База с 427 миллионами паролей — самая большая коллекция паролей за всю историю утечек с разных сайтов, коих было немало в последние годы.
Myspace.com.rar (14,2 ГБ)
Пароль на RAR-архив: KLub8pT&iU$8oBY(*$NOiu
Скачать
SHA1: 8C7E FFE4 3486 C617 E1B4 E295 DBF7 9E10 01AC 86BD
SHA256: 5FA0 5F95 1EFD DA18 8A2E 3D50 8948 1A4F AACA 311E C559 205F EB15 B2BB F7DE EC61
Торрент
magnet:?xt=urn:btih:17E6FC94DAE0A3168301012C290A53A2BD314A28
Пары логин/пароль можно проверять на ящиках электронной почты Mail.ru, Gmail и др., на различных веб-сайтах, в том числе «Вконтакте» и TeamViewer. Утечка паролей MySpace произошла относительно недавно: 11 июня 2013 года, но львиная доля паролей была установлена гораздо раньше, когда MySpace ещё был популярным сайтом в интернете. Напомним, до появления Facebook это была самая популярная социальная сеть в мире.
Хотя большинство паролей установлены давным-давно, но некоторые пользователи много лет используют одинаковые ники и стандартные пароли на многих сайтах, так что эти пароли встречаются спустя несколько лет на новых сайтах, которые начали работу уже после MySpace. Другими словами, база паролей имеет не только академическую, но и практическую ценность для пентестинга.
Разумеется, гигантская коллекция паролей представляет интерес для исследователей и учёных. Раньше проводились исследования на эту тему и составлялись списки самых популярных паролей на менее объёмных базах.
Коллекция готовых паролей, ранжированная по популярности, отлично подходит для пополнения словарей в программах для брутфорса.
Всего база MySpace содержит 360 213 024 аккаунта. Для каждого из них указан может быть указан адрес электронной почты, имя пользователя, первый пароль и, в некоторых случаях, второй пароль.
- Имён пользователей — 111 341 258
- Аккаунтов со вторым паролем — 68 493 651 (в некоторых аккаунтах указан только второй пароль и не указан первый)
- Общее количество паролей — 472 484 128
Пароли хранились в виде хэшей SHA1 без соли, то есть их относительно просто привести в первоначальный вид. В реальности, 99% хэшей расшифровали в течение нескольких дней.
Хранение паролей в таком виде не соответствует общепринятым современным правилам информационной безопасности.
Эксперты, которые первыми получили доступ к базе и осуществили её анализ, отмечают, что очень небольшое количество паролей имеет длину более десяти символов.
Специалисты также предполагают, что большое количество аккаунтов с одинаковыми паролями homelesspa были автоматически сгенерированы, потому что почтовые адреса для этих аккаунтов следуют одинаковому шаблону.
В конце многих паролей указана цифра “1”. Скорее всего, MуSpace выдвигал требование, чтобы пароли обязательно содержали буквы и цифры для повышения безопасности и увеличения энтропии.
Самые популярные пароли из базы MySpace
Место | Пароль | Количество |
---|---|---|
1 | homelesspa | 855478 |
2 | password1 | 585503 |
3 | abc123 | 569825 |
4 | 123456 | 487945 |
5 | myspace1 | 276915 |
6 | 123456a | 244641 |
7 | 123456789 | 191016 |
8 | a123456 | 165132 |
9 | 123abc | 159700 |
10 | (POSSIBLY INVALID) | 158462 |
11 | qwerty1 | 141110 |
12 | passer2009 | 130740 |
13 | fuckyou1 | 125302 |
14 | iloveyou1 | 123668 |
15 | princess1 | 114107 |
16 | 12345a | 111818 |
17 | monkey1 | 106424 |
18 | football1 | 101149 |
19 | babygirl1 | 90685 |
20 | love123 | 88756 |
21 | a12345 | 85874 |
22 | iloveyou | 85001 |
23 | jordan23 | 81028 |
24 | hello1 | 80218 |
25 | jesus1 | 78075 |
26 | bitch1 | 78015 |
27 | password | 77913 |
28 | iloveyou2 | 76970 |
29 | michael1 | 75878 |
30 | soccer1 | 74926 |
31 | blink182 | 73145 |
32 | 29rsavoy | 71551 |
33 | 123qwe | 70476 |
34 | angel1 | 70271 |
35 | myspace | 69019 |
36 | fuckyou2 | 68995 |
37 | jessica1 | 67644 |
38 | number1 | 65976 |
39 | baseball1 | 65400 |
40 | asshole1 | 63078 |
41 | 1234567890 | 62855 |
42 | ashley1 | 62611 |
43 | anthony1 | 62295 |
44 | money1 | 61639 |
45 | asdasd5 | 60810 |
46 | 123456789a | 60441 |
47 | superman1 | 59565 |
48 | sunshine1 | 57522 |
49 | nicole1 | 56039 |
50 | password2 | 55754 |
51 | charlie1 | 54432 |
52 | shadow1 | 54398 |
53 | jordan1 | 54004 |
54 | 1234567 | 51131 |
55 | 50cent | 50719 |
Самые популярные почтовые домены из базы аккаунтов MySpace
Место | Почтовый домен | Количество |
---|---|---|
1 | @yahoo.com | 126 053 325 |
2 | @hotmail.com | 79 747 231 |
3 | @gmail.com | 25 190 557 |
4 | @aol.com | 24 115 704 |
5 | @aim.com | 5 345 585 |
6 | @live.com | 4 728 497 |
7 | @hotmail.co.uk | 4 701 850 |
8 | @msn.com | 4 378 167 |
9 | @myspace.com | 4 257 451 |
10 | @comcast.net | 3 275 651 |
11 | @ymail.com | 2 866 796 |
12 | @sbcglobal.net | 2 793 292 |
13 | @hotmail.fr | 2 335 422 |
14 | @web.de | 1 486 602 |
15 | @rocketmail.com | 1 420 819 |
16 | @yahoo.co.uk | 1 384 943 |
17 | @verizon.net | 1 255 478 |
18 | @cox.net | 1 082 304 |
19 | @mail.ru | 1 040 442 |
20 | @hotmail.it | 1 018 406 |
21 | @bellsouth.net | 961 018 |
22 | @gmx.de | 959 852 |
23 | @hotmail.de | 852 256 |
24 | @NONE | 790 159 |
25 | @yahoo.fr | 741 962 |
26 | @att.net | 685 951 |
27 | @earthlink.net | 652 769 |
28 | @hotmail.es | 612 748 |
29 | @yahoo.co.id | 604 816 |
30 | @yahoo.com.my | 601 114 |
31 | @yahoo.com.br | 551 956 |
32 | @charter.net | 548 031 |
33 | @yahoo.de | 543 823 |
34 | @live.fr | 518 523 |
35 | @netscape.net | 510 577 |
36 | @live.co.uk | 502 121 |
37 | @libero.it | 490 151 |
38 | @googlemail.com | 430 112 |
39 | @wp.pl | 401 928 |
40 | @live.com.mx | 397 944 |
41 | @yahoo.es | 389 453 |
42 | @yahoo.co.jp | 351 781 |
43 | @btinternet.com | 349 642 |
44 | @mail.com | 343 346 |
45 | @excite.com | 335 215 |
46 | @yahoo.com.mx | 330 927 |
47 | @qamail.msprod.msp | 328 267 |
48 | @peoplepc.com | 325 192 |
49 | @music.msprod.msp | 324 173 |
50 | @yahoo.ca | 320 579 |
51 | @tmail.com | 314 187 |
52 | @gmx.net | 310 143 |
53 | @netzero.com | 308 410 |
54 | @yahoo.it | 307 122 |
55 | @optonline.net | 306 284 |
Каждому пользователю рекомендуется скачать базу с паролями и проверить, насколько часто в ней встречается его собственный пароль. Это безопасный способ проверить свой пароль, не выдавая его онлайновому сервису проверки типа LeakedSource.
Появление паролей в открытом доступе после взлома сайта — всего лишь вопрос времени. В данном случае от взлома до появления их в открытом доступе прошло три года. «Это природа информации, — сказал хакер Tessa88, который рассекретил базу. — Трое могут хранить секрет только при условии, что двое из них умерли. Как только данные пару раз продали, в конце концов она попадёт в руки кому-нибудь не настолько надёжному, чтобы сохранить секрет, и затем информация распространяется ка ветви дерева [то есть в геометрической прогрессии — прим. пер.]».
Компания MySpace пока не комментирует факт взлома и утечки информации. Это был крупнейший сайт в интернете примерно десять лет назад, но с тех пор его посещаемость сильно снизилась. Недавно MySpace объявил о миллиарде зарегистрированных пользователей, но можно с большой долей уверенности предположить, что намного больше половины из них — это мёртвые аккаунты, покинутые давным-давно. В прошлом году активная месячная аудитория MySpace составляла всего 50 млн человек.
Комментарии (38)
White_Phoenix
04.07.2016 14:36+1Понять бы еще кому до сих пор нужен MySpace.
SexTools
05.07.2016 01:05Там сформировавшийся контингент, мало поддельных страниц и много хорошей музыки. Молодые коллективы часто оттуда стартуют, по крайней мере, в США.
Desiderio
04.07.2016 14:42+1Странный какой-то пароль занимает первое место по популярности.
«homelesspa» — что это? Сокращение от «бездомный пароль», или «бездомный отец»? Как почти миллиону человек пришли в голову эти буквы? Остальные-то 54 пароля вполне ожидаемые.pehat
04.07.2016 14:47+2«Just take note that the first entry, „homelesspa,“ was automatically generated for a number of accounts that had the same email format, possibly bots or fake users.»
Как и водится для любого приличного сайта, большинство пользователей — это боты одного ботнета.
dmitry_dvm
04.07.2016 14:55+2Зачем всё время в паблик выкладывают запароленные архивы? Для чего пароль?
am_devcorp
04.07.2016 17:50Не знаю, зачем это в данном случае, но мне периодически приходится слать файлы через гмейл файлы .jar, которые он не пропускает. Так же он не пропускает .zip и .7z с .jar внутри. Однако, если запаролить файлы и имена файлов, то проблем не возникнет.
ploop
04.07.2016 19:01Много чего, особенно жесткие фильтры корпоративной почты не пропустят ни .exe, .bat, и т.п., а у нас даже xml. То есть нельзя тупо передать файл настроек или шаблон генератора отчётов, приходится добавлять в архив с простейшим паролем, типа единички.
icetinte
05.07.2016 14:36Везет вам, у нас если архив с паролем — он заворачивается безопастникам
ploop
08.07.2016 00:27Ну так если там ничего криминального — не страшно.
У нас вообще безопастники палок в колёса понаставляли, а грамотно разрулить с админами сетевой доступ и необходимые ресурсы для разных отделов так и не осилили. Типа это не им надо, админам тоже незачем инициативу проявлять. Вот только когда припрёт совсем, служебку накатаешь — немного сдвигается дело с мёртвой точки.
ukrazzz
04.07.2016 15:55-8Этично ли размещать ссылку на торрент на ГТ? Я понимаю, что эту ссылку можно найти на других, менее популярных сайтах, но все же.
Avitale
04.07.2016 16:02+7Этично ли было выкладывать на ГТ приложение, взламывавшее Тройку?
Но это лирика. Эта ссылка уже висит в открытом доступе, так почему бы и не приложить ее к новости? Каждый раз, как появляется очередная новость про взлом, очень хочется, чтобы кто-нибудь приложил ссылку на базу, чтобы можно было спокойно ее скачать и проверить, есть ли там твой ящик, а не искать ее по разным ресурсам (а если учесть, что такие новости расходятся довольно широко по интернету, в поисковой выдаче нужная ссылка находится не сразу).tmin10
04.07.2016 22:34А ещё и попутно вирусов нахватать, попав из поиска на левый сайт. Всякое может быть, а тут чистая проверенная ссылка, забота о читателе.
ximaera
04.07.2016 16:50+4Ваш вопрос лично меня поставил в тупик. Можете пояснить логику, по которой размещение этой ссылки вообще может быть неэтичным?
wmtoolsnet
04.07.2016 19:19О, это легко. Представьте что вы случайно забыли закрыть дверь своей квартиры. Ну бывает.
Ваш сосед это заметил.
И теперь он ходит по площадке перед домом, и каждому говорит что «Иванов забыл закрыть дверь своей квартиры».
С каждым новым человеком, которому ваш сосед сказал о вашей квартире, вероятность ее кражи возрастает.
Это как бы НЕ ПРЕСТУПНО, но и НЕ ЭТИЧНО.
Этичнее стать возле нее, позвонить вам, и спросить что делать дальше. Так-то.ximaera
04.07.2016 20:04+4В статье указано, что Иванов забыл закрыть дверь своей квартиры целую вечность тому назад, а именно — в 2013 году. Квартира уже давно разграблена, дом сожжён, квартал снесён, город стёрт с лица земли. Пример Иванова служит назиданием потомкам.
Нет ничего неэтичного в том, чтобы сегодня рассказывать каждому, что Ахилла можно было убить ударом в пятку, поскольку Ахилл и так давно мёртв.ihateithere
05.07.2016 11:58Приходит к тебе сосед и такой говорит: «Знаешь, я в прошлом году снял слепок с твоего замка, ну и раздаю его всем уже недельку. Но этож ничо плохого, тыж там еще щеколду поставил за этот год и вообще сам не живешь в квартире, чего тебе плохого от этого будет.»
ximaera
05.07.2016 12:19Да, вот так ситуация выглядела в 2014 году, и тогда это действительно могло бы быть неэтично. Но сейчас уже нет.
ihateithere
05.07.2016 15:19Замени прошлый позапрошлым. Никакой принципиальной разницы нет.
Я раздал всем слепок твоих ключей, друг, не переживай, тыж там не живешь, ну и пофигу на то что там у тебя лежит.
pyrk2142
05.07.2016 02:25+1Информацию обо всех уязвимостях как раз и надо публиковать со всеми подробностями и украденными данными. Именно потому, что это показывает последствия наплевательсткого отношения к информационной безопасности.
Почему это важно? Все просто: сейчас утекло 360 миллионов паролей от популярного сервиса. В комментариях смеются «Да кому нужен этот сервис!» Из-за развития IoT через 5 лет утечет 360 миллионов паролей от домашних камер, а через десять лет — 360 миллионов паролей от систем «Сверумный дом — управляй всей бытовой техникой и открывай двери со смартфона». Тогда кто-то будет смеяться?
Вы думаете, такого не будет? А с чего бы? Разработчики будут теми же самыми, ИБ будет уделено столько же внимания, если ничего не делать. Именно поэтому мы должны привлекать внимание людей к ИБ и показывать последствия игнорирования проблем, а не кричать, что это неправильно, некрасиво и неэтично.
Kameleon3107
04.07.2016 16:21+113 и 14 пароли — от любви до ненависти…
Arxitektor
04.07.2016 21:32password1 — 2 место 585503
password2 50 место 55754
Отличная статистика )
Интересна частота встречи password1 — password10
Cryvage
04.07.2016 23:34Пароль на RAR-архив: KLub8pT&iU$8oBY(*$NOiu
Почему не homelesspa?Bot_0003
05.07.2016 00:38Выше уже ответили. Это пример правильного пароля.
zartarn
05.07.2016 14:09при такой длине спец символы и прочее уже не так уж актуально.
habrahabr.ru/post/220949
inwardik
05.07.2016 21:06+1База паролей — хороший. Только паролей в ней нет. Мне кажется, база хешей и база паролей это не одно и то же.
Еще интересно, что во всех записях с паролем homelesspa присутствует второй пароль. И он везде уникальный.
Пример записи из базы:
555196985:msmhomelessartist+45624672@gmail.com:wilfriedboettcher:0xAB726600510D71831FB17A87A598EC755D6C3C74:
0x10ED93E0B193A446C08FE7B8364D35F39C71438E
kh0
05.07.2016 21:06-1Если убрать все числовые пароли, то останется 111 320 676 паролей.
Числовые пароли тоже странные, почти всегда совпадают с «номером строки». Можно предположить, что пароль «не подобрался» по хэшу и вместо него записали номер.
Т.о. не «Торрент с 427 000 000 паролей MySpace», «Торрент с 111 000 000 паролей и 427 000 000 хэшей MySpace».
Собсна вопрос, а как законодательтва разных стран относятся к раздаче этого торрента?
Файл явно заточен под «черные шапки», в то время как «белым шапкам» было бы достаточно просто списка подобранных паролей.
«Черные шапки» теряют 33Гб, а «белые шапки» только 1.4Гб.
Мораль: «белой шапкой» быть выгоднее! )
merl1n
13.07.2016 22:38попытка пиара leakedsource.
Пароли старые и уже давно использованные.
Обзор leakedsource.com
GeMir
Сборники паролей — оригинальный источник данных для примеров анализа при помощи того же R.
Официальные источники вроде того же destatis.de обычно «суховаты» для школьников.