |
| 54 | 123456789a | 22,749 |
| 55 | 12345a | 22,730 |
Среди адресов электронной почты чаще всего встречались e-mail от mail.ru.
| № п/п | Домен e-mail | Частота |
| 1 | @mail.ru | 41,132,524 |
| 2 | e-mail не указан | 21,877,927 |
| 3 | @yandex.ru | 11,604,169 |
| 4 | @rambler.ru | 7,416,993 |
| 5 | @bk.ru | 2,183,690 |
| 6 | @gmail.com | 2,033,429 |
| 7 | @list.ru | 1,586,503 |
| 8 | @ukr.net | 1,509,641 |
| 9 | @inbox.ru | 1,411,841 |
| 10 | @yahoo.com | 586,902 |
| 11 | @i.ua | 523,155 |
| 12 | @hotmail.com | 522,182 |
| 13 | @ya.ru | 518,710 |
| 14 | @bigmir.net | 413,599 |
| 15 | @yandex.ua | 319,155 |
| 16 | @meta.ua | 308,771 |
| 17 | @tut.by | 227,743 |
| 18 | @e-mail.ru | 147,319 |
| 19 | @pochta.ru | 138,758 |
| 20 | @qip.ru | 123,094 |
| 21 | @inbox.lv | 106,310 |
| 22 | @vkontakte.ru | 105,614 |
| 23 | @yndex.ru | 94,643 |
| 24 | @e1.ru | 84,581 |
| 25 | @meil.ru | 82,608 |
| 26 | @ngs.ru | 82,202 |
| 27 | @email.ru | 79,524 |
| 28 | @sibmail.com | 71,916 |
| 29 | @mai.ru | 71,692 |
| 30 | @spaces.ru | 71,008 |
| 31 | @km.ru | 70,307 |
| 32 | @gmail.ru | 64,141 |
| 33 | @ua.fm | 60,568 |
| 34 | @abv.bg | 56,825 |
| 35 | @narod.ru | 55,076 |
| 36 | @mail.com | 53,297 |
| 37 | @live.ru | 52,698 |
| 38 | @web.de | 50,339 |
| 39 | @ro.ru | 49,454 |
| 40 | @e-mail.ua | 45,403 |
| 41 | @online.ua | 44,118 |
| 42 | @mail.ry | 43,043 |
| 43 | @nm.ru | 35,446 |
| 44 | @gala.net | 34,613 |
| 45 | @gmx.de | 34,535 |
| 46 | @seznam.cz | 31,700 |
| 47 | @mail.ua | 31,143 |
| 48 | @email.ua | 30,951 |
| 49 | @pisem.net | 30,044 |
| 50 | @live.com | 27,386 |
| 51 | @il.ru | 26,947 |
| 52 | @voliacable.com | 25,347 |
| 53 | @aport.ru | 24,104 |
| 54 | @hotbox.ru | 23,636 |
| 55 | @mail.by | 22,556 |
Масштабная утечка данных учетных записей пользователей «Вконтакте» является продолжением «майского слива», когда в Сети появились данные миллионов аккаунтов Mail.ru, MySpace, LinkedIn. Правда, в текущем случае процент валидных аккаунтов гораздо выше — вероятно, это можно объяснить тем, что пользователи «Вконтакте» редко меняют данные своих учетных записей. Peace утверждает, что у него есть еще данные примерно 70 млн аккаунтов «Вконтакте», но их продавать он пока не собирается.
Что касается истории с Mail.ru, то в мае в Сеть попали невалидные данные, более 99% аккаунтов из базы были неактуальными. «22,56% проанализированных учетных записей содержат вообще никогда не существовавший адрес электронной почты, еще 64,27% — неправильный пароль, в базе также присутствуют записи, указанные вообще без пароля (0,74%). Оставшиеся 12,42% аккаунтов уже проходят в Почте Mail.Ru как подозрительные (то есть по мнению нашей системы существуют основания полагать, что они либо были взломаны, либо созданы роботом) и заблокированы. Это означает, что войти в них по паролю невозможно, и владельцу необходимо пройти процедуру восстановления доступа», — сообщалось тогда в пресс-релизе компании.
А вот базы LinkedIn и MySpace аккаунтов были подлинными, это не обычный вброс. Данные многих учетных записей из базы уже были иными, но, тем не менее, многие учетки были корректными, и с ними можно было залогиниться на указанные сайты.
Пока что от «Вконтакте» нет комментариев по этому инциденту.
Поделиться с друзьями
DistortNeo
Интересно, чем обусловлена популярность пароля под номером 32?
ESP
Набрученые фейки?
kyrie
Скорее всего да, скрипт.
Yaraslavfs
Вероятно тем, что «ghbdtn» это «привет» с англ. раскладкой)
Chamie
Да сколько ж можно уже!
vaslobas
Меня больше удивил PolniyPizdec0211 с частотой использования 33к.
BuriK666
Больше чем пароль под номером 32?
JtHermit
Более 33000 аккаунтов, зарегистрированных одним скриптом?
Jack_Taylor
Может быть это ранее угнанные аккаунты, каждому из которых поменяли пароль на этот?
ESP
Интересная судьба у аккаунтов вырисовывается!
bopoh13
О! Теперь знаю, как избавится от старого акка.
rub_ak
ошибся веткой.
Cyapa
Почему нет? Их и сейчас то тысячами регистрируют, а когда телефон не нужен был так и подавно.
shornikov
Это крестик на цифровой клавиатуре, и, думаю, на приложении для смартфона.
kotov666
А посмотрите на цифровой клавиатуре как его набирать, крестик получается, видимо по этому.
tmin10
Любопытно, что Марины ставят на пароль своё имя чаще всех. Как и фанаты самсунга ставят имя любимого бренда.
yea
Не факт, что Марины ставят своё имя в качестве пароля чаще других. Тот факт, что они попали в выборку, может быть обусловлен целым рядом причин. Никто ведь не говорил, что выборка взломанных аккаунтов равномерно распределена по всему множеству id профилей. Другими словами, возможно, Марин просто по каким-то причинам чаще ломали. А ситуация с фанатами самсунга, в добавок к вышеозвученному, может быть вызвана еще и тем, что самих фанатов самсунга вконтакте больше, чем фанатов других брендов :)
servermen
Кажется, в одну из прошлых утечек, тоже было много Марин. Или у меня просто дежавю?
Chamie
Мне кажется, дело в том, что «Марина» просто имеет меньше распространённых форм написания. Вот, например, Мария — это maria, marya, mary, masha, …
xenon
Самсунг еще и делает мониторы. Очень удобно, когда на мониторе нет несекурной post-it наклейки с паролем, а тем не менее, твой пароль у тебя перед глазами.
Kasatich
Видимо это фанаты группы Гражданская оборона)
ptica_filin
И почему именно 0211 в конце :)
mokele
Это дата конца света, не иначе.
Pakos
База собиралась/угонялась с 11го года, свежие боты (февральские 11го) в неё попали, а 0212, например, уже нет (или попало слишком мало, или пароль ставили с вариациями).
MorivVV
на цифровой клавиатуре вводят крестом
Kamikaze
у вас тут прямо целая перепись не сумевших сопоставить порядковый номер 32 и значение
yea
Спасибо. Я-то сидел и голову ломал, на какой такой цифровой клавиатуре можно «0211» набрать крестом.
SlimShaggy
А я до сих пор не вкурил…
Chamie
Это они 33й пароль объясняют вместо 32го
MorivVV
Не знаю что произошло с коментариями, но вчера все коментарии были к посту с вопросом именно о пароле 159753, причем, что пароль был прописан в коментарии. Зато всем минусы наставили просто так.
Chamie
Да тут все комментарии в ветке — вчерашние, вообще-то. И в комментарии за 8 часов до вашего уже шутка о том, что комментаторы не умеют считать до 32.
Yuuri
С нуля нумеруют, небось.
rub_ak
Никто не знает как проверить валидность записей в базе?
Свой маил там нашел, но больше нечего они не говорят.
n1ce22rus
Для этого нужно зарегистрироваться и оплатить подписку. От 2$ биткоинами либо 4$ через paypal за сутки.
rub_ak
Жаба душит платить непонятно кому и за что 2$, да и битков у меня нету, а покупать их ещё тот геморой. Послдений раз когда ими интересовался, везде надо было ждать от двух недель подтверждения или у полулегальных сервисов переводом через банк, где сумма от 4к рублей.
TimsTims
Так смените свой пароль от вконтактика и всё тут. Лучше перебздеть, чем недобздеть. Тем более, смена пароля — дело элементарное. Никуда ходить с бумажками и документами не надо…
upsilon
Ну, если пароль действительно утек, то стоило бы задуматься каким образом, а если нет — то и силы тратить не за чем.
TimsTims
Все зависит от степени риска, на который вы готовы пойти. Если вы владелец крупного сообщества на сотни тысяч человек, тогда при любом поводе надо бежать менять пароль. А если у тебя 20 человек в друзьях, фейковая фотография и никакой важной переписки, тогда и вообще забейте
upsilon
А если стоит кейлоггер? Новый пароль украдется точно так же, как и старый. Просто поменять пароль может быть недостаточно.
ESP
Тогда проводить аудит сетевой активности соизмеримо со степенью вашей параноидальности
mazahakajay
Увидел новость, зашел в вк, обнаружил, что они ввели двухфакторную аутентификацию — включил. Сменил пароль. Закрыл все активные сессии. Вроде успокоился )
Vilgelm
Биткоины не так уж и сложно купить, достаточно приобрести BTC-E USD за любую электронную валюту или даже с карты, а потом вывести уже в BTC. Комиссии минимальны, можно даже с 0% обменять при желании.
rub_ak
Это уже не имеет значения, я нашел человека который поделился бы коинтами, но при попытке оплаты пишет невозможно создать кошелек, и остается только paypal. В общем мой интерес не настолько силен, чтобы платить 4 бакса + комиссии, за то чтобы узнать правда мой пароль утек или нет.
snuk182
чтобы узнать, находится ли ваша кредитная карта в базе карточных воров, отправьте нам ее номер и CVC код (с)
ESP
С почтой пройдите сюда:
https://www.leakedsource.com/
А с паролем сюда, пожалуйста:
https://howsecureismypassword.net/
Спасибо!
p.s.
А пароль под номером 32, который многим приглянулся, согласно howsecureismypassword.net очень даже устойчив :)
rfvnhy
И в ответ: «теперь находится» (с) анек.
rub_ak
В общем нашел у кого спросить битков, но когда жмешь оплатить пишет что не удалось создать кошелёк (так в трех браузерах) и остаеться только paypal, нафиг такое нужно
Sadler
Зачем проверять? Нашли свою почту — смените пароль.
tUUtiKKi13
Планово меняю пароль где-то раз в месяц. Везде где можно включена двойная авторизация по СМС. В пароли фонетическая абракадабра со спецсимволами.
Самы сок, что в VK сижу в ридонли, мог бы сидеть с фейка. А с паролями – просто полезная привычка.
rub_ak
B как вы запоминаетe эти пароли от всех сервисов?
Captain_Sparrow
Лови, товарищ.
keepass.info
praeivis
news.ycombinator.com/item?id=11817590
ESP
Никто вам не запрещает обновляться в ручную.
praeivis
Верно, но мнение создателя все равно напрягает: https://sourceforge.net/p/keepass/discussion/329220/thread/e430cc12/#f398
Akr0n
Включать автоапдейт и вообще давать доступ такому критичному приложению в Интернет… зачем??
NikMelnikov
По описанию непонятно следующее. Можно ли прогу выставить наружу, чтобы смотреть свои пароли не с основного компа?
ESP
Нет. Либо использовать программы удаленного доступа к компьютеру где крутится KeePass.
Либо, как вариант: https://habrahabr.ru/post/269895/
bubuq
lastpass в помощь
ESP
Спасибо, но нет
http://lmgtfy.com/?q=lastpass+site%3Asecuritylab.ru+inurl%3A%2Fnews
bubuq
Везде речь идёт о фишинге, а не об уязвимости сервиса. Ничто не мешает провести сходную атаку против любого другого решения.
Woodroof
pwsafe.org?
Kju
Синхронизировать файл базы с «надежным облаком». И уже с этим файлом синхронизировать локальные базы например на телефоне.
ClearAirTurbulence
База через дропбокс и т.п.
1Password так же работает.
На телефон\другой пк ставится клиент.
GAS_85
Ещё включить верхние пункты, чтоб блокировался когда надо:
ptica_filin
Мне нравится вот этот способ: http://father-gorry.livejournal.com/790263.html
Запоминаешь не сам пароль, а алгоритм его получения.
ptica_filin
Интересно, что в этом комментарии не так. Кому-то не нравится, что нравится мне? :)
Или не нравится метод, изложенный по ссылке?
alff31
Метод работает по принципу «security by obscurity». В криптографии это считается плохой вещью и не приветствуется.
То есть знание метода не должно ухудшать безопасность системы. В данном случае безопасность как раз основывается на методе перемешивания секретного слова и названия сервиса.
areht
А против какой атаки этот метод ухудшает безопасность?
Не забывайте только, что безопасность определяется самым слабым звеном. И 100 млн паролей угнали не потому, что пользователи подобным методом пользовались.
Palehin
Ники у вас тоже, судя по всему «фонетическая абракадабра со спецсимволами» :)
tmin10
А в ВК советую ставить 2хфакторную через приложение. Всё-таки оно более безопасно, чем СМС.
nochkin
Смена пароля сделает утёкший хэш невалидным. До следующей утечки, конечно.
ESP
Так утекли вообще plaintext'ы:
«Passwords were stored in plaintext with no encryption or hashing. The methods VK used for storing passwords are not what internet standards propose because hackers can now see all 100 million passwords used on the site. „
nochkin
Это уже не так критично. Пароль надо менять в любом случае.
Если пароли утекли в чистом виде, то особенно важно надо убедиться, что такой же пароль не использовался где-то ещё.
Pakos
И что новый получен не добавлением 123 в конце старого.
mIK_LH
а где можно проверить свой мейл?
rub_ak
https://www.leakedsource.com/
Beanut
Странно, показывает, что мой email якобы есть в базе сайта «MYCE.com», хотя я там в жизни не бывал и не регистрировался.
Dolfik
У меня показывает, что мой email есть в базе VK, но на этот email не зарегистрирован аккаунт, даже сам контакт при попытке восстановления пароля говорит об этом.
Mihail57
Может быть раньше был привязан? А то у меня тоже показывает, что в базе ВК, но там почту я сменил где-то полгода назад.
Dolfik
Нет, на этот email никогда не регистрировал аккаунт, в почте так же проверил, нет писем от VK, а там все сообщения с момента регистрации ящика.
Так же проверил аккаунт по номеру телефона, не нашёл ничего, номер менял в ноябре 2012.
bopoh13
Первый акк удалён мной больше 3 лет назад — в базе висит (я уже и пароль от него не помню), 2-й регал в 2012 (по логину с привязкой к номеру) — не найден (пароль там поинтереснее). В теме на хабре есть предположение, что после слива хеши чекали… долго, и ещё 71 миллион записей на сегодня не прочеканы. Непонятно, почему другие 100 миллионов записей хранились не зашифрованы. Впрочем, сейчас так новости пишутся.
Woodroof
https://haveibeenpwned.com/
Там ещё подписаться можно, очень удобно :)
Palehin
А где проверить, если мой емаил в базе?
Runis
Возможно и риторический для многих вопрос, но КАК ему это удалось?
malan
Это Паша базу сливает:)
brzsmg
Судя по паролям ясно что это брут.
Ahalay
По информации с leakedsource.com, в базе аккаунт есть, но брут маловероятен потому что пароль был сгенерирован keepass'ом, нигде больше не использовался и совсем далёк от тех что из списка. Правда не менялся он года четыре, это да. Видимо выборка брут только по большей части.
tUUtiKKi13
Причём по словарю. А судя по паролю №32 – по адаптированному на русских словарю.
M_org
100 миллионов записей одними словарями не соберешь.
DarkByte
Это вы по топовым паролям поняли? Там дальше есть такие пароли, для брута хеша от которых даже в md5 потребуется нереальные мощности, и то скорее найдётся коллизия, чем сам пароль.
Chamie
Ну, может, это объединённая база, собранная разными техниками — брут, фишинг, етц.
Vilgelm
Фишинг. Вообще, аккаунты vk и прочих соцсетей продаются по всему интернету и стоят не очень дорого, получают их явно не брутом, а скорее с фейков.
DarkByte
В базе я обнаружил не только свой основной аккаунт, но и временные, которые создавались на «один раз» и больше нигде не использовались и не светились. Кроме того, в базе есть информация, которая в моём профиле скрыта настройками приватности от «не друзей». Если допустить, что это собранная из разных источников база, то её собирали очень качественно.
Woodroof
Точно нет, именно взлом. Мой одноразовый пользователь там был.
ZaEzzz
Интересно еще то, что не все пользователи слиты. К примеру, мой аккаунт там с 2007 года, а у жены с 2014 — оба не найдены (или не все данные предоставлены). Так что пока что в голову пришли такие мысли:
— Зараженные устройства пользователей, очень вероятно.
— Мобильное приложение, маловероятно — пользуемся ими на трех платформах (iOS, Android, Windows Phone) и нас нет.
— Атака непосредственно на сервера vk, вполне вероятно, особенно если принять данные о том, что взлом был где-то в 2011-2013 и Heartbleed тогда был известен далеко немногим.
— Банальный перебор по словарю. Маловероятно, но почему бы и нет? Учитывая, что слита почти треть пользователей, то вполне возможно, что этот список был получен брутфорсом, зная почту или телефон для входа (скорее телефон).
— Атака MITM. Вероятно. Тут могут быть и взломы внутри операторов, роутеры/точки доступа с бэкдорами итд.
А еще в голову пришла мысль, что подавляющее большинство пользователей в слитой БД — это боты.
denonlink
HTTPS вроде как защищает от этого…
ZaEzzz
В августе 2013 года vk перешел на https по-умолчанию… Пока что все сходится.
ptica_filin
Это на сайте. А в мобильном приложении подключение по https по умолчанию выключено. Нужно специально лезть в настройки и включать его.
denonlink
Интересно, а когда совершаешь вход — тоже надо в настройки зайти? Или мой пароль передается в открытом виде?
ptica_filin
Без понятия. Наверное, если галка стоит, то пароль должен быть закрыт. Я не умею анализировать трафик с телефона, чтобы разобраться самому.
ZaEzzz
Сейчас нет возможности проверить трафф с мобильного клиента, но посмотрел на браузер.
Можно зайти на страницу vk.com по http(видимо безопасный вход уже не по-умолчанию), ввести реквизиты для входа и наблюдать все данные в открытом виде. Уже только после авторизации происходит редирект на https. При этом еще передаются хэшы с заголовками: ip_h и lg_h.
Не думаю, что в мобильном клиенте все иначе.
mike_ps
огромное спасибо за совет! Я думал они по дефолту используют протокол https везде, где можно
vilky
Есть несколько аккаунтов в ВК, тремя пользуюсь довольно часто (захожу из разных доступных мне браузеров), скомпрометирован один — основной. Разницу вижу только в том, что он используется в мобильном приложении в телефоне и планшете.
ZaEzzz
Так было и года 4 тому назад?
vilky
Нет, из тех, что проверяла, тогда только основной существовал.
ZaEzzz
Собственно вот и оно — главное различие.
Все предположения остаются в силе.
Draconian
Нашел там свой старый, давно деактивированный аккаунт (других нет).
Пароль был на тот момент не слишком серьёзный, так что тоже склоняюсь к перебору.
DarkByte
Там база по состоянию на 2011 год, возможно в то время у вашего аккаунта был другой email. Большинство пользователей ВК — боты, причём до ввода подтверждения по номеру телефона их регистрировали сумасшедшими темпами. База выглядит так, будто её реально слили с серверов ВК, а не сдампили с компьютеров юзеров троянами или плагинами к браузеру.
nikitastaf1996
Как я понял из этой статьи можно просто пройтись по номерам простеньким брутфорсом.
JerzyEx
Я сделал поиск по частым именам и сделал выборку в 60 паролей pastebin.com/98VLqPSu
Много цифровых паролей: простые пароли, даты, телефоны, непонятные. Есть пароли из цифр и текста, похоже, что использовался русский словарь, но переведенный в раскладку латиницей (йцукен -> qwerty). И есть сложные пароли, но их, скорее всего, установили злоумышленники после взлома аккаунта
Runis
Такое чувство, что при регистрации я один пишу длинные пароли)
tendium
Помнится, в 2012 году у меня взломали анкету и повступали меня в группы. Признаюсь честно, пароль был примитивный (но в топе популярных его нет ;)). Только уже тогда при заходе из постороннего места запрашивались цифры телефона, которые злоумышленник знать не мог (и вообще вряд ли кто-то мог знать, так как там был использован телефон, который я никому не давал). Я задал вопрос поддержке, мол, как это так не сработала защита по номеру телефона. Адекватного ответа так и не получил. Последний ответ закончился фразой «ничего определенного сказать пока нельзя.»
Возможно, моя анкета стала жертвой именно того взлома в промежутке 2011 и 2013 годов.
Vilgelm
Защита с вводом цифр телефона или получением СМС обычно срабатывает, если заходить с IP другой страны или заспамленного прокси.
tendium
Так и было. Я захожу из Чехии, а взломщики заходили из России.
TheAlien
«ВКонтакте» прокомментировал сообщения о хищении данных 100 млн аккаунтов
JimmDiMen
Пароль под номером 48 говорит об исключительном интеллекте людей с неким именем.
aligar
Обнаружил аккаунты себя, девушки, пары друзей в этой базе. Если сольют в открытом виде — потом проверю актуальность базы, т.к. действовавший до этого момента пароль я не менял уже довольно давно. Но это, конечно, потрясающе. Надеюсь, ВК заставит всех, чьи аккаунты были скомпрометированы поменять пароль на следующем входе.
aligar
Кстати, пароль явно подбирался не брутфорсом, т.е. налицо именно взлом (в пароле присутствовали цифры, спецсимволы и буквы вперемешку). Не могу сказать на 100%, что это не фишинг, потому что в наше время уже ни в чем точно уверенным быть нельзя, и какая-нибудь подмена DNS имени vk.com у провайдера или на DNS-сервера на роутере могла бы быть. Как пример — совсем недавно у одного из моих клиентов обнаружился взлом роутера ASUS RT-N12, который, как выяснилось, до последних прошивок ломался очень легко. Так вот, там был указан чей-то непонятный DNS-сервер, соответственно, все запросы шли через него.
Но, думаю, какой-нибудь откровенно аляповатый фишинг-сайт я бы распознал.
tmin10
А можно подробности про взлом роутера? У меня у самого RT-N10, но я постарался его защитить стандартными настройками как смог: запрет отвечать на пинги, запрет админки наружу, нестандартные пароли.
aligar
Собственно, по этой инструкции на https://forum.antichat.ru/threads/409897/ смог воспроизвести атаку на взломанный роутер клиента. С админкой наружу, конечно же.
gorbln
Сдаётся мне, слив через сервис типа MusicSig и типа того.
Vilgelm
Мне кажется все куда проще:
1. Вирусы, которые добавляют в hosts vk.com. Видел такое довольно часто, один раз вместо VK у человека начал открываться какой-то ВСССР.
2. Всякое ПО и расширения для скачивания музыки, просмотра «гостей» и прочего, которые требуют указания логина и пароля.
3. Рассылка «у вас новое сообщение» по email базам, ссылка из письма ведет на фейк, где прикручена форма авторизации.
Подмена DNS на роутерах — это скорее экзотика.
Chamie
Ну, СССР — это не обязательно левый сайт. Это такой «скин» интерфейса, родившийся из первоапрельской шутки. Можете включить, поменяв в настройках язык на «Советский».
Vilgelm
В том случае был именно левый сайт, там кто-то неправильно настроил nginx, поэтому при попытке логина отдавался php код плейнтекстом. Но видимо дизайн взяли с этого скина, не знал о его существовании.
Chamie
kaichou
> Надеюсь, ВК заставит всех, чьи аккаунты были скомпрометированы поменять пароль на следующем входе.
Главное, чтобы это не новые владельцы ВК актуализовали базу паролей.
И, конечно, минус им в карму за хранение паролей в неашифрованном виде.
Kesantielu
А где вы нашли эту базу?
ESP
В обсуждении уже давали ссылку где можно проверить свою почту на наличие в базе
dom1n1k
Насколько я знаю, сейчас вк не дает сменить пароль без привязки телефона. Или давай номер или гуляй Вася. А не все хотят это делать.
Bunny_74
а пароль под номером 48? Откуда такая популярность имени Марина?
zipo
среди марин
Kasatich
Морпехи?!)
Konachan700
Возможно оттуда же, откуда номер 32. Авторег, и ботоводом была Марина. Как раз до 2013 авторег-акки продавались пачками в десятки и сотни тысяч, потому местами такая странная статистика.
Mr_Floppy
Более интересен пароль №32. Вряд ли 33 тыс. человек указали именно такую комбинацию, видимо какой-то бот, или угнанные учетки, причем разные пароли было ставить лень.
hiler
Кстате про номера — в русском языке тысячные отбиваются пробелом, а не запятой, как в США. Выбешивает. Корректор вообще есть?
bubuq
Так это дробные доли, значит.
vlreshet
Нашёл свой email в базе хотя пароль явно не словарный. Мдаа.
ESP
Аналогичная ситуация
Ti_Fix
Комментарии об утечке от Вконтакте:
http://www.rbc.ru/technology_and_media/06/06/2016/575507249a7947351eb7bc0f?from=main
rbn_termit
А хранение паролей пользователей в plaintext как-то соотносится с законом о защите персональных данных? Или там нет подобных требований?
rbn_termit
Ну вот Роскомнадзор это и проверит: https://lenta.ru/news/2016/06/08/check_vk/
DistortNeo
С удивлением обнаружил, что даже Яндекс хранит пароли в plain text.
Создал я в 2002 году сайт на narod.ru (который был яндекс, а теперь теперь юкоз). Сегодня решил зайти и поправить кодировку. Пароль не помню, решил восстановить на почту. Каково же было моё удивление, когда в письме пришла ссылка, но которой я могу не поменять, а посмотреть пароль. Нажал, увидел пароль, при этом обратил внимание, что вместо HTTPS использовался просто HTTP. Стало совсем грустно.
ploska4
Кто-либо из тех, чей e-mail обнаружился в базе покупал у них доступ?
Если есть такие, отозвитесь пожалуйста, действительно ли слит актуальный пароль.
Shafikov
Не покупал, но нашёл в базе только свой старый почтовый адрес, который от ВК отвязал несколько лет назад. Нового адреса, к которому привязан ВК сейчас там нет.
AleCher
Обнаружился, старый пароль. Причем я его тогда сменил по просьбе VK
geo19865
а где можно посмотреть свой пароль?
DjOnline
94 тысячи опечаток yndex.ru, 43 тысячи опечаток mail.ry
saege5b
Попробовал сменить пароль в ВК, в ответ упорное:
«Невозможно сменить пароль.
Попробуйте указать другой пароль или изменить его позже.»
swelf
Вот оно одиночество. Даже хакерам я не нужен. Сколько баз уже выкладывалось, меня там никогда нету:(
moveax3
учитывая, что последнее время людям дают реальные сроки за репосты вконтактах, можно нехило так подставлять людей. И доказывай потом в суде, что не верблюд.
AsidStorm
Интересно, не хотят ли сами vk.com купить базу и хотя бы указать пользователям, какие пароли были скомпрометированы? (Прямо таргетно по e-mail'y, при следующем входе в аккаунт).
Ведь пароль могут использоваться и на других сервисах.
lex_infohunter
Нашел свой e-mail с пометкой Adobe database. Не припомню, чтобы когда-либо там вообще регистрировался.
labeanchik
а если мой email есть в базе и типа взломан в vk.com. но дата указана как 0000-00-00 00:00:00?
SilverFire
На странице https://www.leakedsource.com/blog/vk в разделе Passwords написано следующее:
Не хочется верить, что в таком крупном и относительно взрослом проекте применяются столь небезопасные подходы. Хотя все подробности указывают на то, что сказанное выше — жесть и правда :(
AleCher
Там даже востановление пароля красноречиво присылало на почту пароль.
Equin0x
Скорее всего бэкап базы уперли. Сплошь и рядом бэкапы охраняются как попало, а то и доступны в виде дампа dump.sql прямо с корня сайта )
perfect_genius
Мой аккаунт привязан к мобильному номеру — как в этом случае можно навредить?
Vilgelm
Самое безобидное: проспамить ленту и лички друзей. Или в группы добавить.
Самое опасное: сделать от вашего аккаунта репост чего-нибудь не того.
perfect_genius
Как они зайдут в аккаунт? Отключат привязку?
Vilgelm
Если вы имеете ввиду двухфакторную авторизацию, то да, в аккаунт войти они не смогут (особенно если она по приложению). Если просто привязку, то она ничего не дает. Указать номер телефона, привязанный к аккаунту попросят только при заходе с заспамленного прокси или IP другой страны, если заходить с чистого прокси вашей страны, то пустит без вопросов.
ESP
Пароль может утечь в базы для брутфорса, потому лучше больше такой нигде не использовать
ZaEzzz
Хватит! Хватит уже называть вещи чужими именами!
Брут — это полный перебор, а базы — это словарный! У брута не может быть базы по определению!