В распоряжение ресурса leakedsource.com, специализирующегося на информационной безопасности, попала база учетных записей от сервиса Rambler.ru, которая была украдена злоумышленниками еще в 2012 году. Предоставил ее пользователь daykalif@xmpp.jp~~pobj, который также ответственнен за публикацию базы аккаунтов last.fm.
Каждая из 98 167 935 учетных записей содержит логин пользователя, его пароль и еще некоторую информацию. Отдельно стоит отметить, что пароли не зашифрованы и хранятся в виде обычного текста. Самыми популярными паролями базы оказались «asdasd» «asdasd123» и, конечно, «123456».
В качестве одного из доказательств leakedsource приводит скриншот начала дампа базы:
Одному из наиболее известных хабрапользователей — Трину mobilz Зотоффу, мы задали следующие вопросы по-поводу данного взлома:
- Почему подобные ситуации постоянно повторяются?
- Почему пароли хранились в открытом виде?
- Насколько актуальна база?
- Что делать пользователям?
- Тем, у кого пароль оказался в базе, «Рамблер» предложит сменить пароль?
Я саму базу не видел, но вполне допускаю, что пароли были в открытом виде. Это пережиток прошлого, от которого многие сервисы не могут избавиться до сих пор. В частности, допускаю, что была получена не основная база пользователей рамблера, а какая-то условно «соседняя», которая использовалась под какие-то старые проекты. Она может содержать как неактуальную, так и не полную базу пользователей.
Почему повторяется раз за разом? Не важно, хранится ли в базе текст или хеш пароля, простые пароли типа «123456» можно достаточно быстро восстановить из хешей. Как мы видим из статьи, из 100млн пользователей у минимум 6млн очень простые пароли. И это только топ50. У меня словарик для взлома паролей на 2 гига, текстовый файл, думаю, что с ним можно восстановить до 90% паролей, т.к. народ не всегда серьезно относится к безопасности. Даже если сервис хеширует пароли, их все равно множно восстановить, если они относительно простые.
2-х факторная авторизация от глобальных взломов точно спасёт. Даже зная пароль жертвы, если авторизация привязана в том числе и к телефону, то увы и ах.
Для рамблера, как уже писал, это, возможно, пережиток прошлого. Старые сервисы, которые не хочется переписывать, сравнивали пароли просто текстом. Однако, я видел современные сервисы, кто умудряется до сих пор хранить пароли в открытом виде. Более того, я натыкался на проекты, большие проекты, современные, которые хранили хеши, но рядом в таблице были и пароли в открытом виде.
Зачем это надо? Чтобы знать пароли пользователей ). Раньше, очень очень давно, даже зная про хеши для некоторых своих проектов я допускал хранение паролей в открытом виде. Делалось это для UserFriendly интерфейса. Типа просишь восстановить пароль на почту и тебе на почту сразу приходит твой актуальный пароль. Иногда это удобней, не надо придумывать новый, восстанавливать и т.п. Но я был глуп, конечно ). Теперь только хеши, только с солью и т.п.
Там написано, февраль 2012 года. Если вспомнить историю яху с восстановлением почты для угона асек — эта база может быть актуальной ещё очень долго. Скажем, ты давно использовал ящик на рамблере, но забил на него. Новость про взлом тебя никак не потревожила, ты же не пользуешься рамблером. Но рамблер помнит всю твою переписку, все твои контакты, в том числе деловые и эта информация может использоваться.
Кому ящики на рамблере не нужны — удалять всё к чертям. Кому нужны — менять пароли и включать 2-х факторную авторизацию.
Обычно такие сервисы самостоятельно меняют пароли пользователям и сообщают им о этом.
По информации leakedsource.com, по крайней мере часть базы может быть актуальна, что выявилось в ходе проверки при участии одного из журналистов журнала «Хакер».
Комментарии (50)
DistortNeo
06.09.2016 13:56+1Хотелось бы узнать, в каком виде хранит пароли Яндекс. Дело в том, 15 лет назад я создал сайт на народе, в этом году решил поправить кодировку, но не помнил пароль — в итоге мне его просто прислали открытым текстом.
P.S. Да, я знаю, что народ — это уже Юкоз, а не Яндекс, но сам факт передачи пароля в открытом виде возмутителен.
Akdmeh
06.09.2016 16:21+1Своего времени так же поступал вконтакте. Был удивлен, когда после восстановления они мне прислали старый пароль.
Сейчас, думаю, они уже переделали на нормальную схему.
mobilz
06.09.2016 23:37Ну а сами как думаете, если яндекс прислал вам ваш же пароль, в каком виде они в базе у них?
DistortNeo
07.09.2016 00:48Неизвестно. А если они используют шифрование и хранят ключ для расшифровки отдельно от базы?
mobilz
07.09.2016 01:13+2Отдельно где? В базе? В коде? И туда и туда доступ скорее всего будет, т.к. доступ к одному из двух в 90% случаев предполагает и доступ ко второму.
lucius
06.09.2016 14:00+19Чтобы не отставать от конкурентов, сотрудники Рамблера сами опубликовали базу своих учетных записей (с) Интернеты
wighthawk
06.09.2016 14:31-8Нашел свою заблокированую почту от мейл ру там, на сервисе. предлагают купить за 2 доллара. весело.
товарищи, есть ли хоть какой тут представитель мейл ру, что мог бы помочь? я изза этой утечки 12 года (по сайту 13) не могу зайти на свой аккаунт мейл ру (vip-zone@mail.ru) хотя у меня есть доступ к привязаному к аккаунту телефону, который там висит там уже много лет. пароль вспомнить не могу, вместо секретного вопроса стоит 21 знак вопроса. вводя код восстановления — отправляет заполнять анкету «так как помню», после чего меня шлют на 3 буквы боты, каким фиг что обьяснишь. Есть хоть один живой человек? крыша уже едет! свяжитесь со мной по адресу justasstog@mail.ru, пожалуйста.
qwertyqwerty
06.09.2016 14:40после чего меня шлют на 3 буквы боты
Незнаю как сейчас, восстанавливал пол года назад там почту. Заполнял всё по-памяти, в течении дня уже имел доступ. Главное полно заполнить анкету.
При этом я аккаунтом не пользовался с 2008-го года.wighthawk
06.09.2016 14:46-3понимаешь в чем дело. Имейл есть в списке взломаных. Теперь не хотят восстановить. туда прикручен мобильник. с 2006 года номер один и тот же у меня. Секретный вопрос оно отображает как ??????? ??????? ??????.. И я точно помню, что такой не оставлял. Там был нормальный вопрос, на который я дал нормальный таки ответ. пароль точно никак не вспомню. А в остальном — бот просто не поймет что написано. Например. Пароль не менял раньше. Как указать что других паролей небыло, если надо заполнить поле? А как указать, что нет имени — фамилии? а как указать, что с ящика никуда не писал лично с 2010 года? а как указать, что ящик для всякого хлама и форумов? да только от не учел другого. Аккаунт одной не очень популярной браузерной игры, в которую я играю с 2004 года — привязан именно к этой почте. и я не могу зайти ни на одного из персонажей, так как все пароли просто забылись. а на почту напомнить не могу. Вот и юмор весь. Я написал на все возможные мейл ру адреса, подал несколько заявок так, напрямую. и ничерта.
PQR
06.09.2016 15:24+1Нашел свою заблокированую почту от мейл ру там, на сервисе. предлагают купить за 2 доллара. весело.
Хотел было вам помочь и купить для вас ваш пароль за 2$!
Но я не нашел на leakedsource аккаунт vip-zone@mail.ru. Там есть информация о vip-zone@mail.ru только по myspace, rambler и lastfm, а непосредственно по mail.ru нетwighthawk
06.09.2016 15:39-1ну, изза этого я так понимаю мне почту и заблокировали то. Вот в этом вся беда :(((
так то… я думаю что и почта где — то есть.
grokinn
06.09.2016 16:59-3Я нашел пароль на ликдсорс (от майспейса) и ввел в майле, он говорит что выслал код на +7 (909) 977-**-**, если интересует пароль пишите на grokinn@gmail.com
Pakos
07.09.2016 10:45Восстанавливали почту через неделю после последнего захода (пароль давно не помнили, но авторизационная кука спасала) — ответили на вопросы, получили фигу в ответ. Было несколько (5?) лет назад. Сейчас, конечно, уже даже точно момент не вспомнить. Забытую чуть не в начале 0х свою почту даже не пытался восстановить, ибо материалов для анкеты ещё меньше и следов ннаверняка не осталось.
Miffer
07.09.2016 17:57свяжитесь со мной по адресу justasstog@mail.ru
Я после аналогичного случая потратил некоторое время, и заменил на всех значимых аккаутнах ящики майла на яндекс и гугл.
UNIm95
06.09.2016 15:28Ага. Двухфакторную.
Только не забывайте что у Рамблера двухфакторная авторизация работает только для России, Беларуси и Украины. И если человек куда-либо переехал то ящиком фиг воспользуешься.melt
06.09.2016 20:48Простите, но как включить на Рамблере двухфакторку? Сколько уже не отслеживаю этот момент, так и не нашел еще этого. На том же Яндексе вот вроде бы она есть, но не по стандартному протоколу как у всех нормальных людей — поэтому, что есть — что нет. К своему приложению аутентификатору уже не подключить
UNIm95
06.09.2016 22:03Все просто:
Авторизуемся.
Справа вверху иконка аккаунта ->Мой профиль
Указать номер телефона.melt
06.09.2016 22:30Значит в моем случае двухфакторная аутентификация не работает, т.к. номер у меня указан достаточно давно, но никакой авторизации при заходе с новых устройств не запрашивается. Хотя использую и всегда использовал почту из России, номер Российский, язык выставлен Русский. Что я делаю не так?
UNIm95
06.09.2016 22:49Не знаю почему так у вас.
У меня двухфакторная авторизация сразу после добавления почтовых ящиков.melt
07.09.2016 18:35Написал в поддержку:
Здравствуйте! Хотел бы использовать двухфакторную аутентификацию, телефон в учетной записи добавлен уже достаточно давно. Но при заходе в почту с разных неизвестных устройств достаточно только пароля, а хотелось бы еще подтверждение по телефону. Спасибо
Получил ответ:
Здравствуйте,
В данный момент подобная возможность в web-интерфейсе почты отсутствует. Мы постоянно добавляем новые возможности согласуясь с пожеланиями и потребностями наших пользователей. Ваше предложение учтено и будет передано разработчикам. Спасибо!
Так что судя по всему или этот функционал не для всех или мы с Вами говорим о каких-то разных вещах :)
SamDark
06.09.2016 16:53У меня словарик для взлома паролей на 2 гига, текстовый файл, думаю, что с ним можно восстановить до 90% паролей, т.к. народ не всегда серьезно относится к безопасности. Даже если сервис хеширует пароли, их все равно множно восстановить, если они относительно простые.
Эм… а bcrypt? По словарику уже не выйдет.
2-х факторная авторизация от глобальных взломов точно спасёт. Даже зная пароль жертвы, если авторизация привязана в том числе и к телефону, то увы и ах.
Если второй канал не SMS. SMS — дыра.
Construct
06.09.2016 22:09А почему «SMS — дыра»?
DistortNeo
06.09.2016 22:14Потому что были инциденты с выдачей дубликатов SIM. Но для этого нужно знать номер телефона жертвы и иметь определённый доступ к инфраструктуре сотового оператора.
Более реальную опасность представляет интернет-банкинг в некоторых банках (в т.ч. и топ-10): при наличии карточки и телефона можно получить полный доступ к интернет-банку. Вводишь номер карты — на телефон приходит SMS с паролем без всяких проверок — доступ есть. Если физически отжать кошелёк с телефоном, что проще, чем сделать дубликат SIM, то это дыра в безопасности.
SamDark
07.09.2016 00:32Потому что мобильная связь сама по себе изначально не безопасный канал. Хорошая подача общей информации тут: https://meduza.io/feature/2016/08/13/sms-dolzhny-umeret-kak-mozhno-skoree-i-vot-pochemu
sergio_deschino
07.09.2016 08:18+1например, потому что при переезде в другую страну вспоминаешь о старых своих аккаунтах когда уже оператор отдал твою симку кому-то.
mobilz
06.09.2016 23:43bcrypt почти никто и не использует, т.к. её основной плюс является и основным минусом для веба. Ну и по словарику выйдет, распараллеленный jtr вполне себе справляется с этой задачей.
SMS — дыра, с этим я согласен. Именно поэтому я уточнил, что 2-х факторная авторизация точно спасёт от глобальных взломов. Если вы являетесь целью хакеров/спецслужб, вас вообще ничего не спасёт, против утюга и паяльника не поспоришь.SamDark
07.09.2016 00:43М… это что-то новое. Какой же минус у bcrypt для веб? Мы вот используем, да ещё и с work factor = 13. Никто не жаловался пока.
Перебор bcrypt по словарю, конечно, возможен, но вот перебирать придётся каждый аккаунт по отдельности, а не строить табличку, как в случае какого-нибудь sha-1. Плюс это, в отличие от простого хеша, очень не быстро.
- Это может сделать массовый реверс паролей в относительно короткие сроки коммерчески не выгодным предприятием.
- Это даст время, в случае обнаружения утечки, без спешки закрыть дыры и попросить юзеров сменить пароли.
2-х факторная аутентификация — это не всегда SMS. Есть тот же Google Authenticator, например, для TOTP и HOTP. В случае использования их становятся фактически невозможны man in the middle и reply.
mobilz
07.09.2016 01:19Вы это кто? Я о том, какая у вас нагрузка? Сопоставимая с рамблером? Я к тому, что высоконагруженный сервис не будет тратить машинное время на «долгую» авторизацию, это ни к чему.
«каждый аккаунт по отдельности» смешно ;) радужные таблицы это из категории «пароли в открытом виде». Когда речь идёт о восстановлении пароля из хеша, речь именно про перебор по алгоритму, а не про радужные таблицы. На перебор 100млн акков с известным алгоритмом (даже bcrypt) и известными солями (что предполагается) по словарю в 2 гига и нормальным железом уйдёт не более полугода.
Если вы параноик, которому нужно «здесь и сейчас», то пол года, конечно, это невозможно, не в этой жизни. А если для вас подобные базы — ремесло, то пол года это просто выделенная дата в календаре с подписью «rambler.ru»SamDark
07.09.2016 14:25Мы — это Stay.com. Нагрузка, естественно, значительно меньше рамблера. Но не мы одни. Из крупных bcrypt как минимум у Slack, Dropbox, Ashley Madison.
Вообще авториазация, учитывая всякие токены и remember me, происходит не так уж и часто. Чтобы нормально загрузить ей современную среднюю машинку надо чтобы одновременно авторизовалось около 150 юзеров. То есть ещё не факт, что с 98 млн. юзеров Рамблера набежит значительное для производительности число одновременных авторизаций. Я бы замерил...
На перебор 100млн акков с известным алгоритмом (даже bcrypt) и известными солями (что предполагается) по словарю в 2 гига и нормальным железом уйдёт не более полугода.
Интересно. А как вы считали? bcrypt по времени вычисления кардинально отличается от хешей без стретчинга. При использовании bcrypt с cost=13 и 6-и символьным паролем на один полный перебор одного хеша при использовании фермы из 6-и мощных видеокарт (~$15000 + остальное железо и большие счета за электричество) уйдёт примерно 21 день. Каждый GPU даёт ~28 хэшей в сек.
Если вы параноик, которому нужно «здесь и сейчас», то пол года, конечно, это невозможно, не в этой жизни. А если для вас подобные базы — ремесло, то пол года это просто выделенная дата в календаре с подписью «rambler.ru»
Тут согласен на 100%. Но всё-таки за пол года вероятность обнаружить факт взлома, закрыть дыру и ресетнуть пароли гораздо выше, чем при «здесь и сейчас».
mobilz
07.09.2016 15:59stay.com прикольный сервис.
Тотальный брутфорс 6-ти символьного пароля это далеко не перебор по словарю, но ваши расчёты впечатляют, реально медленно. Мои данные из старых наработок, прогнать базу в несколько десятков миллионов пользователей по словарю, даже если там bcrypt с солью не занимало сверх много времени. Возможно, соль была не достаточной, возможно, словарик тогда использовал не шибко здоровый.
В случае с рамблером, учитывая количество сервисов совершенно разношёрстных, как по году «производства» так и по «качеству», авторизаций должно набегать нормальное количество.
Ну а найти дыру за пол года, в случае, если аттакующий не наследил, практически невозможно.SamDark
07.09.2016 16:44Возможно, у вас cost для bcrypt был не сильно высоким для того набора хешей.
В случае с рамблером, учитывая количество сервисов совершенно разношёрстных, как по году «производства» так и по «качеству», авторизаций должно набегать нормальное количество.
Возможно, но это предположение, требующее проверки.
Ну а найти дыру за пол года, в случае, если аттакующий не наследил, практически невозможно.
Если не делать аудит кода на предмет безопасности раз в пару месяцев — согласен.
Kamas
06.09.2016 17:35+2О сколько нам открытий чудных… Как, как я вас спрашиваю, пароль «cfreyjdf», в русской раскладке «сакунова», взлетел на 7 позицию с частотой аж 237 009.
DarkByte
06.09.2016 19:42+6Как и обычно, все 237К аккаунтов зарегистрировал один человек.
mobilz
06.09.2016 23:45ничего странного, кстати, даже без сарказма. Какой-нибудь спамер-самоучка до введения капчи на рамблере регал себе ящики тоннами, чтобы спать самого же рамблера. Логично, что пароль проще всего юзать один.
по крайней мере я так и делал
jamakasi666
06.09.2016 22:09+1Ух, восстановил 4 древних почты о которых забыл лет наверное еще 10 назад =D
vanxant
07.09.2016 01:14-3Ребяты, если у сервиса масштаба рамблера утекла база, то плейн-текст пароли в ней — далеко не самая большая проблема. Более того, совсем не проблема на фоне остального.
Ну вы же не используете одинаковые пароли на разных сайтах, да?) Ну даже если используете, хотя бы логины на всяких мейлах с вконтактиками у вас отличаются, т.е. автоматом их не подберёшь?)
Так вот даже не ваша личная переписка (кому вы нужны?), а всякие служебные сообщения от разных там сайтов, которые можно парсить автоматом по всей базе — вот это действительно проблема. Там ведь и паспортные данные из авиабилетов можно брать, и адреса доставки фаллоимитаторов размера «огнетушитель» (ну вряд ли это подарок тёще), и номера карточек регекспом парсить (фигли там, [45]\d{3}...}, и по совокупности — вот она цифровая кража вашей личности… Массовая кража роботом!
ALL YOUR BASE ARE BELONG TO US!
amakhrov
14.09.2016 12:01не основная база пользователей рамблера, а какая-то условно «соседняя»
Вполне может быть и основной.
Вот только что зашел на ozon.ru, нажал кнопку "забыл пароль".
И что бы вы думали?
Здравствуйте, Алексей Рады видеть Вас на Ozon.ru Ваш логин: my-email@mail.ru Ваш пароль: мой-реальный-пароль
На минуточку, один из крупнейших онлайн-магазинов России.
Reeze
Собственно, не помешала бы ссылка на саму базу.
ghostinushanka
^ Такой комментарий есть под каждой такой новостью, а вот ссылок в новостях как не было, так наверное и не будет.
Интересно почему, собственно нет ссылок? Ограничения правового поля?
ragequit
Первое же предложение ссылка на первоисточник. Доступ к базе для работы только через API Leakedsource. А провериться если так:
Но кто же читает то.
wighthawk
это выходит, что бы восстановить свой пароль на мейл ру, мне надо будет купить его у каких то ребят, что свиснули у меня все данные? гениально. пробовал. предложили 2 доллара биткоинами скинуть. Хоть убейся, не знаю даже как их добыть. обидно, что в мейл ру работают такие товарищи. 3 года прошло, а восстановить не могу.
gag_fenix
Там же можно через PayPal.
ghostinushanka
Я так понимаю что г-н Reeze имел ввиду ссылку на дамп базы, что я и комментировал.
Ведь «в руки» leakedsource она попала не из воздуха, правда же?
Из новостной записки прямо не следует что нет дампа «где-то на просторах тырнета».
Перефразируя вас — «но кто же думает когда читает то».
Reeze
Даже на thepiratebay пусто.
LoadRunner
А такие базы разве не в .onion прячут?
DarkByte
Ссылок нет, потому что скорее всего базы нет в публичном доступе. leakedsource зарабатывает на продаже данных, и наиболее вероятно что они эти базы просто покупают на «чёрном рынке», или достают из старых запасов.