Предохраняйтесь! Масштабная утечка паролей от почтовых ящиков!

Ну мне походу повезло,моя почта не была найдена в списке) (было написано "Good news — no pwnage found!)

Цитата:

Вы бы читали о чем идет речь, прежде чем отвечать про какой-то там софт.

Цитата:

Речь шла о сайтах подобных haveibeenpwned.com (по крайней мере раньше он точно был не один). На этом сайте таких связок нет и быть не может по причинам указанным мной в предыдущем сообщении.

Не вижу разницы между сайтом и софтом, что софт можно продавать, что доступ к сайту. А на этом сайте, я на 100% база старая за 2015 год

Цитата:

А на этом сайте, я на 100% база старая за 2015 год

На самом деле, это вообще не имеет никакого значения. Пароли надо менять регулярно, и если нам удалось на это сподвигнуть наших пользователей, то это хорошо :)

Цитата:

Не вижу разницы между сайтом и софтом, что софт можно продавать, что доступ к сайту. А на этом сайте, я на 100% база старая за 2015 год

Да будьте уверены хоть в том, что Земля плоская и вокруг нее крутится Солнце)
Этот сайт с момента создания был максимально публичным, как и его создатель. При малейших подозрениях (не говоря уже о фактах), что там что-то не чисто у человека были бы колоссальные проблемы с законом. Я не думаю, что он самоубийца. Так что ваши слова о продаже доступа к чему-то там на сайте, равно как и предположение, что на том сайте что-то эдакое может быть - просто бред. Уж не обессудьте за прямоту.
И да, базы там актуальные. По крайней мере то что светится в паблике, там есть (может и не все, но большая часть). Естественно базы, как я и писал выше вычищенные и приведенные в определенный порядок.

Сайт не показывает, что ваш ящик был взломан, он просто сравнивает, где у вас были акки и какие из этих сайтов были взломаны в определённых годах. Мне написало, что "утечка" была из базы данных Варфрейм в середке 2014, хотя реги у меня там аж в ноябре были. Вторая утечка была с мангафокс в 2016 году, благодаря которой они узнали адрес мой почты и древний ай-пи, только за эти два года я на голубях почтовых пароль раз 10 минимум менял. Итого: парится попросту ниочём. Вы читайте Где и когда вас "поимели", точнее и откуда были утечки.

Незачем спорить: какова бы ни была причина, напомнить некоторым, что пароли должны быть везде разные и меняться хотя бы раз в десять лет - очень не мешает.

Цитата:

ЗЫ, для онлайн-банков (и т.п. где связано с бабками и соответственно реальным интересом) я-б уточнил, не то что пароль, таки доступ или вообще без привязки к мылу/телефону/... или если уж - лучше купите под это платное мыло. Не на mail.ru конечно и подобных шарадах, я имею в виду более-менее серьёзные конторы, да как вариант на серверах вашего провайдера (ибо тут как говорится если что - хуже уже не будет).

В адекватных банках идёт 3-4 уровневая защита акков. Файл-протокол, который ты должен ставить с флехи каждый раз, когда заходишь на акк(и он каждые несколько месяцев обновляется, ты должен давать заяву со своей подписью и лично приходить забрать бумажку, с помощью которой оный файл можно получить)+ номер телефона, на который ПРИ КАЖДОМ заходе придёт смска с новым кодом для файла-протокола+классический 20 значный пароль на акк. Уот так уот.

Цитата:

Сайт не показывает, что ваш ящик был взломан, он просто сравнивает, где у вас были акки и какие из этих сайтов были взломаны в определённых годах.

Немного не так.
Берется слитая в паблик база, которая обычно представляет собой (в самом классичесом случае) массив пар мыло:пасс. Могут быть дополнительные данные, но они обычно менее интересны. Далее этот массив обрабатывается, убираются невалидные пары, дубли и прочий мусор. Оставшийся массив прячут себе под подушку, а в базу сайта вносится список мыл. Без пассов. И когда человек вбивает свое мыло для проверки, в базе данных идет поиск и выдается результат при каком взломе фигурировало ваше мыло и какие данные были слиты (может быть и вариант, когда слито мыло и какие-то персональные данные, без паролей, но это редко, так как ценность этой инфы на порядок ниже). Так что он не просто сравнивает акки. А именно сравнивает с утекшими валидными данными (очевидно же, что утекают далеко не все акки).

Цитата:

В адекватных банках идёт 3-4 уровневая защита акков. <и т.д.>

Увы, но если бы в банках была бы такая защита, то безусловно надежность была бы на высшем уровне. Однако вот пользоваться таким было бы мягко говоря не удобно (вспоминаем прикол про столовую и хакера).
А какая реальная защита в банках, можно посмотреть пробежавшись по статьям на Хабре, где периодически багхантеры выкладывают интересные случаи с самыми разными банками России и Украины. Например, самый крупный банк Украины, Приватбанк имеет свою программу вознаграждения багхантеров. Еще пару-тройку лет назад там за год находили сотни уязвимостей. Понятное дело, не все они критичны. Но это показатель того, что ломают всё, и банки в том числе.
Уот так уот)

Цитата:

Берется слитая в паблик база, которая обычно представляет собой (в самом классичесом случае) массив пар мыло:пасс. Могут быть дополнительные данные, но они обычно менее интересны. Далее этот массив обрабатывается, убираются невалидные пары, дубли и прочий мусор. Оставшийся массив прячут себе под подушку, а в базу сайта вносится список мыл. Без пассов. И когда человек вбивает свое мыло для проверки, в базе данных идет поиск и выдается результат при каком взломе фигурировало ваше мыло и какие данные были слиты (может быть и вариант, когда слито мыло и какие-то персональные данные, без паролей, но это редко, так как ценность этой инфы на порядок ниже). Так что он не просто сравнивает акки. А именно сравнивает с утекшими валидными данными (очевидно же, что утекают далеко не все акки).

Тоже вариант, но моем случае все утечки были очень старыми. И которые я так то пофиксил, ну да ладно.

Цитата:

Увы, но если бы в банках была бы такая защита, то безусловно надежность была бы на высшем уровне. Однако вот пользоваться таким было бы мягко говоря не удобно (вспоминаем прикол про столовую и хакера).

Анекдот анекдотом, но я пользователь такого банка. КВ в Чехии работает именно так. Гемора тонна, бесспорно, часто забываешь, что тебе нужно обновить протокол и в онлайн банкинг ты не зайдёшь ровным счётом никак. Ибо без протокола и автоматически генерируемого кода в смске с этого протокола тебе просто не войти. Её ещё постоянно обновляют, 3 года назад она была 2 уровневой и устаревшую систему хакали, в итоге был скандал(хотя взломов от чернышей было малое количество) и появились новые правила и кодировки.

Цитата:

Например, самый крупный банк Украины, Приватбанк имеет свою программу вознаграждения багхантеров.

Система вознаграждения, хех, это вообще официальная работа в таких конторах, ибо за утерю тонн нефти банк нехерово теряет рентабельность.

Цитата:

Анекдот анекдотом, но я пользователь такого банка.

Реально не ожидал, что такое где-то есть)

Цитата:

Система вознаграждения, хех, это вообще официальная работа в таких конторах

В конторах есть службы инфобеза, но у них задачи несколько иные. Они блюдут периметр и внутреннюю безопасность, но пентестами же не занимаются. Для этого либо нанимают профессионалов периодически (так себе эффект), либо создают программы вознаграждения багхантеров (считается довольно эффективной). Либо не делают ни того, ни другого. И получают закономерный результат. В принципе это не только банков касается.

Цитата:

Реально не ожидал, что такое где-то есть)

Ну, по Западной и Центральной Европам это всё более и более распространённая практика у старых банков. Есть новые банки, навроде AirBank, у них нет касс, только несколько банкоматов . В их пользовании, в основном, находятся ликвидные ассеты, с минимумом налички, без валюты и драгметалов, да и система защиты послабее будет. Хотя как говорится, банк банку рознь, например в том же Юникредит банке нет такой геморной системы защиты, хотя ребята из Италии.

Цитата:

В конторах есть службы инфобеза, но у них задачи несколько иные. Они блюдут периметр и внутреннюю безопасность, но пентестами же не занимаются. Для этого либо нанимают профессионалов периодически (так себе эффект), либо создают программы вознаграждения багхантеров (считается довольно эффективной). Либо не делают ни того, ни другого. И получают закономерный результат.

Хмм, тут, может, что-то напутал. Мне просто кажется, что привлекать левых челов для теста своей новой банковской системы - не очень разумный выбор, честно говоря.

Ну,даже если и узнают пароль,то всё равно не смогут получить доступа к моим данным,так как все изменения тут же приходят на номер телефона.Так же,для того чтобы зайти на тот или же иной сайт у меня включена функция подтверждения входа.

Цитата:

Ну,даже если и узнают пароль,то всё равно не смогут получить доступа к моим данным,так как все изменения тут же приходят на номер телефона.Так же,для того чтобы зайти на тот или же иной сайт у меня включена функция подтверждения входа.

Поэтому двухуровневые системки и крякаются через смс и почту, и червь попросту блокирует любые сообщения. Вариант для идиотов тоже, когда кулхацкеры юзают номер телефона банка и отправляют смс, мол скиньте данные, да.

Цитата:

Поэтому двухуровневые системки и крякаются через смс и почту, и червь попросту блокирует любые сообщения. Вариант для идиотов тоже, когда кулхацкеры юзают номер телефона банка и отправляют смс, мол скиньте данные, да.

Ну,если вы так считаете,то можете попробовать зайти на мой акк в WOW.Даже если я сообщу вам пароль и логин,у вас не выйдет ничего.
Насчёт того как вы сказали,что мол могут взломать через сообщения-У меня стоит 128 битное шифрование. любое письмо,или же запрос,которые не проходят проверку подлинности автоматом удаляются.
P.S: "Спам" до меня просто не доходит.Для писем со "спамом" у меня есть одна почта,для всего остального совершенно другая.Притом пароль меняется каждые 2-3 часа.Каждый пароль состоит из 38 букв и цифр.

Спасибо! Отличная тема!

Good news — no pwnage found!

Я не хочу никого обидеть, но где доказательства того что это просто не развод? Как сервер мог обработать мой запрос о том что у моего почтового аккаунта обнародованы данные для прохождения верификации если я создал новый почтовый адрес, а база с которой он сверял куда старше чем он? Или база постоянно обновляется с обнародованными паролями? Я конечно не "дурак", и понимаю что это не возможно, так что вы просто такую "лажу" здесь опубликовали, мне чёт аж стыдно за ТесОлл стало... Скорее всего этот сервис проверки вызывает больше подозрений чем заявление о том что что-то там у кого-то пропало. Скорее всего этот сервис собирает данные, и адреса почтовых аккаунтов для их систематизации и дальнейшего злоупотребления. Так что мой Вам всем совет не вводите адрес своей почты где попало и тем более не используйте одинаковые пароли, или пароли которые можно систематизировать.

Цитата:

Я не хочу никого обидеть, но где доказательства того что это просто не развод? Как сервер мог обработать мой запрос о том что у моего почтового аккаунта обнародованы данные для прохождения верификации если я создал новый почтовый адрес, а база с которой он сверял куда старше чем он? Или база постоянно обновляется с обнародованными паролями? Я конечно не "дурак", и понимаю что это не возможно, так что вы просто такую "лажу" здесь опубликовали, мне чёт аж стыдно за ТесОлл стало... Скорее всего этот сервис проверки вызывает больше подозрений чем заявление о том что что-то там у кого-то пропало. Скорее всего этот сервис собирает данные, и адреса почтовых аккаунтов для их систематизации и дальнейшего злоупотребления. Так что мой Вам всем совет не вводите адрес своей почты где попало и тем более не используйте одинаковые пароли, или пароли которые можно систематизировать.

вот и доказательство ваших слов:xakep.ru/2016/12/06/have-i-been-pwned
ain.ua/2018/04/13/klon-have-i-been-pwned
habr.com/ru/company/microsoft/blog/242975
Так же не хочу никого обидеть,но считаю статью обычным заблуждением.

Цитата:

вот и доказательство ваших слов:

Вы пробовали читать, о чем там написано, перед публикацией ссылок? Первая ссылка о том, что автор хев бин павнед выложил обезличенные данные. То есть те данные, которые и так гуляют по интернету. При этом гуляют не обезличенными. Вторая ссылка о сайте-зловреде, который косит под сайт хев бин павнед. А третья вообще о том, как сайт работает под большой нагрузкой (!). Где доказательство той ерунды, что написана в сообщении выше?

А что касается комментария MagRock, то там где-то выше было несколько моих комментариев по этому поводу, не вижу смысла повторяться. Если коротко - человек вообще не имеет представления о чем он пишет.

Цитата:

Стыдно стало

Если вам за кого-то стыдно, это повод обратиться к спецу по мозгам. А сделать поиск, быстро проверяющий выложенное хакерами в сеть на упоминание вашей почты - это детский садик программирования. Что, вы поиск по тексту нигде никогда не выполняли?