Издание Motherboard сообщило, что хакер по прозвищу Peace осуществил взлом популярной российской социальной сети, после чего разместил украденные данные на продажу.
По сообщению представителей соцсети — взлома не было, речь идет о старой базе, которую хакеры собирали в 2011–2012 годах.
Хакер Peace_of_mind (Peace), ранее выставивший на продажу данные о сотнях миллионов аккаунтов LinkedIn, MySpace и Tumblr, теперь продает информацию более чем о ста миллионах аккаунтах «ВКонтакте».
Объявление о продаже данных появилось в даркнете в прошедшие выходные. Стоимость пользовательских данных составляет в один биткоин (около $580 по текущему курсу). Также, этот дамп находится в распоряжении агрегатора утечек LeakedSource. В базе содержаться записи о 100 миллионах учетных записей. Еще 71 миллион хакер оставил «про запас».
Сложно судить об актуальности и достоверности базы: администрация ресурса утверждает что это старый слив, однако проверка случайных аккаунтов дает возможность авторизоваться в соцсети: представитель издательства Motherboard утверждает, что пользователь «ВКонтакте», с которым удалось связаться изданию, подтвердил, что выложенный хакером пароль действительно помогает открыть его страницу.
Простой поиск показал, что 92 из 100 проверенных журналистами email-адресов по-прежнему принадлежат активным пользователям социальной сети.
База «весит» порядка 17 гигабайт и содержит ФИО, телефоны и пароли в открытом виде.
Статистика часто используемых паролей показывает что большинство пользователей используют простые пароли, и вероятнее всего, их практически не меняют.
В любой непонятной ситуации меняй пароли, %хабраюзер%.
Комментарии (94)
TimsTims
06.06.2016 10:04Помнится в прошлогоднем «взломе» миллионов почт от Gmail, Mail.ru итд приводился линк для проверки — не взломан ли я, где можно забить свою почту и он тебе выдаст, что тебя нет в списках.
В этот раз очень пригодилась бы подобный ресурс для особо ленивых
Borro
06.06.2016 10:10+4https://www.leakedsource.com/ формочка внизу сайта.
rusbaron
06.06.2016 11:48господи иисусе, у меня там даже adobe аккаунт упёрли получается… Жуть какая, спасибо за ссылочку
tundrawolf_kiba
06.06.2016 12:40+1У меня там уперли аккаунт на adobe, а также на штуках 8 разных сайтов, на которых я не то, что не регистрировался — даже не бывал ни разу 0_о
rusbaron
06.06.2016 14:31Ну в моём списке все сайты на которых я бывал)даже heroes of newerneth там есть.Проверил емэйл своей, у неё только vk, что собственно заставляет меня верить в достоверность данных.
Simplevolk
06.06.2016 15:18Вот-вот, у меня тоже аккаунт от adobe (не помню, чтобы там регистрировался), а также в heroes of newerneth (это что?).
Grimfri
06.06.2016 16:59Игра в жанре moba, была популярна до выхода Dota 2. Я тоже себя там нашел и еще на 8 сайтах, все верно, я там регистрировался.
dark-pegas
07.06.2016 09:24В принципе, достаточно часто ушлые спамеры регистрируют ящики сами. Например, на мой ящик, который используется для регистрации на всяких сайтах по типу «ссылка/статья доступны только после регистрации», регулярно приходят уведомления, что я где-то там зарегистрирован и куда-то там подписан :) В принципе не парит, так как ящик исключительно для этого и создавался.
Ckpyt
06.06.2016 14:30+2О.О У меня увели аккаунт на Zoosk.com и 17.media!!!
Что это за сайты? Почему я их не помню?!!!
И почему меня там никогда не было? О.О
thatisme
06.06.2016 15:51-4«VK.com has: 1 result(s) found. This data was hacked on approximately 0000-00-00 00:00:00 What is in this database?»
Какая-то слишком старая база. Я даже не знал, что vk.com существовал в то время.
Но более странно то, что я уже существовал и был зарегистрирован в этой сети.
Hidadmin
06.06.2016 20:37Лично мне вчера пришло сообщение (думал глюк) и сегодня:
— Браузер Firefox сегодня в 15:48 Беларусь (37.215.147.6)
— Браузер Firefox вчера в 23:15 Италия (IP не сохранился к сожалению)
При этом сам я нахожусь в Москве.
Пришлось сменить пароль, так что может и не фейк.
ПС. Все данные на месте.
Ancitr
07.06.2016 09:24Хм. Скорее всего через Тор кто-то заходил, он ведь на основе firefox сделан, так что в запоминании ip особо смысла нет, и вряд ли так совпадет, что один день кто-то зашел из Беларуси, а на следующий уже из Италии.
А вообще сразу, как пришло подобное, нужно пароль менять. ВК в таком вряд ли может ошибиться.
alaska332
07.06.2016 17:17+1Tor не на основе firefox.
Это разные вообще проекты.
Есть сборка ff, куда интегрирован tor как прокси по-умолчанию.Ancitr
07.06.2016 17:59-1Так они же оба на движке Gecko, разве нет? Не станут же torproject тупо копировать дизайн. В любом случае я только что проверил и вк определяет Tor, как Firefox.
alaska332
07.06.2016 22:23+1Tor — это не браузер а socks прокси.
Они распространяют сборку TorBrowser, на самом деле это FF + отдельный встроенный tor, который запускается параллельно.
И юзер агент у него mozilla, потому, что это обычный ФФ, все правильно.
Tor вы можете поставить сами и использовать с любым другим браузером или софтом.
ZogG
06.06.2016 11:39+2Это только я не доверяю этим ресурсам проверки?
medin84
06.06.2016 12:46+7Не только.
Проверяющие по сути сами сливают свои почтовые адреса и тел.номера.
Sarymian
07.06.2016 09:24+1Окей.
Поясните пожалуйста мне, что плохого в том, что я зашел на этот сайт и ввел свой адрес почты?
Вот казалось бы, Вы говорите что я сам «слил» свой адрес? А Вы верите что адреса сейчас тяжело найти?
Ваш ka*ihan*vm@gmail.c*m я нашел менее чем за 1 минуту. Узнал Ваше место жительства. Сапожник без сапог?
Согласен если люди по глупости в течении одной сессии (да и вообще если делают даже удаляя куки) вбивают и e-mail и варианты аккаунтов и номер телефона и что там этот сайт еще предлагает?
Но что?! Что плохого в том чтобы проверить только адрес электронной почты?medin84
07.06.2016 10:00ОК, согласен, ищущий человек или же бот найдет.
Я скорее об осознанности действия. Вводить данные не понятно куда, облегчать задачу интересующимся.
ZmeeeD
06.06.2016 10:19-1Надо запилить по быстрому, как всегда в таких случаях, сайт, где вводишь логин-пароль и проверяешь украден ли твой аккаунт с актуальным паролем… ну и база за одно обновится...
valis
06.06.2016 11:11Не понял, а как могли увести пароли в открытом виде, а не их хеши?
Неужели ВК их хранит?
Sild
06.06.2016 11:21+1Как вариант, восстановить из хешей самый простые пароли по радужным таблицам. Думаю для подавляющего большинства хеши перебираются за пару минут. Собрать ботнет-кластер и вперёд.
ssot
06.06.2016 11:48У меня пароль сгенерённый, 20 символов, буквы, цифры, разный регистр. А по формочке я бьюсь…
Sild
06.06.2016 11:56Моё предположение хорошо тем, что случаи, подобные вашим, всегда можно списать на коллизию =)
Mihail57
06.06.2016 12:13-2Возможно что plain текстом, ведь у них уже давно есть функция ввода пароля на любом языке (т.е. если ты зарегистрировал аккаунт с английским паролем, то при входе, если раскладка русская, войдет), причем действует он, вроде, до сих пор (и при этом не надо было для этого пароли менять).
pwrlnd
06.06.2016 12:19Возможно что plain текстом, ведь у них уже давно есть функция ввода пароля на любом языке
Данный функционал вполне реализуется без пароля в plain.
Vadiok
06.06.2016 12:46Как это сделать без plain текста, если это необходимо реализовать не только для пары раскладок русская-английская?
pwrlnd
06.06.2016 12:50Сколько будет пар раскладок — столько получится разных хешей. Их и сравниваем со значением в базе.
Vadiok
06.06.2016 14:23По-моему не очень хороший вариант для систем с такой нагрузкой. Также, насколько я понимаю, такой вариант не подразумевает добавление новой раскладки в систему с уже сохраненными паролями.
Хотя ответ ниже про связывание клавиш в разных раскладках подходит.pwrlnd
06.06.2016 14:32Вариант ниже как раз этот же механизм и описывает. В базе хранится всего один хеш — это хеш «оригинального» пароля. Во время логина на сайт введенный пароль хешируется. Если хеш совпал — пускаем пользователя, если нет, то перекодируем введенный пароль в другую раскладку и снова хешируем. И так пока не переберем все раскладки или пока хеш не совпадет. Добавление новой раскладки вообще никак на базе пользователей не отразится — нужно будет лишь добавить таблицу соответствия между раскладками.
Pakos
07.06.2016 09:50А js-ом это сделать нельзя? На стороне клиента всегда пароль в латинице (апперкейснутый и с заменёнными спецсимволами ;) )
Sild
06.06.2016 12:33+2Более того, не совсем понятно как этот функционал связан с хранением паролей. Связываем клавиши в разных раскладках, и проверяем 2 варианта вместо одного. Зачем знать исходный пароль?
PavelMSTU
06.06.2016 17:43Как вариант, восстановить из хешей самый простые пароли по радужным таблицам.
Если так — то в вК нужно сменить ИБ'шников.
Кто же так делает!
Хранить нужно так:
h = hash(hash(passwd)+salt))
А еще лучше так:
h = hash(hash(id)+hash(passwd)+salt))
Тогда если ДВА пользователя создадут два одинаковых пароля, то итоговые хеши будут разные.
Я еще видел в одной крупной конторе такое решение. В нем salt — не константа, единая для всех, а запись в табличке, случайно создаваемая для каждого пользователя:
h = hash(hash(passwd)+salt(id)))
NeoCode
06.06.2016 19:30-3А в чем преимущество своей соли для каждого пользователя?
hijaq
06.06.2016 21:57Не прогнать базу хэшей по rainbow таблицам. Для одной соли можно сгенерировать таблицы.
watashiwaale
06.06.2016 22:26+2Перебирать получится не для всех пользователей сразу, а только для одного (т. е. радужные таблицы не составить).
varnav
07.06.2016 10:06+1Я об этом писал в 2012. Но статью не оценили.
PavelMSTU
08.06.2016 10:06Не оценили 25, а 24 оценили :)
Думаю просто пост был слишком короткий.
Пара красивых формул о «долгости» перебора не помешала бы.
ZfM
06.06.2016 12:46-1На сколько я помню, при восстановлении пароля, тебе приходит не ссылка на его замену, а твой актуальный пасс. Ну или по крайней мере так было последний раз, когда я восстанавливал пароль.
Так что логично предположить что они хранятся просто в plain text, что пугает.
Yeah
06.06.2016 13:48-1Все хранят. Я бы удиивлся, если бы не хранили.
Ясное дело, что для входа используется хешированный пароль, однако вполне логично хранить сильно отдельно все пароли, так как 90+% пользователей используют один и тот же пароль для многих сервисов. Ну так, просто, на всякий случай :)
SilverFire
06.06.2016 16:07На странице https://www.leakedsource.com/blog/vk в разделе Passwords написано следующее:
Passwords were stored in plaintext with no encryption or hashing. The methods VK used for storing passwords are not what internet standards propose because hackers can now see all 100 million passwords used on the site.
Пароли хранились в открытом виде без шифрования или хеширования. Эта стратегия хранения паролей позволила хакерам получить все 100 млн паролей, используемых на сайте.
Не хочется верить что в таком крупном и относительно взрослом проекте применяются такие небезопасные подходы. Хотя все подробности указывают на то, что сказанное выше — правда. Как-то совсем тупо получается :(
dolbnya
06.06.2016 11:24Каким образом из ВК утекают plaintext-пароли? Надеюсь, они их не хранят в таком виде.
Я так понимаю, это подобранные из словаря пароли, которые подошли к логину или были получены с помощью, например, фейковых страниц авторизации?Crunch-f
06.06.2016 12:00+3Есть ещё куча всякого софта типа VKmusic
Pakos
07.06.2016 09:57А вот это, мне кажется, уже ближе к истине. Всякие «кряки ВК», сохранялки музыки-видео и прочее вполне может натырить паролей (пусть даже и в целях «улучшения сервиса», потом база утекает ужу у них, пусть даже случайно — пользователям не легче от раздолбайства).
simonuvarov
06.06.2016 14:02> According to Peace, the passwords were already in plain text when the site was hacked
Оригинал: motherboard.vice.com/read/another-day-another-hack-100-million-accounts-for-vk-russias-facebook
gvozdkoff
06.06.2016 11:48Borro 6 июня 2016 в 10:10 +2
www.leakedsource.com формочка внизу сайта.
хм… ввел е-mail для проверки, обнаружил свой адрес в «слитых» базах сетях, adobe, badoo и еще одном мне не известном ресурсе, похожем на сайт знакомствBorro
06.06.2016 11:52Как вы понимаете «мопед не мой». Взял название сайта из статьи и загуглил его. Но всякие случайные email он не находит у себя в БД, даже те, которые являются на самом деле email.
Mikhael1979
06.06.2016 12:46Вот тоже проверился и нашел свои данные в базах проектов, о которых никогда не слышал.
cyber-security
06.06.2016 12:00+3«12345» на пятом месте, на первое вышел «123456». Пользователи стали больше думать о безопасности. Прогресс!
Большинству пользователей вконтакте никаких кейлоггеров не нужно. Лишь ссылка «Прочти чужие сообщения» и форма ввода логина и пароля. На основе этой социально-инженерной методики, собственно, в прошлый раз и уплыл здоровенный дамп паролей в сеть.alaska332
06.06.2016 12:20+4Нет, просто ресурсы подняли ограничение минимальной длины пароля до 6 символов.
Через пару лет топом будет 12345678.
Увидите.
passerby
06.06.2016 17:42+1«12345» на пятом месте, на первое вышел «123456». Пользователи стали больше думать о безопасности.
Больше чем когда?
6 лет назад, как минимум, «123456» был точно так же популярен — на первом месте.
Strepetarh
06.06.2016 13:3632-й по популярности пароль несколько удивляет. Это толпа ботов с одинаковыми паролями?
Apatic
06.06.2016 16:48Я думаю, это юмор от автора статистики такой. На фоне бесконечных кверти и 123 он выглядит очень нелогично.
ibKpoxa
06.06.2016 13:46От статьи к статье число украденных аккаунтов растет и растет :) тут уже 171 млн.
dastiw1
06.06.2016 14:10А что там в списке самых используемых паролей samsung делает?) Почему не apple :< )
DiMasster
06.06.2016 14:35+11производитель мониторов, который видит перед собой юзер, придумывая пароль…
Pakos
07.06.2016 10:02Символа яблочка на клавиатуре нет, приходится набирать «marina» (а про samsung уже сказали).
gsaw
06.06.2016 15:52Судя по всему это база действительно не свежая. Я года два-три назад поменял в вконтакте свои маил и пароль. В базе нахожу старый маил. Но сдругой стороны, пароль не меняю так часто и это относится к большенству я думаю, так что можно сказать база данных может быть все еще на 90% быть актуальной.
playermet
06.06.2016 16:53Аналогично. База нашла утекшие данные vk по старому мейлу, поменял его больше год назад. По актуальному мейлу только аккаунт адоба и какой-то мусор, который я даже не помню.
szharas
06.06.2016 15:52+1Кто нибудь пробовал заплатить $4 и проверить актуальность этих данных? Взял 3 аккаунта для теста. Первый — мой личный, старый и с трудным логином (11 символов с числами и верхним регистром), в базе его нет. Второй — аккаунт подруги, относительно новый (1 год), с очень легким паролем (в базе его тоже нет). Третий — аккаунт друга, старый и с легким паролем, он в базе есть. Насколько я понял, в базе старые аккаунты (старше 1 года) и с легким паролем. Скорее всего скачали старую базу с хэш данными и использовали радужные таблицы
Dunadan
06.06.2016 21:11Я заплатил и проверил.
Да, для части ресурсов показывает плейнтекст.
Да, пароли не первой свежести, но правильные — проверил по части списка друзей.
atamanenko
07.06.2016 14:34Как заплатить-то туда? Пэйпел все три мои карточки отказывается принимать со словами «We were unable to process your credit card registration at this time. We apologize for the inconvenience. Please try again at a later date.» А где биткоины купить по нормальной цене даже не представляю.
infom
06.06.2016 16:54-3Судя по всему взлома не было:
Взлома базы данных пользователей «ВКонтакте» не было, в сообщениях о продаже неким хакером данных 100 млн аккаунтов речь идет о старой базе, которую хакеры собирали в 2011–2012 годах, пояснили РБК в соцсети
Подробнее на РБК:DarkByte
06.06.2016 18:15+1Под «взлома не было» следует понимать что прямо сейчас его не было, он был в период с 2011 по 2012 год, о чём и написано в статье. Да и не правильно писать что это база vk.com, потому что она была слита с vkontakte.ru. И судя по содержимому базы, она всё таки больше похожа на дамп реальной базы, чем на слитое через трояны\плагины с компьютеров пользователей.
perfect_genius
06.06.2016 19:32Мой аккаунт привязан к мобильному — как мне можно навредить?
gospodinmir
07.06.2016 14:29Чисто гипотетически — обход двухфакторной аутентификации.
perfect_genius
07.06.2016 16:17Мне на телефон приходит пароль. Если злоумышленник не завладел моим телефоном, то и зайти не сможет?
andrew8712
06.06.2016 19:50+2Я конечно все понимаю, но что в топе часто используемых паролей делает PolniyPizdec0211? 33,236 аккаунтов! о_О
atamanenko
07.06.2016 17:45Купил триал на https://www.leakedsource.com/, пожалел. Базе явно не меньше 4-5 лет, как и говорилось выше. Пробовал найти ~100 аккаунтов, ~95% в базе нет, ~5% — устаревшие данные.
Так что бояться нечего, если вы недавно (в течении последних трёх лет, ха) меняли пароль. Но лучше поменяйте снова.
Dark_VIN
08.06.2016 13:34-1Мне сегодня утром на телефон пришло уведомление от гугла с подтверждением своего номера телефона и дополнительной почты.
Видимо всетаки кто-то ломился…
Блин, придется везде теперь пароли менять, вплоть до аськи ((
zenn
Уже есть на гике и оформлено
без копипастыболее информативно