Предохраняйтесь! Масштабная утечка паролей от почтовых ящиков!

Если бы они после своего "oh no - pwned!" еще пароль на "взломанную" почту высылали я бы поверила.

Цитата:

Наивные...

Цитата:

Взлом вк, двухфакторная аутентификация не спасет

Цитата:

habr.com/ru/post/435916

Цитата:

И это то, что в паблике...

Ну я пробежалась особо не вникая, не знаю что такое переадресация) и у меня возник вопрос - а зачем так напрягаться, это ведь нужно раздобыть скан паспорта жертвы сначала, нужно быть очень целеустремленным для этого)) обычные спамеры вряд ли будут таким заниматься. И вообще нечего свои голые фотки вк публиковать, тогда и бояться будет нечего))

Мой основной гугловский "типа" взломанный в списке есть, но чот сомнительно мне. Пароли у меня обычно из цифр и букв в разных регистрах, нет короче 6 символов ни одного, на подобие: t3sS4l1pA5s. Взять такой брутфорсом нереально, только если вытянуть как-то. Включил двухфакторку на всякий.

Раньше помню бывали попытки вытянуть разные пароли из меня. Например на стиме одно время распространяли ссылку: steamcommInity(точка)com вместо commUnity. Была просто волна взломов тогда. Я чуть ли не случайно просек, что в названии буква не та, благодаря установленному на Огнелисе расширению WOT(Web of Trust), а распространял эту ссылку один мой стим-товарищ и когда я указал ему на это, он меня добавил в черный список) Я так едва успел брату сменить пароль, прежде чем акк ушел - он, погнавшись за мнимой халявой, таки ввел данные на этом мутном сайте.

Это основы интернет-безопасности как бы. Хацкер начинает с простых подборов, беря за основу инфу из ваших соц-сетей.
Не составляйте пароли только из цифр, типа: 123456789, 987654321, номеров своих телефонов, включая реверсивного его написания или дат рождения.
Не используйте для пароля буквы только в одном регистре: qwerty, ytrewq, QWERTY, YTREWQ, свои имена, фамилии, клички животных, тем более о которых вы писали у себя в соц-сетях.
Лучше сочетать буквы в разных регистрах и цифры: S4mY1Krut0iPwD, H3r0tG4daE5hG4d и т.д.
Мой брат двоюродный записывает их в блокнот, чтобы не забыть.
Можно запаролить архив с текстовым документом, в котором будут сохранены пароли.

Есть еще один интересный и древний способ, если кому интересно, с помощью которого можно заныкать пароли, записанные в текстовый файл, запакованный в архив, в любую картинку.
Создайте текстовый файл, например: VascheNeParoli.txt и запишите туда все что вам нужно.
Затем запакуйте его в архив(в моем случае 7zip): TutNetNichego.7z. Архив можно запаролить.
Положите рядом с архивом картинку любую: Kartinka.jpg.
Создайте еще один текстовый файл(например Skleyka.txt) и скопируйте туда текст без кавычек: "copy /b Kartinka.jpg+TutNetNichego.7z Kartinka2.jpg"
Переименуйте файл в Skleyka.cmd и затем запустите его(иногда нужно сделать это дважды).
Вы получите с виду простую картинку, которая ничем не отличается от обычной, но если нажать по ней ПКМ - Открыть с помощью... - 7zip, то вы войдете в архив, спрятанный внутри, где лежит ваш файл с паролями, который можно изменять по желанию. Изменяете содержимое, сохраняете, закрываете и соглашаетесь на обновление файла в архиве. Вуаля!)

Цитата:

и у меня возник вопрос - а зачем так напрягаться

это был ответ на слова:

Цитата:

Вконтакте можно включить двухфакторную аутентификацию или как там ее. Тогда никто не зайдет вместо вас, не имея вашего телефона на руках.

Цитата:

обычные спамеры вряд ли будут таким заниматься

Так взламывают и не спамеры

Цитата:

Пароли у меня обычно из цифр и букв в разных регистрах, нет короче 6 символов ни одного, на подобие: t3sS4l1pA5s. Взять такой брутфорсом нереально, только если вытянуть как-то. (и далее по тексту)

Никто брутом такие коллекции не собирает. Это раз. Пароль вы можете придумать какой угодно, но если он используется в разных местах, то происходит следующее. Есть у вас почта на гугле/маиле/где-то там еще. А еще вы зарегистрированы на Тесал/Вконтактиках/Дропбоксе/любая другая контора. И ежели у вас одинаковые пароли, то при взломе какого-то сайта (не подбором разумеется), сливается с него база с паролями и вуаля, если у вас одинаковый пароль на этом сайте и на вашей почте - он в руках злоумышленников. При этом он может быть хоть из 40 нечитаемых символов - это никак делу не поможет.
Это тоже азы этой самой, как вы там писали - интернет-безопасности)

Цитата:

это был ответ на слова:

Цитата:

Так взламывают и не спамеры

Вот уж точно, потеря Вконтача - трагедия)

Цитата:

Никто брутом такие коллекции не собирает. Это раз. Пароль вы можете придумать какой угодно, но если он используется в разных местах, то происходит следующее. Есть у вас почта на гугле/маиле/где-то там еще. А еще вы зарегистрированы на Тесал/Вконтактиках/Дропбоксе/любая другая контора. И ежели у вас одинаковые пароли, то при взломе какого-то сайта (не подбором разумеется), сливается с него база с паролями и вуаля, если у вас одинаковый пароль на этом сайте и на вашей почте - он в руках злоумышленников. При этом он может быть хоть из 40 нечитаемых символов - это никак делу не поможет.

Цитата:

Это тоже азы этой самой, как вы там писали - интернет-безопасности)

Вот именно что у меня для каждой оказии своя паролина)

Цитата:

Взять такой брутфорсом нереально

Никто вас одного и не берет, берут БД, и если у компании все плохо, то и расшифровывают, как случилось с adobe, у которых до сих пор сайт полное г. Другое дело, что если база опубликована, то вас там могут и найти целенаправленно.

Цитата:

Так взламывают и не спамеры

Как они узнают номер телефона, если вы его не указываете для всех, и если вы не используете реальные имя и фамилию.

Цитата:

Никто вас одного и не берет, берут БД, и если у компании все плохо, то и расшифровывают, как случилось с adobe, у которых до сих пор сайт полное г. Другое дело, что если база опубликована, то вас там могут и найти целенаправленно.

...и узнают они только адрес моей почты, т.к. мои ФИО, адрес и данные паспорта знает только банк, оператор сотовой... ну и Гейб)

ЗЫ: Забыл про ВК и еще парочку, которые знают ФИО и дату рождения...

Пробил основной свой эмейл, обнаружился в паре сливов.

Оставлю это здесь:
sordum.org/10946/sordum-random-password-generator
Давно им пользуюсь, шикарная вещь.

Так, обождите! Разве речь не о том, что слиты данные не о паролях к вашим ящикам, а к аккаунтам на сервисах, список которых он выводит после проверки, и где данная почта просто была указана при регистрации?

З.Ы. У меня, к слову, оказались слиты данные аккаунта на last.fm, на котором я, внезапно, никогда не был зарегистрирован.

-------------------------
upd
xsSplater, а чем вам нормальные менеджеры паролей не угодили?

Что, весьма кстати верно, подмечают про эти базы - они сами нередко и являются сборщиками паролей и вообще всего что выйдет. Тобишь я намекаю - будем осторожны.

Цитата:

И вообще нечего свои голые фотки вк публиковать,

И вообще где либо. Если конечно по жизни есть риск шантажа по этой линии (что к нам как-раз очень относится).
А ломают не пароли а БД сайтов, хостируемых где-нить на Гуглооблоке, что зачастую у всякого масс-крупно-попа, и нередко даже у наших (и не только) серьёзных структур, увы.

Цитата:

Как они узнают номер телефона, если вы его не указываете для всех

Выдернут из той-же пресловутой слитой БД, или, это уже если ищут целенаправленно, могут совместить многое и высчитать твой номерок (например через "третий" сайт в котором ты упомянул свой телефон и там-же адрес той самой странички пример в ВК).
Реальное ФИО узнаваемо по твоему-же номеру (если ты это дело засветил мобильщикам, что частый случай). Но даже если - есть много путей а учитывая общее распиздяйсво в этой стране - вероятность в конечном счёте сопоставить и нарыть полный набор персональных данных - 100%, только вопрос времени.

Цитата:

древний способ, если кому интересно, с помощью которого можно заныкать пароли, записанные в текстовый файл

Работает только против "твоей мамы". И то очень недолго, ровно до тех пор пока не позвала папу.
А по факту - можно (и на самом-то потенциально самое удобное) просто текстовым файлом без всякого. Только держать его не на винте а на флэшке и т. п. съёмном носителе. (да, чтоб если хакнут твой комп - тот самый файл не увели)

ЗЫ, для онлайн-банков (и т.п. где связано с бабками и соответственно реальным интересом) я-б уточнил, не то что пароль, таки доступ или вообще без привязки к мылу/телефону/... или если уж - лучше купите под это платное мыло. Не на mail.ru конечно и подобных шарадах, я имею в виду более-менее серьёзные конторы, да как вариант на серверах вашего провайдера (ибо тут как говорится если что - хуже уже не будет).

ЗЫЗЫ, вот теперь думаю, сменить пароль свой от Тесала или да кому нужен пароль от моего инвайта?
А почта, почта итак уже 90% что взломана, последнее время mail.ee капитально нездоровится, даже думаю они сами загнутся скоро.

=)

Цитата:

и узнают они только адрес моей почты

И пароль, если он выложен, а дальше дело техники, если ящик не привязан к телефону. Так что лучше все поменять, а почту привязать к мобилке.

Хахах)))) Спс поржал)

Ребят, вы хоть думайте куда данные вводите. Потом от спама не отделаетесь)

Цитата:

Если бы они после своего "oh no - pwned!" еще пароль на "взломанную" почту высылали я бы поверила.

Действительно. Удобная штука, забываешь пароль и кто-то взламывает почту, заходишь на этот сайт и он тебе пароль показывает, щастье:D

Пароля никак бы никто не выслал ибо у них в базе только списки мыл. Отдельно есть еще сервис проверки паролей, но нигде в подобных сервисах нет связок - почта/пароль, по вполне определенным юридическим и этическим причинам.

Ваййй, ну, мэил как всегда, даже 5-тиклассник ломануть может, а с vk все норм! )

Хорошо меня не ломанули...Когда придумываешь пароль под скумой его никто не сможет взломать)

И ещё. Поправьте, если я в чём-то ошибаюсь, но вроде как на нормальных сайтах в базе хранится не сам пароль, а хэш от него (+/- соль). И восстановить из него пароль довольно... трудно.

Цитата:

И как вы себе это представляете? Они не просят вас регистрироваться и указывать пароли)

Ну на самом деле легко могут узнать пароль, есть база данных мейл:пасс, точнее софт и вот старенький мейл может валятся там и соответственно и старый или нынешний пароль. Если же он не подходит, его могут переделать, добавив банально ! или А и т.п

Цитата:

Пароля никак бы никто не выслал ибо у них в базе только списки мыл. Отдельно есть еще сервис проверки паролей, но нигде в подобных сервисах нет связок - почта/пароль, по вполне определенным юридическим и этическим причинам.

Есть софт с такими связками и его вполне можно купить за 250 рублей

Цитата:

Есть софт с такими связками и его вполне можно купить за 250 рублей

Вы бы читали о чем идет речь, прежде чем отвечать про какой-то там софт.
Речь шла о сайтах подобных haveibeenpwned.com (по крайней мере раньше он точно был не один). На этом сайте таких связок нет и быть не может по причинам указанным мной в предыдущем сообщении.

Цитата:

xsSplater, а чем вам нормальные менеджеры паролей не угодили?

• Менеджер паролей это программа.
• Программы пишут люди.
• Люди (иногда) ошибаются и оставляют уязвимости в коде.
• Хацкеры пользуются уязвимостью и воруют пароли.
• Прогеры сделают заплатку, но уже как бы будет поздно.
  Вопросы?)

Цитата:

Работает только против "твоей мамы". И то очень недолго, ровно до тех пор пока не позвала папу.

Ага-ага. Среди пары десятков(/сотен/тысяч) картинок лежит одна с вшитым зашифрованным архивом с, допустим, восьмизначным (даже) паролем из цифро-буквенного когда с меняющимся регистром...
Нужно для начала понять, что внутри них вообще что-то есть, потом попытаться ломануть, но тут нужен Хакер с гигантской буквы Хэ и то почти невероятно, по моему скромному.
Ну-у-у... только если расшифровать ремнем)