В распоряжение ресурса leakedsource.com, специализирующегося на информационной безопасности, попала база учетных записей от сервиса Rambler.ru, которая была украдена злоумышленниками еще в 2012 году. Предоставил ее пользователь daykalif@xmpp.jp~~pobj, который также ответственнен за публикацию базы аккаунтов last.fm.

Каждая из 98 167 935 учетных записей содержит логин пользователя, его пароль и еще некоторую информацию. Отдельно стоит отметить, что пароли не зашифрованы и хранятся в виде обычного текста. Самыми популярными паролями базы оказались «asdasd» «asdasd123» и, конечно, «123456».

В качестве одного из доказательств leakedsource приводит скриншот начала дампа базы:


Одному из наиболее известных хабрапользователей — Трину mobilz Зотоффу, мы задали следующие вопросы по-поводу данного взлома:

  1. Почему подобные ситуации постоянно повторяются?
  2. Почему пароли хранились в открытом виде?
  3. Насколько актуальна база?
  4. Что делать пользователям?
  5. Тем, у кого пароль оказался в базе, «Рамблер» предложит сменить пароль?

Я саму базу не видел, но вполне допускаю, что пароли были в открытом виде. Это пережиток прошлого, от которого многие сервисы не могут избавиться до сих пор. В частности, допускаю, что была получена не основная база пользователей рамблера, а какая-то условно «соседняя», которая использовалась под какие-то старые проекты. Она может содержать как неактуальную, так и не полную базу пользователей.

Почему повторяется раз за разом? Не важно, хранится ли в базе текст или хеш пароля, простые пароли типа «123456» можно достаточно быстро восстановить из хешей. Как мы видим из статьи, из 100млн пользователей у минимум 6млн очень простые пароли. И это только топ50. У меня словарик для взлома паролей на 2 гига, текстовый файл, думаю, что с ним можно восстановить до 90% паролей, т.к. народ не всегда серьезно относится к безопасности. Даже если сервис хеширует пароли, их все равно множно восстановить, если они относительно простые.

2-х факторная авторизация от глобальных взломов точно спасёт. Даже зная пароль жертвы, если авторизация привязана в том числе и к телефону, то увы и ах.

Для рамблера, как уже писал, это, возможно, пережиток прошлого. Старые сервисы, которые не хочется переписывать, сравнивали пароли просто текстом. Однако, я видел современные сервисы, кто умудряется до сих пор хранить пароли в открытом виде. Более того, я натыкался на проекты, большие проекты, современные, которые хранили хеши, но рядом в таблице были и пароли в открытом виде.

Зачем это надо? Чтобы знать пароли пользователей ). Раньше, очень очень давно, даже зная про хеши для некоторых своих проектов я допускал хранение паролей в открытом виде. Делалось это для UserFriendly интерфейса. Типа просишь восстановить пароль на почту и тебе на почту сразу приходит твой актуальный пароль. Иногда это удобней, не надо придумывать новый, восстанавливать и т.п. Но я был глуп, конечно ). Теперь только хеши, только с солью и т.п.

Там написано, февраль 2012 года. Если вспомнить историю яху с восстановлением почты для угона асек — эта база может быть актуальной ещё очень долго. Скажем, ты давно использовал ящик на рамблере, но забил на него. Новость про взлом тебя никак не потревожила, ты же не пользуешься рамблером. Но рамблер помнит всю твою переписку, все твои контакты, в том числе деловые и эта информация может использоваться.

Кому ящики на рамблере не нужны — удалять всё к чертям. Кому нужны — менять пароли и включать 2-х факторную авторизацию.

Обычно такие сервисы самостоятельно меняют пароли пользователям и сообщают им о этом.

По информации leakedsource.com, по крайней мере часть базы может быть актуальна, что выявилось в ходе проверки при участии одного из журналистов журнала «Хакер».
Поделиться с друзьями
-->

Комментарии (50)


  1. Reeze
    06.09.2016 13:51
    +2

    Собственно, не помешала бы ссылка на саму базу.


    1. ghostinushanka
      06.09.2016 14:14

      ^ Такой комментарий есть под каждой такой новостью, а вот ссылок в новостях как не было, так наверное и не будет.
      Интересно почему, собственно нет ссылок? Ограничения правового поля?


      1. ragequit
        06.09.2016 14:16
        +3

        Первое же предложение ссылка на первоисточник. Доступ к базе для работы только через API Leakedsource. А провериться если так:

        You also may search for your email or username in any leaked databases by visiting our homepage.


        Но кто же читает то.


        1. wighthawk
          06.09.2016 14:36
          +1

          это выходит, что бы восстановить свой пароль на мейл ру, мне надо будет купить его у каких то ребят, что свиснули у меня все данные? гениально. пробовал. предложили 2 доллара биткоинами скинуть. Хоть убейся, не знаю даже как их добыть. обидно, что в мейл ру работают такие товарищи. 3 года прошло, а восстановить не могу.


          1. gag_fenix
            06.09.2016 20:23

            Там же можно через PayPal.


        1. ghostinushanka
          06.09.2016 14:51
          +1

          Я так понимаю что г-н Reeze имел ввиду ссылку на дамп базы, что я и комментировал.
          Ведь «в руки» leakedsource она попала не из воздуха, правда же?
          Из новостной записки прямо не следует что нет дампа «где-то на просторах тырнета».

          Перефразируя вас — «но кто же думает когда читает то».


          1. Reeze
            06.09.2016 15:01

            Даже на thepiratebay пусто.


            1. LoadRunner
              06.09.2016 15:41

              А такие базы разве не в .onion прячут?


      1. DarkByte
        06.09.2016 15:39

        Ссылок нет, потому что скорее всего базы нет в публичном доступе. leakedsource зарабатывает на продаже данных, и наиболее вероятно что они эти базы просто покупают на «чёрном рынке», или достают из старых запасов.


  1. DistortNeo
    06.09.2016 13:56
    +1

    Хотелось бы узнать, в каком виде хранит пароли Яндекс. Дело в том, 15 лет назад я создал сайт на народе, в этом году решил поправить кодировку, но не помнил пароль — в итоге мне его просто прислали открытым текстом.

    P.S. Да, я знаю, что народ — это уже Юкоз, а не Яндекс, но сам факт передачи пароля в открытом виде возмутителен.


    1. Akdmeh
      06.09.2016 16:21
      +1

      Своего времени так же поступал вконтакте. Был удивлен, когда после восстановления они мне прислали старый пароль.
      Сейчас, думаю, они уже переделали на нормальную схему.


    1. mobilz
      06.09.2016 23:37

      Ну а сами как думаете, если яндекс прислал вам ваш же пароль, в каком виде они в базе у них?


      1. DistortNeo
        07.09.2016 00:48

        Неизвестно. А если они используют шифрование и хранят ключ для расшифровки отдельно от базы?


        1. mobilz
          07.09.2016 01:13
          +2

          Отдельно где? В базе? В коде? И туда и туда доступ скорее всего будет, т.к. доступ к одному из двух в 90% случаев предполагает и доступ ко второму.


  1. lucius
    06.09.2016 14:00
    +19

    Чтобы не отставать от конкурентов, сотрудники Рамблера сами опубликовали базу своих учетных записей (с) Интернеты


  1. qwertyqwerty
    06.09.2016 14:16
    -1

    sho_opyat.jpg
    Походу там все эти базы хранятся на одном сервере.


  1. wighthawk
    06.09.2016 14:31
    -8

    Нашел свою заблокированую почту от мейл ру там, на сервисе. предлагают купить за 2 доллара. весело.

    товарищи, есть ли хоть какой тут представитель мейл ру, что мог бы помочь? я изза этой утечки 12 года (по сайту 13) не могу зайти на свой аккаунт мейл ру (vip-zone@mail.ru) хотя у меня есть доступ к привязаному к аккаунту телефону, который там висит там уже много лет. пароль вспомнить не могу, вместо секретного вопроса стоит 21 знак вопроса. вводя код восстановления — отправляет заполнять анкету «так как помню», после чего меня шлют на 3 буквы боты, каким фиг что обьяснишь. Есть хоть один живой человек? крыша уже едет! свяжитесь со мной по адресу justasstog@mail.ru, пожалуйста.


    1. qwertyqwerty
      06.09.2016 14:40

      после чего меня шлют на 3 буквы боты

      Незнаю как сейчас, восстанавливал пол года назад там почту. Заполнял всё по-памяти, в течении дня уже имел доступ. Главное полно заполнить анкету.
      При этом я аккаунтом не пользовался с 2008-го года.


      1. wighthawk
        06.09.2016 14:46
        -3

        понимаешь в чем дело. Имейл есть в списке взломаных. Теперь не хотят восстановить. туда прикручен мобильник. с 2006 года номер один и тот же у меня. Секретный вопрос оно отображает как ??????? ??????? ??????.. И я точно помню, что такой не оставлял. Там был нормальный вопрос, на который я дал нормальный таки ответ. пароль точно никак не вспомню. А в остальном — бот просто не поймет что написано. Например. Пароль не менял раньше. Как указать что других паролей небыло, если надо заполнить поле? А как указать, что нет имени — фамилии? а как указать, что с ящика никуда не писал лично с 2010 года? а как указать, что ящик для всякого хлама и форумов? да только от не учел другого. Аккаунт одной не очень популярной браузерной игры, в которую я играю с 2004 года — привязан именно к этой почте. и я не могу зайти ни на одного из персонажей, так как все пароли просто забылись. а на почту напомнить не могу. Вот и юмор весь. Я написал на все возможные мейл ру адреса, подал несколько заявок так, напрямую. и ничерта.


        1. PQR
          06.09.2016 15:24
          +1

          Нашел свою заблокированую почту от мейл ру там, на сервисе. предлагают купить за 2 доллара. весело.
          Хотел было вам помочь и купить для вас ваш пароль за 2$!

          Но я не нашел на leakedsource аккаунт vip-zone@mail.ru. Там есть информация о vip-zone@mail.ru только по myspace, rambler и lastfm, а непосредственно по mail.ru нет


          1. wighthawk
            06.09.2016 15:39
            -1

            ну, изза этого я так понимаю мне почту и заблокировали то. Вот в этом вся беда :(((

            так то… я думаю что и почта где — то есть.


            1. grokinn
              06.09.2016 16:59
              -3

              Я нашел пароль на ликдсорс (от майспейса) и ввел в майле, он говорит что выслал код на +7 (909) 977-**-**, если интересует пароль пишите на grokinn@gmail.com


      1. Pakos
        07.09.2016 10:45

        Восстанавливали почту через неделю после последнего захода (пароль давно не помнили, но авторизационная кука спасала) — ответили на вопросы, получили фигу в ответ. Было несколько (5?) лет назад. Сейчас, конечно, уже даже точно момент не вспомнить. Забытую чуть не в начале 0х свою почту даже не пытался восстановить, ибо материалов для анкеты ещё меньше и следов ннаверняка не осталось.


    1. Miffer
      07.09.2016 17:57

      свяжитесь со мной по адресу justasstog@mail.ru

      Я после аналогичного случая потратил некоторое время, и заменил на всех значимых аккаутнах ящики майла на яндекс и гугл.


  1. UNIm95
    06.09.2016 15:28

    Ага. Двухфакторную.
    Только не забывайте что у Рамблера двухфакторная авторизация работает только для России, Беларуси и Украины. И если человек куда-либо переехал то ящиком фиг воспользуешься.


    1. melt
      06.09.2016 20:48

      Простите, но как включить на Рамблере двухфакторку? Сколько уже не отслеживаю этот момент, так и не нашел еще этого. На том же Яндексе вот вроде бы она есть, но не по стандартному протоколу как у всех нормальных людей — поэтому, что есть — что нет. К своему приложению аутентификатору уже не подключить


      1. UNIm95
        06.09.2016 22:03

        Все просто:
        Авторизуемся.
        Справа вверху иконка аккаунта ->Мой профиль
        Указать номер телефона.


        1. melt
          06.09.2016 22:30

          Значит в моем случае двухфакторная аутентификация не работает, т.к. номер у меня указан достаточно давно, но никакой авторизации при заходе с новых устройств не запрашивается. Хотя использую и всегда использовал почту из России, номер Российский, язык выставлен Русский. Что я делаю не так?


          1. UNIm95
            06.09.2016 22:49

            Не знаю почему так у вас.
            У меня двухфакторная авторизация сразу после добавления почтовых ящиков.


            1. melt
              07.09.2016 18:35

              Написал в поддержку:

              Здравствуйте! Хотел бы использовать двухфакторную аутентификацию, телефон в учетной записи добавлен уже достаточно давно. Но при заходе в почту с разных неизвестных устройств достаточно только пароля, а хотелось бы еще подтверждение по телефону. Спасибо

              Получил ответ:
              Здравствуйте,
              В данный момент подобная возможность в web-интерфейсе почты отсутствует. Мы постоянно добавляем новые возможности согласуясь с пожеланиями и потребностями наших пользователей. Ваше предложение учтено и будет передано разработчикам. Спасибо!

              Так что судя по всему или этот функционал не для всех или мы с Вами говорим о каких-то разных вещах :)


  1. SamDark
    06.09.2016 16:53

    У меня словарик для взлома паролей на 2 гига, текстовый файл, думаю, что с ним можно восстановить до 90% паролей, т.к. народ не всегда серьезно относится к безопасности. Даже если сервис хеширует пароли, их все равно множно восстановить, если они относительно простые.

    Эм… а bcrypt? По словарику уже не выйдет.


    2-х факторная авторизация от глобальных взломов точно спасёт. Даже зная пароль жертвы, если авторизация привязана в том числе и к телефону, то увы и ах.

    Если второй канал не SMS. SMS — дыра.


    1. Construct
      06.09.2016 22:09

      А почему «SMS — дыра»?


      1. DistortNeo
        06.09.2016 22:14

        Потому что были инциденты с выдачей дубликатов SIM. Но для этого нужно знать номер телефона жертвы и иметь определённый доступ к инфраструктуре сотового оператора.

        Более реальную опасность представляет интернет-банкинг в некоторых банках (в т.ч. и топ-10): при наличии карточки и телефона можно получить полный доступ к интернет-банку. Вводишь номер карты — на телефон приходит SMS с паролем без всяких проверок — доступ есть. Если физически отжать кошелёк с телефоном, что проще, чем сделать дубликат SIM, то это дыра в безопасности.


      1. SamDark
        07.09.2016 00:32

        Потому что мобильная связь сама по себе изначально не безопасный канал. Хорошая подача общей информации тут: https://meduza.io/feature/2016/08/13/sms-dolzhny-umeret-kak-mozhno-skoree-i-vot-pochemu


      1. sergio_deschino
        07.09.2016 08:18
        +1

        например, потому что при переезде в другую страну вспоминаешь о старых своих аккаунтах когда уже оператор отдал твою симку кому-то.



    1. mobilz
      06.09.2016 23:43

      bcrypt почти никто и не использует, т.к. её основной плюс является и основным минусом для веба. Ну и по словарику выйдет, распараллеленный jtr вполне себе справляется с этой задачей.
      SMS — дыра, с этим я согласен. Именно поэтому я уточнил, что 2-х факторная авторизация точно спасёт от глобальных взломов. Если вы являетесь целью хакеров/спецслужб, вас вообще ничего не спасёт, против утюга и паяльника не поспоришь.


      1. SamDark
        07.09.2016 00:43

        М… это что-то новое. Какой же минус у bcrypt для веб? Мы вот используем, да ещё и с work factor = 13. Никто не жаловался пока.


        Перебор bcrypt по словарю, конечно, возможен, но вот перебирать придётся каждый аккаунт по отдельности, а не строить табличку, как в случае какого-нибудь sha-1. Плюс это, в отличие от простого хеша, очень не быстро.


        1. Это может сделать массовый реверс паролей в относительно короткие сроки коммерчески не выгодным предприятием.
        2. Это даст время, в случае обнаружения утечки, без спешки закрыть дыры и попросить юзеров сменить пароли.

        2-х факторная аутентификация — это не всегда SMS. Есть тот же Google Authenticator, например, для TOTP и HOTP. В случае использования их становятся фактически невозможны man in the middle и reply.


        1. mobilz
          07.09.2016 01:19

          Вы это кто? Я о том, какая у вас нагрузка? Сопоставимая с рамблером? Я к тому, что высоконагруженный сервис не будет тратить машинное время на «долгую» авторизацию, это ни к чему.
          «каждый аккаунт по отдельности» смешно ;) радужные таблицы это из категории «пароли в открытом виде». Когда речь идёт о восстановлении пароля из хеша, речь именно про перебор по алгоритму, а не про радужные таблицы. На перебор 100млн акков с известным алгоритмом (даже bcrypt) и известными солями (что предполагается) по словарю в 2 гига и нормальным железом уйдёт не более полугода.
          Если вы параноик, которому нужно «здесь и сейчас», то пол года, конечно, это невозможно, не в этой жизни. А если для вас подобные базы — ремесло, то пол года это просто выделенная дата в календаре с подписью «rambler.ru»


          1. SamDark
            07.09.2016 14:25

            Мы — это Stay.com. Нагрузка, естественно, значительно меньше рамблера. Но не мы одни. Из крупных bcrypt как минимум у Slack, Dropbox, Ashley Madison.


            Вообще авториазация, учитывая всякие токены и remember me, происходит не так уж и часто. Чтобы нормально загрузить ей современную среднюю машинку надо чтобы одновременно авторизовалось около 150 юзеров. То есть ещё не факт, что с 98 млн. юзеров Рамблера набежит значительное для производительности число одновременных авторизаций. Я бы замерил...


            На перебор 100млн акков с известным алгоритмом (даже bcrypt) и известными солями (что предполагается) по словарю в 2 гига и нормальным железом уйдёт не более полугода.

            Интересно. А как вы считали? bcrypt по времени вычисления кардинально отличается от хешей без стретчинга. При использовании bcrypt с cost=13 и 6-и символьным паролем на один полный перебор одного хеша при использовании фермы из 6-и мощных видеокарт (~$15000 + остальное железо и большие счета за электричество) уйдёт примерно 21 день. Каждый GPU даёт ~28 хэшей в сек.


            Если вы параноик, которому нужно «здесь и сейчас», то пол года, конечно, это невозможно, не в этой жизни. А если для вас подобные базы — ремесло, то пол года это просто выделенная дата в календаре с подписью «rambler.ru»

            Тут согласен на 100%. Но всё-таки за пол года вероятность обнаружить факт взлома, закрыть дыру и ресетнуть пароли гораздо выше, чем при «здесь и сейчас».


            1. mobilz
              07.09.2016 15:59

              stay.com прикольный сервис.
              Тотальный брутфорс 6-ти символьного пароля это далеко не перебор по словарю, но ваши расчёты впечатляют, реально медленно. Мои данные из старых наработок, прогнать базу в несколько десятков миллионов пользователей по словарю, даже если там bcrypt с солью не занимало сверх много времени. Возможно, соль была не достаточной, возможно, словарик тогда использовал не шибко здоровый.
              В случае с рамблером, учитывая количество сервисов совершенно разношёрстных, как по году «производства» так и по «качеству», авторизаций должно набегать нормальное количество.

              Ну а найти дыру за пол года, в случае, если аттакующий не наследил, практически невозможно.


              1. SamDark
                07.09.2016 16:44

                Возможно, у вас cost для bcrypt был не сильно высоким для того набора хешей.


                В случае с рамблером, учитывая количество сервисов совершенно разношёрстных, как по году «производства» так и по «качеству», авторизаций должно набегать нормальное количество.

                Возможно, но это предположение, требующее проверки.


                Ну а найти дыру за пол года, в случае, если аттакующий не наследил, практически невозможно.

                Если не делать аудит кода на предмет безопасности раз в пару месяцев — согласен.


  1. Kamas
    06.09.2016 17:35
    +2

    О сколько нам открытий чудных… Как, как я вас спрашиваю, пароль «cfreyjdf», в русской раскладке «сакунова», взлетел на 7 позицию с частотой аж 237 009.


    1. DarkByte
      06.09.2016 19:42
      +6

      Как и обычно, все 237К аккаунтов зарегистрировал один человек.


      1. mobilz
        06.09.2016 23:45

        ничего странного, кстати, даже без сарказма. Какой-нибудь спамер-самоучка до введения капчи на рамблере регал себе ящики тоннами, чтобы спать самого же рамблера. Логично, что пароль проще всего юзать один.
        по крайней мере я так и делал


  1. Dywar
    06.09.2016 20:15

    Вот дела, зато обновил все на всех других сразу, давно надо было.


  1. jamakasi666
    06.09.2016 22:09
    +1

    Ух, восстановил 4 древних почты о которых забыл лет наверное еще 10 назад =D


  1. vanxant
    07.09.2016 01:14
    -3

    Ребяты, если у сервиса масштаба рамблера утекла база, то плейн-текст пароли в ней — далеко не самая большая проблема. Более того, совсем не проблема на фоне остального.
    Ну вы же не используете одинаковые пароли на разных сайтах, да?) Ну даже если используете, хотя бы логины на всяких мейлах с вконтактиками у вас отличаются, т.е. автоматом их не подберёшь?)
    Так вот даже не ваша личная переписка (кому вы нужны?), а всякие служебные сообщения от разных там сайтов, которые можно парсить автоматом по всей базе — вот это действительно проблема. Там ведь и паспортные данные из авиабилетов можно брать, и адреса доставки фаллоимитаторов размера «огнетушитель» (ну вряд ли это подарок тёще), и номера карточек регекспом парсить (фигли там, [45]\d{3}...}, и по совокупности — вот она цифровая кража вашей личности… Массовая кража роботом!
    ALL YOUR BASE ARE BELONG TO US!


  1. Sellec
    07.09.2016 21:21

    Так как узнать свой старый пароль-то?)


  1. amakhrov
    14.09.2016 12:01

    не основная база пользователей рамблера, а какая-то условно «соседняя»

    Вполне может быть и основной.
    Вот только что зашел на ozon.ru, нажал кнопку "забыл пароль".
    И что бы вы думали?


    Здравствуйте, Алексей
    Рады видеть Вас на Ozon.ru
    Ваш логин: my-email@mail.ru
    Ваш пароль: мой-реальный-пароль

    На минуточку, один из крупнейших онлайн-магазинов России.