Добрые люди выложили в открытый доступ базу паролей MySpace, которая некоторое время ходила по подпольным форумам и продавалась за большие деньги. Теперь она бесплатна и открыта для всех.

База с 427 миллионами паролей — самая большая коллекция паролей за всю историю утечек с разных сайтов, коих было немало в последние годы.

Myspace.com.rar (14,2 ГБ)
Пароль на RAR-архив: KLub8pT&iU$8oBY(*$NOiu

Скачать


SHA1: 8C7E FFE4 3486 C617 E1B4 E295 DBF7 9E10 01AC 86BD
SHA256: 5FA0 5F95 1EFD DA18 8A2E 3D50 8948 1A4F AACA 311E C559 205F EB15 B2BB F7DE EC61

Торрент
magnet:?xt=urn:btih:17E6FC94DAE0A3168301012C290A53A2BD314A28



Пары логин/пароль можно проверять на ящиках электронной почты Mail.ru, Gmail и др., на различных веб-сайтах, в том числе «Вконтакте» и TeamViewer. Утечка паролей MySpace произошла относительно недавно: 11 июня 2013 года, но львиная доля паролей была установлена гораздо раньше, когда MySpace ещё был популярным сайтом в интернете. Напомним, до появления Facebook это была самая популярная социальная сеть в мире.

Хотя большинство паролей установлены давным-давно, но некоторые пользователи много лет используют одинаковые ники и стандартные пароли на многих сайтах, так что эти пароли встречаются спустя несколько лет на новых сайтах, которые начали работу уже после MySpace. Другими словами, база паролей имеет не только академическую, но и практическую ценность для пентестинга.

Разумеется, гигантская коллекция паролей представляет интерес для исследователей и учёных. Раньше проводились исследования на эту тему и составлялись списки самых популярных паролей на менее объёмных базах.

Коллекция готовых паролей, ранжированная по популярности, отлично подходит для пополнения словарей в программах для брутфорса.

Всего база MySpace содержит 360 213 024 аккаунта. Для каждого из них указан может быть указан адрес электронной почты, имя пользователя, первый пароль и, в некоторых случаях, второй пароль.

  • Имён пользователей — 111 341 258
  • Аккаунтов со вторым паролем — 68 493 651 (в некоторых аккаунтах указан только второй пароль и не указан первый)
  • Общее количество паролей — 472 484 128

Пароли хранились в виде хэшей SHA1 без соли, то есть их относительно просто привести в первоначальный вид. В реальности, 99% хэшей расшифровали в течение нескольких дней.

Хранение паролей в таком виде не соответствует общепринятым современным правилам информационной безопасности.

Эксперты, которые первыми получили доступ к базе и осуществили её анализ, отмечают, что очень небольшое количество паролей имеет длину более десяти символов.

Специалисты также предполагают, что большое количество аккаунтов с одинаковыми паролями homelesspa были автоматически сгенерированы, потому что почтовые адреса для этих аккаунтов следуют одинаковому шаблону.

В конце многих паролей указана цифра “1”. Скорее всего, MуSpace выдвигал требование, чтобы пароли обязательно содержали буквы и цифры для повышения безопасности и увеличения энтропии.

Самые популярные пароли из базы MySpace
Место Пароль Количество
1 homelesspa 855478
2 password1 585503
3 abc123 569825
4 123456 487945
5 myspace1 276915
6 123456a 244641
7 123456789 191016
8 a123456 165132
9 123abc 159700
10 (POSSIBLY INVALID) 158462
11 qwerty1 141110
12 passer2009 130740
13 fuckyou1 125302
14 iloveyou1 123668
15 princess1 114107
16 12345a 111818
17 monkey1 106424
18 football1 101149
19 babygirl1 90685
20 love123 88756
21 a12345 85874
22 iloveyou 85001
23 jordan23 81028
24 hello1 80218
25 jesus1 78075
26 bitch1 78015
27 password 77913
28 iloveyou2 76970
29 michael1 75878
30 soccer1 74926
31 blink182 73145
32 29rsavoy 71551
33 123qwe 70476
34 angel1 70271
35 myspace 69019
36 fuckyou2 68995
37 jessica1 67644
38 number1 65976
39 baseball1 65400
40 asshole1 63078
41 1234567890 62855
42 ashley1 62611
43 anthony1 62295
44 money1 61639
45 asdasd5 60810
46 123456789a 60441
47 superman1 59565
48 sunshine1 57522
49 nicole1 56039
50 password2 55754
51 charlie1 54432
52 shadow1 54398
53 jordan1 54004
54 1234567 51131
55 50cent 50719

Самые популярные почтовые домены из базы аккаунтов MySpace
Место Почтовый домен Количество
1 @yahoo.com 126 053 325
2 @hotmail.com 79 747 231
3 @gmail.com 25 190 557
4 @aol.com 24 115 704
5 @aim.com 5 345 585
6 @live.com 4 728 497
7 @hotmail.co.uk 4 701 850
8 @msn.com 4 378 167
9 @myspace.com 4 257 451
10 @comcast.net 3 275 651
11 @ymail.com 2 866 796
12 @sbcglobal.net 2 793 292
13 @hotmail.fr 2 335 422
14 @web.de 1 486 602
15 @rocketmail.com 1 420 819
16 @yahoo.co.uk 1 384 943
17 @verizon.net 1 255 478
18 @cox.net 1 082 304
19 @mail.ru 1 040 442
20 @hotmail.it 1 018 406
21 @bellsouth.net 961 018
22 @gmx.de 959 852
23 @hotmail.de 852 256
24 @NONE 790 159
25 @yahoo.fr 741 962
26 @att.net 685 951
27 @earthlink.net 652 769
28 @hotmail.es 612 748
29 @yahoo.co.id 604 816
30 @yahoo.com.my 601 114
31 @yahoo.com.br 551 956
32 @charter.net 548 031
33 @yahoo.de 543 823
34 @live.fr 518 523
35 @netscape.net 510 577
36 @live.co.uk 502 121
37 @libero.it 490 151
38 @googlemail.com 430 112
39 @wp.pl 401 928
40 @live.com.mx 397 944
41 @yahoo.es 389 453
42 @yahoo.co.jp 351 781
43 @btinternet.com 349 642
44 @mail.com 343 346
45 @excite.com 335 215
46 @yahoo.com.mx 330 927
47 @qamail.msprod.msp 328 267
48 @peoplepc.com 325 192
49 @music.msprod.msp 324 173
50 @yahoo.ca 320 579
51 @tmail.com 314 187
52 @gmx.net 310 143
53 @netzero.com 308 410
54 @yahoo.it 307 122
55 @optonline.net 306 284

Каждому пользователю рекомендуется скачать базу с паролями и проверить, насколько часто в ней встречается его собственный пароль. Это безопасный способ проверить свой пароль, не выдавая его онлайновому сервису проверки типа LeakedSource.

Появление паролей в открытом доступе после взлома сайта — всего лишь вопрос времени. В данном случае от взлома до появления их в открытом доступе прошло три года. «Это природа информации, — сказал хакер Tessa88, который рассекретил базу. — Трое могут хранить секрет только при условии, что двое из них умерли. Как только данные пару раз продали, в конце концов она попадёт в руки кому-нибудь не настолько надёжному, чтобы сохранить секрет, и затем информация распространяется ка ветви дерева [то есть в геометрической прогрессии — прим. пер.]».

Компания MySpace пока не комментирует факт взлома и утечки информации. Это был крупнейший сайт в интернете примерно десять лет назад, но с тех пор его посещаемость сильно снизилась. Недавно MySpace объявил о миллиарде зарегистрированных пользователей, но можно с большой долей уверенности предположить, что намного больше половины из них — это мёртвые аккаунты, покинутые давным-давно. В прошлом году активная месячная аудитория MySpace составляла всего 50 млн человек.
Поделиться с друзьями
-->

Комментарии (38)


  1. GeMir
    04.07.2016 14:30
    +1

    Сборники паролей — оригинальный источник данных для примеров анализа при помощи того же R.
    Официальные источники вроде того же destatis.de обычно «суховаты» для школьников.


  1. White_Phoenix
    04.07.2016 14:36
    +1

    Понять бы еще кому до сих пор нужен MySpace.


    1. hdfan2
      04.07.2016 15:41
      +5

      «MySpace — плохой! База паролей — хороший!»


    1. SexTools
      05.07.2016 01:05

      Там сформировавшийся контингент, мало поддельных страниц и много хорошей музыки. Молодые коллективы часто оттуда стартуют, по крайней мере, в США.


  1. Desiderio
    04.07.2016 14:42
    +1

    Странный какой-то пароль занимает первое место по популярности.
    «homelesspa» — что это? Сокращение от «бездомный пароль», или «бездомный отец»? Как почти миллиону человек пришли в голову эти буквы? Остальные-то 54 пароля вполне ожидаемые.


    1. pehat
      04.07.2016 14:47
      +2

      «Just take note that the first entry, „homelesspa,“ was automatically generated for a number of accounts that had the same email format, possibly bots or fake users.»

      Как и водится для любого приличного сайта, большинство пользователей — это боты одного ботнета.


      1. PoliTeX
        04.07.2016 18:29

        Похоже еще и 12 и 32


    1. AlexanderS
      04.07.2016 14:53
      +1

      Что — и пароль под номер 10 ожидаем?)


  1. dmitry_dvm
    04.07.2016 14:55
    +2

    Зачем всё время в паблик выкладывают запароленные архивы? Для чего пароль?


    1. ovleg
      04.07.2016 15:54
      +5

      Показать, как выглядит хороший пароль


    1. am_devcorp
      04.07.2016 17:50

      Не знаю, зачем это в данном случае, но мне периодически приходится слать файлы через гмейл файлы .jar, которые он не пропускает. Так же он не пропускает .zip и .7z с .jar внутри. Однако, если запаролить файлы и имена файлов, то проблем не возникнет.


      1. ploop
        04.07.2016 19:01

        Много чего, особенно жесткие фильтры корпоративной почты не пропустят ни .exe, .bat, и т.п., а у нас даже xml. То есть нельзя тупо передать файл настроек или шаблон генератора отчётов, приходится добавлять в архив с простейшим паролем, типа единички.


        1. icetinte
          05.07.2016 14:36

          Везет вам, у нас если архив с паролем — он заворачивается безопастникам


          1. ploop
            08.07.2016 00:27

            Ну так если там ничего криминального — не страшно.
            У нас вообще безопастники палок в колёса понаставляли, а грамотно разрулить с админами сетевой доступ и необходимые ресурсы для разных отделов так и не осилили. Типа это не им надо, админам тоже незачем инициативу проявлять. Вот только когда припрёт совсем, служебку накатаешь — немного сдвигается дело с мёртвой точки.


  1. ukrazzz
    04.07.2016 15:55
    -8

    Этично ли размещать ссылку на торрент на ГТ? Я понимаю, что эту ссылку можно найти на других, менее популярных сайтах, но все же.


    1. Avitale
      04.07.2016 16:02
      +7

      Этично ли было выкладывать на ГТ приложение, взламывавшее Тройку?
      Но это лирика. Эта ссылка уже висит в открытом доступе, так почему бы и не приложить ее к новости? Каждый раз, как появляется очередная новость про взлом, очень хочется, чтобы кто-нибудь приложил ссылку на базу, чтобы можно было спокойно ее скачать и проверить, есть ли там твой ящик, а не искать ее по разным ресурсам (а если учесть, что такие новости расходятся довольно широко по интернету, в поисковой выдаче нужная ссылка находится не сразу).


      1. tmin10
        04.07.2016 22:34

        А ещё и попутно вирусов нахватать, попав из поиска на левый сайт. Всякое может быть, а тут чистая проверенная ссылка, забота о читателе.


    1. ximaera
      04.07.2016 16:50
      +4

      Ваш вопрос лично меня поставил в тупик. Можете пояснить логику, по которой размещение этой ссылки вообще может быть неэтичным?


      1. wmtoolsnet
        04.07.2016 19:19

        О, это легко. Представьте что вы случайно забыли закрыть дверь своей квартиры. Ну бывает.
        Ваш сосед это заметил.

        И теперь он ходит по площадке перед домом, и каждому говорит что «Иванов забыл закрыть дверь своей квартиры».
        С каждым новым человеком, которому ваш сосед сказал о вашей квартире, вероятность ее кражи возрастает.
        Это как бы НЕ ПРЕСТУПНО, но и НЕ ЭТИЧНО.

        Этичнее стать возле нее, позвонить вам, и спросить что делать дальше. Так-то.


        1. ximaera
          04.07.2016 20:04
          +4

          В статье указано, что Иванов забыл закрыть дверь своей квартиры целую вечность тому назад, а именно — в 2013 году. Квартира уже давно разграблена, дом сожжён, квартал снесён, город стёрт с лица земли. Пример Иванова служит назиданием потомкам.

          Нет ничего неэтичного в том, чтобы сегодня рассказывать каждому, что Ахилла можно было убить ударом в пятку, поскольку Ахилл и так давно мёртв.


          1. ihateithere
            05.07.2016 11:58

            Приходит к тебе сосед и такой говорит: «Знаешь, я в прошлом году снял слепок с твоего замка, ну и раздаю его всем уже недельку. Но этож ничо плохого, тыж там еще щеколду поставил за этот год и вообще сам не живешь в квартире, чего тебе плохого от этого будет.»


            1. ximaera
              05.07.2016 12:19

              Да, вот так ситуация выглядела в 2014 году, и тогда это действительно могло бы быть неэтично. Но сейчас уже нет.


              1. ihateithere
                05.07.2016 15:19

                Замени прошлый позапрошлым. Никакой принципиальной разницы нет.

                Я раздал всем слепок твоих ключей, друг, не переживай, тыж там не живешь, ну и пофигу на то что там у тебя лежит.


    1. pyrk2142
      05.07.2016 02:25
      +1

      Информацию обо всех уязвимостях как раз и надо публиковать со всеми подробностями и украденными данными. Именно потому, что это показывает последствия наплевательсткого отношения к информационной безопасности.

      Почему это важно? Все просто: сейчас утекло 360 миллионов паролей от популярного сервиса. В комментариях смеются «Да кому нужен этот сервис!» Из-за развития IoT через 5 лет утечет 360 миллионов паролей от домашних камер, а через десять лет — 360 миллионов паролей от систем «Сверумный дом — управляй всей бытовой техникой и открывай двери со смартфона». Тогда кто-то будет смеяться?

      Вы думаете, такого не будет? А с чего бы? Разработчики будут теми же самыми, ИБ будет уделено столько же внимания, если ничего не делать. Именно поэтому мы должны привлекать внимание людей к ИБ и показывать последствия игнорирования проблем, а не кричать, что это неправильно, некрасиво и неэтично.


  1. Kameleon3107
    04.07.2016 16:21
    +1

    13 и 14 пароли — от любви до ненависти…


    1. Bot_0003
      04.07.2016 19:29

      Долго же я догонял, что вы имели в виду. :)


    1. gotch
      05.07.2016 09:12

      Хит-парад top100 для тех, кто не будет качать, можете составить?


      1. Kameleon3107
        05.07.2016 10:12

        Я тоже вряд ли буду качать.


  1. ximaera
    04.07.2016 17:00
    +3

    Тот эпохальный день, когда Blink 182 оказались популярнее, чем 50 Cent.


  1. Arxitektor
    04.07.2016 21:32

    password1 — 2 место 585503
    password2 50 место 55754
    Отличная статистика )
    Интересна частота встречи password1 — password10


  1. assign
    04.07.2016 21:51
    -1

    А разрешено открыто постить такие базы?


    1. Roboserv
      05.07.2016 00:47
      +4

      у кого нужно было разрешение спросить?


  1. Cryvage
    04.07.2016 23:34

    Пароль на RAR-архив: KLub8pT&iU$8oBY(*$NOiu

    Почему не homelesspa?


    1. Bot_0003
      05.07.2016 00:38

      Выше уже ответили. Это пример правильного пароля.


      1. zartarn
        05.07.2016 14:09

        при такой длине спец символы и прочее уже не так уж актуально.
        habrahabr.ru/post/220949


  1. inwardik
    05.07.2016 21:06
    +1

    База паролей — хороший. Только паролей в ней нет. Мне кажется, база хешей и база паролей это не одно и то же.
    Еще интересно, что во всех записях с паролем homelesspa присутствует второй пароль. И он везде уникальный.
    Пример записи из базы:
    555196985:msmhomelessartist+45624672@gmail.com:wilfriedboettcher:0xAB726600510D71831FB17A87A598EC755D6C3C74:
    0x10ED93E0B193A446C08FE7B8364D35F39C71438E


  1. kh0
    05.07.2016 21:06
    -1

    Если убрать все числовые пароли, то останется 111 320 676 паролей.
    Числовые пароли тоже странные, почти всегда совпадают с «номером строки». Можно предположить, что пароль «не подобрался» по хэшу и вместо него записали номер.
    Т.о. не «Торрент с 427 000 000 паролей MySpace», «Торрент с 111 000 000 паролей и 427 000 000 хэшей MySpace».
    Собсна вопрос, а как законодательтва разных стран относятся к раздаче этого торрента?
    Файл явно заточен под «черные шапки», в то время как «белым шапкам» было бы достаточно просто списка подобранных паролей.
    «Черные шапки» теряют 33Гб, а «белые шапки» только 1.4Гб.
    Мораль: «белой шапкой» быть выгоднее! )


  1. merl1n
    13.07.2016 22:38

    попытка пиара leakedsource.
    Пароли старые и уже давно использованные.
    Обзор leakedsource.com