В сети опубликовали базу из 98 млн учетных записей Rambler

8a27396bbe8e58db91c950a8bc1cf865.jpg

В распоряжение ресурса leakedsource.com, специализирующегося на информационной безопасности, попала база учетных записей от сервиса Rambler.ru, которая была украдена злоумышленниками еще в 2012 году. Предоставил ее пользователь daykalif@xmpp.jp~~pobj, который также ответственнен за публикацию базы аккаунтов last.fm.

Каждая из 98 167 935 учетных записей содержит логин пользователя, его пароль и еще некоторую информацию. Отдельно стоит отметить, что пароли не зашифрованы и хранятся в виде обычного текста. Самыми популярными паролями базы оказались «asdasd» «asdasd123» и, конечно,»123456».

В качестве одного из доказательств leakedsource приводит скриншот начала дампа базы:

78ee0470064e29d1e6b9f37ca677c633.png
Одному из наиболее известных хабрапользователей — Трину mobilz Зотоффу, мы задали следующие вопросы по-поводу данного взлома:

  1. Почему подобные ситуации постоянно повторяются?
  2. Почему пароли хранились в открытом виде?
  3. Насколько актуальна база?
  4. Что делать пользователям?
  5. Тем, у кого пароль оказался в базе, «Рамблер» предложит сменить пароль?

Я саму базу не видел, но вполне допускаю, что пароли были в открытом виде. Это пережиток прошлого, от которого многие сервисы не могут избавиться до сих пор. В частности, допускаю, что была получена не основная база пользователей рамблера, а какая-то условно «соседняя», которая использовалась под какие-то старые проекты. Она может содержать как неактуальную, так и не полную базу пользователей.

Почему повторяется раз за разом? Не важно, хранится ли в базе текст или хеш пароля, простые пароли типа »123456» можно достаточно быстро восстановить из хешей. Как мы видим из статьи, из 100 млн пользователей у минимум 6 млн очень простые пароли. И это только топ50. У меня словарик для взлома паролей на 2 гига, текстовый файл, думаю, что с ним можно восстановить до 90% паролей, т.к. народ не всегда серьезно относится к безопасности. Даже если сервис хеширует пароли, их все равно множно восстановить, если они относительно простые.

2-х факторная авторизация от глобальных взломов точно спасёт. Даже зная пароль жертвы, если авторизация привязана в том числе и к телефону, то увы и ах.

Для рамблера, как уже писал, это, возможно, пережиток прошлого. Старые сервисы, которые не хочется переписывать, сравнивали пароли просто текстом. Однако, я видел современные сервисы, кто умудряется до сих пор хранить пароли в открытом виде. Более того, я натыкался на проекты, большие проекты, современные, которые хранили хеши, но рядом в таблице были и пароли в открытом виде.

Зачем это надо? Чтобы знать пароли пользователей). Раньше, очень очень давно, даже зная про хеши для некоторых своих проектов я допускал хранение паролей в открытом виде. Делалось это для UserFriendly интерфейса. Типа просишь восстановить пароль на почту и тебе на почту сразу приходит твой актуальный пароль. Иногда это удобней, не надо придумывать новый, восстанавливать и т.п. Но я был глуп, конечно). Теперь только хеши, только с солью и т.п.

Там написано, февраль 2012 года. Если вспомнить историю яху с восстановлением почты для угона асек — эта база может быть актуальной ещё очень долго. Скажем, ты давно использовал ящик на рамблере, но забил на него. Новость про взлом тебя никак не потревожила, ты же не пользуешься рамблером. Но рамблер помнит всю твою переписку, все твои контакты, в том числе деловые и эта информация может использоваться.

Кому ящики на рамблере не нужны — удалять всё к чертям. Кому нужны — менять пароли и включать 2-х факторную авторизацию.

Обычно такие сервисы самостоятельно меняют пароли пользователям и сообщают им о этом.


По информации leakedsource.com, по крайней мере часть базы может быть актуальна, что выявилось в ходе проверки при участии одного из журналистов журнала «Хакер».

Комментарии (3)

  • 6 сентября 2016 в 13:51

    +1

    Собственно, не помешала бы ссылка на саму базу.
  • 6 сентября 2016 в 13:56

    0

    Хотелось бы узнать, в каком виде хранит пароли Яндекс. Дело в том, 15 лет назад я создал сайт на народе, в этом году решил поправить кодировку, но не помнил пароль — в итоге мне его просто прислали открытым текстом.

    P.S. Да, я знаю, что народ — это уже Юкоз, а не Яндекс, но сам факт передачи пароля в открытом виде возмутителен.

  • 6 сентября 2016 в 14:00

    0

    Чтобы не отставать от конкурентов, сотрудники Рамблера сами опубликовали базу своих учетных записей © Интернеты

© Habrahabr.ru