Поменяйте пароль у себя в жж прямо сейчас
May. 10th, 2020 10:07 pm![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
in_esПишет
Павел Каганер:
Если коротко - поменяйте пароль у себя в жж (у кого есть) прямо сейчас.
Юрий Кибиров
10 ч.
Сейчас перепощу странное - текст из телеграм-канала, который ведёт понятия не имею кто и на который я попал по ссылке из другого канала, автор которого вообще легендарно анонимный чувак.
В иных условиях не стал бы заниматься такой фигнёй и грузить ваши ленты, но тут такая история: речь идёт о том, что база паролей ЖЖ (а я помню, что для многих из вас эти две буквы ещё что-то значат) утекла в открытый доступ целиком и полностью.
И мало ли что где пишут, конечно,особенно незнамо кто, но аккурат пока я это читал мне в почту упало то самое письмецо от команды ЖЖ, которое и должно было упасть, судя по тексту.
Ну и я поменял пароль, да.
Не то чтоб я доверяю источнику в источнике - но вдруг и вы поменять захотите. Особенно если и вам пришло письмо от ЖЖ )
-------------
Ватфор | Автострадный think tank
Удивительная история произошла с Живым Журналом (помните такой сервис?)
Слухи о том, что некая база паролей уплыла от них и продаётся на рынке, ходили уже пару лет. И вот вчера, наконец, эта самая база оказалась в открытом доступе, немало удивив исследователей. Судя по охвату (33 миллиона аккаунтов; знакомые Ватфору аккаунты там есть решительно все, кроме, разве что, Дианы Михайловой) и содержанию — e-mail, логин в ЖЖ, пароль — это не какая-то там синтетическая база, собранная из разных источников, а самая что ни на есть база ЖЖ, по состоянию приблизительно на 2017 год.
Это означает, что либо сервис сам хранил все пароли в открытом виде, либо где-то внутри их серверного кода стояла закладка, старательно собиравшая и отправлявшая их налево. И то, и другое — совершенно за гранью добра и зла. Равно как и сегодняшняя реакция ЖЖ, который где-то в середине дня начал рассылать пользователям вежливые письма в духе "вы давно не меняли пароль, но мы беспокоимся о вашей безопасности и рекомендуем сменить". Обратили, короче, позорный недуг в подвиг.
Но мы не об этом. Действуя в своём профессиональном интересе, ваш автор построил из базы словарь паролей и отсортировал их по встречаемости. И оказалось, что помимо типичных qwe123 в TOP 100 базы входят пароли, которые явно принадлежат огромным ботофермам. Ближайшее рассмотрение подтвердило — все эти аккаунты были зарегистрированы либо на один мэйл, либо на мэйлы в одном домене. Из сотни топовых паролей таких, принадлежащих массовым регистрациям, — около 30. Самая крупная ферма (и по совместительству самый часто встречающийся пароль в ЖЖ — Million2) владела 143 тысячами аккаунтов. Из владельцев ферм сходу удалось обнаружить некую компанию black pr studio, присваивавшую своим ботам пароль Mega_Pizdetz666 (13 тысяч аккаунтов) и фрилансера Костика из города Гомель, который увековечил в пароле своё имя (4500 аккаунтов). Костик, кстати, творчески генерировал имена своим ботам, подделываясь под существующих пользователей. Так среди первых же зарегистрированных им логинов были drufoi, frugoi, odessist и т.п.
Морали тут, собственно, никакой нет, кроме необходимости немедленно поменять пароль, даже если вы туда сто лет не ходили. Ну и мониторить дальнейшие новости — а то мало ли какая там сейчас ситуация с хранением паролей.
Павел Каганер:
Если коротко - поменяйте пароль у себя в жж (у кого есть) прямо сейчас.
Юрий Кибиров
10 ч.
Сейчас перепощу странное - текст из телеграм-канала, который ведёт понятия не имею кто и на который я попал по ссылке из другого канала, автор которого вообще легендарно анонимный чувак.
В иных условиях не стал бы заниматься такой фигнёй и грузить ваши ленты, но тут такая история: речь идёт о том, что база паролей ЖЖ (а я помню, что для многих из вас эти две буквы ещё что-то значат) утекла в открытый доступ целиком и полностью.
И мало ли что где пишут, конечно,особенно незнамо кто, но аккурат пока я это читал мне в почту упало то самое письмецо от команды ЖЖ, которое и должно было упасть, судя по тексту.
Ну и я поменял пароль, да.
Не то чтоб я доверяю источнику в источнике - но вдруг и вы поменять захотите. Особенно если и вам пришло письмо от ЖЖ )
-------------
Ватфор | Автострадный think tank
Удивительная история произошла с Живым Журналом (помните такой сервис?)
Слухи о том, что некая база паролей уплыла от них и продаётся на рынке, ходили уже пару лет. И вот вчера, наконец, эта самая база оказалась в открытом доступе, немало удивив исследователей. Судя по охвату (33 миллиона аккаунтов; знакомые Ватфору аккаунты там есть решительно все, кроме, разве что, Дианы Михайловой) и содержанию — e-mail, логин в ЖЖ, пароль — это не какая-то там синтетическая база, собранная из разных источников, а самая что ни на есть база ЖЖ, по состоянию приблизительно на 2017 год.
Это означает, что либо сервис сам хранил все пароли в открытом виде, либо где-то внутри их серверного кода стояла закладка, старательно собиравшая и отправлявшая их налево. И то, и другое — совершенно за гранью добра и зла. Равно как и сегодняшняя реакция ЖЖ, который где-то в середине дня начал рассылать пользователям вежливые письма в духе "вы давно не меняли пароль, но мы беспокоимся о вашей безопасности и рекомендуем сменить". Обратили, короче, позорный недуг в подвиг.
Но мы не об этом. Действуя в своём профессиональном интересе, ваш автор построил из базы словарь паролей и отсортировал их по встречаемости. И оказалось, что помимо типичных qwe123 в TOP 100 базы входят пароли, которые явно принадлежат огромным ботофермам. Ближайшее рассмотрение подтвердило — все эти аккаунты были зарегистрированы либо на один мэйл, либо на мэйлы в одном домене. Из сотни топовых паролей таких, принадлежащих массовым регистрациям, — около 30. Самая крупная ферма (и по совместительству самый часто встречающийся пароль в ЖЖ — Million2) владела 143 тысячами аккаунтов. Из владельцев ферм сходу удалось обнаружить некую компанию black pr studio, присваивавшую своим ботам пароль Mega_Pizdetz666 (13 тысяч аккаунтов) и фрилансера Костика из города Гомель, который увековечил в пароле своё имя (4500 аккаунтов). Костик, кстати, творчески генерировал имена своим ботам, подделываясь под существующих пользователей. Так среди первых же зарегистрированных им логинов были drufoi, frugoi, odessist и т.п.
Морали тут, собственно, никакой нет, кроме необходимости немедленно поменять пароль, даже если вы туда сто лет не ходили. Ну и мониторить дальнейшие новости — а то мало ли какая там сейчас ситуация с хранением паролей.
