0. infostart 1593 18.01.19 13:10 Сейчас в теме

Взлом исторического масштаба: хакеры выложили в сеть 793 млн адресов почты и 21 млн паролей

Первым утечку обнаружил австралийский специалист по кибербезопасности Трой Хант. База данных с адресами электронных почт и паролями от них состоит из 12 тыс. файлов и «весит» 87 Гб.

Перейти к новости

Пользуетесь ли вы двухфакторной аутентификацией?


Да, везде, где это возможно (23.64%, 13 голосов)
23.64%
Да, но не везде, только на важных мне ресурсах (49.09%, 27 голосов)
49.09%
Ничего важного в интернете не держу, мне достаточно пароля (27.27%, 15 голосов)
27.27%
Свой вариант (в комментариях) (0%, 0 голосов)
0%

Комментарии
Избранное Подписка Сортировка: Древо
1. starik-2005 1977 18.01.19 12:50 Сейчас в теме
Как всегда отсутствует вариант: "кладу болт". Под него подходит только свой вариант в комментах, но не очень.
Vafla; alalsl; wowik; Bukaska; Octopus; +5 1 Ответить
2. ginesis 18.01.19 12:55 Сейчас в теме
(1)
всегда отсутствует вариант: "кладу болт". Под него подходит только

еще один Вариант "Кладут болт пока не случиться нечто..."
Как говориться кто то учиться делать бекапы на чужих ошибках, кто то на своих )
Kochergov; george_nail; +2 Ответить
3. starik-2005 1977 18.01.19 13:01 Сейчас в теме
(2) любая зависимость - это ограничение. Есть ограничения, без которых невозможно жить. Есть те, с которыми жить можно (например, зависимость от табака и алкоголя - без этого всего можно отлично жить). Безопасность в Интернете - это очень условная величина. Двухфакторная аутентификация может и не спасти. Поэтому я время пользования ресурсами с возможностью управлять финансами через Интернет или приложение максимально сокращаю, если вдруг это необходимо.
4. echo77 1098 18.01.19 13:36 Сейчас в теме
(3) Наверняка, в онлайн банкинге, что вы используете двухфакторная аутентификация. Во всех онлайн банкингах, которыми я пользовался была двухфакторная аутентификация.
ginesis; Kochergov; +2 Ответить
6. AlX0id 18.01.19 14:07 Сейчас в теме
(2) И вариант: Кладут болт на правило "тся/ться" - до тех пор пока не придет гаммар-наци с большой битой..
12. rusia 18.01.19 15:54 Сейчас в теме
(6) а хто ентот гаммарь-наци? Он в нациков гамаеть большой битой? )))
15. AlX0id 18.01.19 16:14 Сейчас в теме
(12)
Шлепает по попе тех плохих мальчиков и девочек, которые не учили русский язык в школе.
ginesis; Kochergov; +2 Ответить
5. capitan 1328 18.01.19 13:51 Сейчас в теме
Красное поле свидетельствует о том, что аккаунт взломан, и пароль к нему лучше поменять
- это несколько вольная интерпретация исходной информации
Е -майл на принтскрине - найден на 68 взломанных сайтах и 57 раз в pastebin, но это не значит что он взломан
sergathome; +1 Ответить
7. oleg-x 13 18.01.19 14:25 Сейчас в теме
Просто огромная база данных адресов, от каких то еще есть пароли.
sergathome; +1 Ответить
8. capitan 1328 18.01.19 14:27 Сейчас в теме
Вспоминается...
Семья готовится баиньки.
Муж: Пойду почту проверю
Жена, ждет, ждет, потом думает да ну его нафиг и спать
Утром встает. Муж сидит руки держит на клавиатуре и ногой пытается выдернуть шнур из розетки
- в чем дело?
- Запустил я почту, пришло письмо с офигенной блондинкой. Хочешь увидеть меня голой -нажми одновременно 10 клавиш. Ну я нажал, а она в ответ: уберешь руки - отформатирую жесткий диск.


Как бы это ни заунывно звучало - Чисто там где не сорят.
Если обычный пользователь не злоупотребляет взрослыми видео, то особо бояться нечего.
И наоборот, двухфакторная аутентификация это чаще обманчивая иллюзия защиты, чем таковая есть.
Почитайте историю APT37 и ее атаки на SWIFT, получше бондианы будет.
Я думаю в SWIFT была двухфакторная аутентификация)
23. webester 29 20.01.19 15:22 Сейчас в теме
(8)На текущий момент двухфакторная авторизация это панацея. Если говорить о защите в контексте проблемы про которую рассказывает статья. Если ты пользуешься какими-то ключевыми ресурсами с инфицированноо компьютера, то тут не поможет ничего да. Но к теме обсуждения повторюсь это не имеет никакого отношения. Что подразумевается: твой компьютер был заражен и дальше два варианта: 1. Вирус собрал какие смог пароли и личные данные и слил их хакеру. 2. Вирус подменяет страницы, вмешивается в активность, выводит деньги и тд и тд. Первый вариант самый простой и самый вероятный. Двухфактроная аутентификация здесь как раз таки панацея, так как одного пароля для доступа к аккаунта. Второй вариант очень сложный и дорогой. Нет никакого смысла, заморачиваться если на кону не стоят миллионы. А вот атаки на банки, наверное в том, числе и описанная вами совершенно другое дело. Так, что в данном контексте двухфакторная аутентификация это как раз панацея. Хотелось бы прояснить пару моментов:
это чаще обманчивая иллюзия защиты, чем таковая есть.
Пруфы?
Почитайте историю APT37 и ее атаки на SWIFT, получше бондианы будет.
не могу найти увлекательных историй. Везде просто кратко в виде новости: "Был взлом деньги вывели", можно ссылку?
Если обычный пользователь не злоупотребляет взрослыми видео, то особо бояться нечего.

И даже если злоупотребляешь, но не выключаешь при этом мозг, то тоже особо бояться нечего.
26. capitan 1328 20.01.19 20:12 Сейчас в теме
(23)Забываете простую вещь - если ломают смартфон, то вся двухфакторная авторизация накрывается медным тазом
34. webester 29 22.01.19 02:46 Сейчас в теме
(26)Не знаю как с андроидом. Но айфоны пока ломать не научились. Предполагаю, что не рутованный андроид тоже обеспечивает достаточную безопасность.
38. capitan 1328 22.01.19 12:45 Сейчас в теме
(34)Ломают даже сотовую связь. Все дело с сумме.
27. capitan 1328 20.01.19 20:14 Сейчас в теме
35. webester 29 22.01.19 02:47 Сейчас в теме
(27)Доступна только треть от статьи,если не 1/8.Нашел целиком
29. CSiER 28 21.01.19 07:28 Сейчас в теме
(23) Многое зависит от того, как именно проверяется второй фактор - достаточно часто в качестве транспорта используется смс. Positive Technologies ещё году в 2013 объясняли, как можно получить смс для любого номера (гуглите по ss7) - на тот момент уже цена была не космос (если память не изменяет, около 1000$). Если хотите нормальную двухфакторку - про смс лучше забыть и использовать hardware-решения.
33. webester 29 22.01.19 02:43 Сейчас в теме
(29)Дьявол кроется в деталях как всегда. Первое это для того, что бы реализовать подобную атаку одного оборудования недостаточно, то есть цена там далеко не 1000$. Второе: Я помню, что использование 3g или затрудняло работу или делало взлом невозможным. Но пруфов нет. могу ошибаться. Третье: все серьезные банки запоминают идентификатор сим. У меня после смены симки были проблемы с получением смс от сбера где-то год, два назад, как сейчас не знаю.Четвертое бывает, что сервис использует пуши вместо смс. И да имея ввиду двухфакторную аутентификацию, я имел ввиду что-то такое а не смс, хотя смс тоже можно считать двухфакторной аутентификацией. И там есть не только описанная вами уязвимость.
36. CSiER 28 22.01.19 02:58 Сейчас в теме
(33) Вам банк отправит смс на Вашу симку, но придёт это сообщение конкретна на Ваш телефон немного позже (или не дойдёт вообще) - https://xakep.ru/2017/09/19/ss7-flaws-poc/, https://keddr.com/2016/07/ekspertyi-schitayut-metod-dvuhetapnoy-autentifikatsii-ustarevshim/. Push уведомления - "яйца в одну корзину", IMHO.
(33)
Дьявол кроется в деталях как всегда
- да, именно это и хотел сказать )
37. webester 29 22.01.19 07:23 Сейчас в теме
(36)
Вам банк отправит смс на Вашу симку, но придёт это сообщение конкретна на Ваш телефон немного позже (или не дойдёт вообще)

Еще раз сообщение не придет никуда кроме SIM с зарегестрированным ID. Не помню как его зовут точно. То есть мошеннику нужна твоя симка.
(36)
Push уведомления - "яйца в одну корзину"

Согласен. Но в этом случае, какая разница, что приходит, пуш или смс? За исключением того, что пуш не так просто перехватить.
39. CSiER 28 22.01.19 17:35 Сейчас в теме
(37)
Еще раз сообщение не придет никуда кроме SIM с зарегестрированным ID
- там проблема в самом протоколе SS7. Как конкретная sim решает проблему протокола мне без более подробного описания понять будет сложно - не встречал подобной инфы. Я Вам написал не спора ради.
(37)
Но в этом случае, какая разница, что приходит, пуш или смс?
- никакой.
9. PowerBoy 2921 18.01.19 14:40 Сейчас в теме
Pwned - как переводится? Яндекс не знает, Гугл говорит что - "Косоглазый".
10. le0nid 18.01.19 14:54 Сейчас в теме
(9) Pwned - это искажение от английского слова "owned", означает "отыметь".
Kochergov; +1 Ответить
11. wbazil 123 18.01.19 15:40 Сейчас в теме
интересный сервис, напоминает "... введите для поверки полные данные своей кредитной карты для проверки её в БД хакеров."
13. m_aster 82 18.01.19 15:57 Сейчас в теме
(11)Первая мысль похожей), что за сервис еще такой неизвестно.
14. m_aster 82 18.01.19 16:03 Сейчас в теме
https://hitech.newsru.com/article/09Dec2013/haveibeenpwned,
В интернете открылся ресурс haveibeenpwned.com, на котором каждый пользователь сети может проверить, не взламывали ли злоумышленники его учетные записи на тех или иных сайтах. Сервис создал один из разработчиков компании Microsoft Трой Хант.
Kochergov; +1 Ответить
16. Vovan1975 14 18.01.19 17:49 Сейчас в теме
Докажи что не лох - отправь смс с текстом "я не лох" на номер...
17. MaxS 1757 18.01.19 17:55 Сейчас в теме
Чтобы пополнить базу адресов и паролей, хакеры создали сайт для проверки наличия адреса и пароля в базе. ;) "Спасибо за информацию! Ваших данных ещё нет в базе!"
ginesis; Brawler; +2 Ответить
18. 3vs 19.01.19 07:49 Сейчас в теме
Директор, видимо прочитал где-то про эту новость, прислал ссылку на haveibeenpwned.com.
Попробовал несколько адресов все в красном.
Интригует "проверка ваших паролей".

В принципе, ничего удивительного, на мэйл и яндексе свои спецы сидят, могут слить по мере надобности информацию, в Штатах свои, нет уже никакой тайны, если только у вас нет телефона и компьютера!
19. ResAndDev 20.01.19 05:39 Сейчас в теме
Все время казалось, что все эти взломы где-то "там", далеко ... Но когда взломали мою почту и увели аккаунт в танчиках - сразу везде включил двухэтапную проверку, и поставил пароль из 25 символов...

В танки давно уже не играю, но привычку сохранил. Мораль - пока тебя, да да, ЛИЧНО ТЕБЯ не коснется, все эти резервные копии и сложные пароли будут казаться чем то "далеким" и не "твоим"...
20. alfakorea 20.01.19 10:23 Сейчас в теме
ломали через rdp комп и запаролили важные файлы. пришлось все снести и инвентаризаию делать. потом стал бэкапить каждый день, потом раз в неделю, потом раз в месяц... забылось уже каково это быть взломанным
21. nvv1970 20.01.19 11:30 Сейчас в теме
Три ящика с mail.ru - горят красным (
Остальные сервисы - норм.

То, что ящик в базе не говорит о том, что пароль в базе верный.
24. webester 29 20.01.19 15:30 Сейчас в теме
(21)Больше того это даже не всегда говорит о том, что пароль в базе от ящика. Вполне может быть это пароль от взломанного сервиса, где был аккаунт с таким ящиком.
25. nvv1970 20.01.19 15:34 Сейчас в теме
(24) Совершенно верно. Для тысяч мусорных регистраций использую именно майлру.
Очевидно, что объектом утечек становятся именно незащищенные сайты, а не сам почтовик.
22. Xershi 745 20.01.19 12:06 Сейчас в теме
Написал что Рамблер и ВК ломали. На всякий случай сменю пароль 16 значный))
28. madonov 155 21.01.19 02:56 Сейчас в теме
(22) ящик на рамблере ещё можно понять (хоть на дворе и 2019, а не 2004), но как вы умудрились создать почту в ВК?
30. Petrosyanc 6 21.01.19 08:52 Сейчас в теме
(28) видимо не вк, а бк.ру он же майл.ру
у меня кстати на майле тож ящик красным горит. И у жены тоже красным майловский ящик подсвечен. Похоже майл.ру сервис себя скомпрометировал?
31. Xershi 745 21.01.19 09:48 Сейчас в теме
(28) сервис похоже работает по принципу такому:
Взломали бд.
Скачали список почт.
Почта появилась в сервисе.

Взломали ли ящик не факт, но перестраховаться стоит!
32. Painted 28 21.01.19 11:39 Сейчас в теме
Все мои российские ящики показывает красным, а гугловские нет )))
Совпадение?
40. MaxS 1757 24.01.19 15:54 Сейчас в теме
Давно уже думаю поставить симку, куда приходят смс-ки от банка, авторизации и т.п. поставить на простой кнопочный телефон, а в смартфон симку для интернета.
Оставьте свое сообщение
Новые вопросы с вознаграждением
Автор темы объявил вознаграждение за найденный ответ, его получит тот, кто первый поможет автору.

Вакансии


Специалист техподдержки 1С
Москва
зарплата от 80 000 руб. до 120 000 руб.
Полный день

Системный аналитик 1С
Москва
зарплата от 80 000 руб. до 120 000 руб.
Полный день

Программист 1С
Москва
зарплата от 100 000 руб. до 200 000 руб.
Полный день

Тестировщик 1С
Москва
зарплата от 70 000 руб.
Полный день