Предохраняйтесь! Масштабная утечка паролей от почтовых ящиков!

К комментариям (70)
18.01.2019 — 23:53
Автор: Cool_Wolf

Группа неизвестных хакеров опубликовала различные данные интернет-пользователей, в том числе 773 млн адресов электронной почты и более 21 млн паролей. Ваши личные данные в опасности!

База данных общедоступна и содержит данные пользователей различных сервисов, таких как: mail.ru, adobe, dropbox, nexusmods, last.fm, vk.com, UCOZ... Злоумышленникам не составляет никакого труда использовать её в различных неприятных для вас целях.

Проверить, не попал ли ваш почтовый ящик в базу, можно с помочью сервиса haveibeenpwned.com. Пользоваться им очень просто: введите свой email-адрес, нажмите кнопку «pwned?». Если вы увидели в ответ сообщение «oh no - pwned!», срочно смените пароль от всех ключевых сервисов: почта, страницы в соц. сетях, онлайн-банки и т.д.

Пример сообщения, в котором указаны, через какие базы данных был «слит» ваш почтовый ящик и/или пароль.

Измените пароли!

Напоминаем основные правила безопасности паролей:

  • для каждого почтового ящика должен быть свой уникальный пароль. Категорически нельзя использовать такой же пароль ни на одном из сайтов, где вы используете этот ящик.

  • для каждого ценного для вас сайта также должен быть уникальный пароль: для соц. сетей, мессенджеров, онлайн-банков.

  • в паролях необходимо использовать строчные и прописные буквы, цифры, дополнительные символы (-_%#! и т.д.).

  • используйте двухфакторную авторизацию по возможности, она спасает от большинства утечек личных данных.

Шагом марш менять пароли! Обязательно смените пароль от своей почты и профиля на Tesall! Даже если сейчас вашего ящика нет в базе, вы никогда не застрахованы от утечек с известных своей дырявостью систем, вроде конструктора сайтов ucoz. Всегда используйте на Tesall уникальный пароль.

Предохраняйтесь! :)

P.S. Напоминаем, что Вконтакте больше не хранит в тайне привязанный к странице номер. Согласно новой политике конфиденциальности, имея ваш номер в телефонной книге смартфона и синхронизировав телефонную книгу с приложением ВК, другой пользователь может узнать, какая страница привязана к номеру. Для того, что бы зная ваш номер, нельзя было узнать, какая страница к нему привязана - измените настройки своей страницы. В блоке "Связь со мной" измените параметр "Кто может найти меня при импорте контактов по номеру", и выберите позицию "Никто".

P.P.S. А вы нашли свою почту в базе?

27
администратор
автор
18.01.2019 — 23:55

P.S. А вы нашли свою почту в базе?

Угу. Два ящика нашел. Как раз скриншот для новости заснял xD
Правда, признаков использования своей почты не заметил. Всё-таки двухфакторная авторизация от таких вещей защищает. Но пароли поменял везде, кроме всяких ноунейм сайтов. На всякий случай :)

19.01.2019 — 00:50

а может этот ресурс для "проверки" как раз и создан, чтобы взять на карандашик почтовый ящик, не? Все щас ринутся проверять, а потом останутся без почты и аккаунтов :)

администратор
автор
19.01.2019 — 00:52

а потом останутся без почты и аккаунтов

И как вы себе это представляете? Они не просят вас регистрироваться и указывать пароли)

администратор
19.01.2019 — 01:07

Кстати, если на Опере перелогиниваться в соцсети, она подскажет, есть ли ваш аккаунт в открытом доступе.

администратор
19.01.2019 — 01:17

Добавил еще кое-что по поводу ВК

19.01.2019 — 01:25

Спасибо, друзья! Пока что нашел у себя один взломанный ящик. Сменил кое-где пароли... Где-то по новой зарегался. С гугловскими кстати все ок, а вот мэйл ру повезло не очень.

19.01.2019 — 02:12

Когда публикуют в таких количествах и в открытую - это обычно сборки различных сливов за последний десяток лет, коих на каждом шагу вагонами. И обычно это никакие не "дырявости систем" (покажите мне достоверную информацию о чистом взломе укоза за 10 лет), а дырявость пользователей. Вирусы, соц. инженерия и т.д.

19.01.2019 — 02:36

Спасибо. Искать ничего не буду, просто поменяю все пароли. Чем ещё заняться эльфу 90 лвл с утреца в субботу?

19.01.2019 — 02:44

Нашёл там основной из трёх ящиков вчера, поменял пароль. И тут вы об этом тоже пишете :)

19.01.2019 — 03:42

Прошлый слив был в 2014 году. Хакеры тогда вывалили пароли от mail.ru, yandex и google. В тот раз я нашёл в их базе один из своих ящиков на мэил.ру с паролем типа 123456. Пользовался этим ящиком для всяких одноразовых регистраций на говносайтах. Мэил.ру мой ящик оперативно заблокировал, пришлось писать в поддержку. Опыт не из приятных, так что с тех пор я даже для одноразовых регистраций сочиняю монструозные пароли, чего и вам советую.

19.01.2019 — 06:36

P.P.S. А вы нашли свою почту в базе?

Не-а. Повезло

19.01.2019 — 07:15

не повезло, половина ящиков

Спасибо, друзья! Пока что нашел у себя один взломанный ящик. Сменил кое-где пароли... Где-то по новой зарегался. С гугловскими кстати все ок, а вот мэйл ру повезло не очень.

не факт, у меня гугловский как раз в списке

19.01.2019 — 09:19

Один из трех, мыловский слили. И судя по логам активности - никто ничего не делал.
Учитывая, что пароли к своему мыловскому я меняю раз в три месяца - имхо это именно слив бд.

19.01.2019 — 11:22

Два Гугловских из трёх Гугла в списке. Ни одного Яндекс и Мыло ящика.

19.01.2019 — 12:25

ни одного. просто ни 1 хацкер не додумается что пароль может быть 123qwe на всех сервисах. гениальность в простоте.

19.01.2019 — 12:54

Хмм, я либо осторожный, либо очень удачливый. Всего один ящик из трех, но этот ящик от мыла я использую как мусорку так что...

19.01.2019 — 13:13

Фигово. Опять все менять.

администратор
автор
19.01.2019 — 13:51

просто ни 1 хацкер

Да просто ты не нужен никому))) живи теперь с этим)

19.01.2019 — 14:37

Мыловский только, правда в 5 утечках был замечен а ему 16 лет, а относительно новый гугловский всё ок. Поменяю на мыловском пароль.

19.01.2019 — 14:38

Да просто ты не нужен никому))) живи теперь с этим)

ты плохой

19.01.2019 — 15:34

Редиски, мой ящик от Гугла взломали а вот мыло не тронули) пошел за контрацептивами

19.01.2019 — 16:17

Прошлый слив был в 2014 году. Хакеры тогда вывалили пароли от mail.ru, yandex и google. В тот раз я нашёл в их базе один из своих ящиков на мэил.ру с паролем типа 123456. Пользовался этим ящиком для всяких одноразовых регистраций на говносайтах. Мэил.ру мой ящик оперативно заблокировал, пришлось писать в поддержку. Опыт не из приятных, так что с тех пор я даже для одноразовых регистраций сочиняю монструозные пароли, чего и вам советую.

Собственно, где-то в первой половине 2015-го у меня ящик mail.ru и увели, помнится. Вернули доступ довольно быстро, однако кто-то успел зарегистрировать его на u-play. Кучу времени потратил потом, чтобы избавиться от этого :)

19.01.2019 — 16:42

Вконтакте можно включить двухфакторную аутентификацию или как там ее. Тогда никто не зайдет вместо вас, не имея вашего телефона на руках.

19.01.2019 — 16:51

Вконтакте можно включить двухфакторную аутентификацию или как там ее. Тогда никто не зайдет вместо вас, не имея вашего телефона на руках.

Наивные...
Взлом вк, двухфакторная аутентификация не спасет
habr.com/ru/post/435916
И это то, что в паблике...

19.01.2019 — 17:08

P.P.S. А вы нашли свою почту в базе?

Ввёл я, значит, свою почту, и солнышко на небе померкло, и радуга погасла, и холодный ветер пробрал до костей, ибо ответом мне было "oh no - pwned!". Но я подумал, а вдруг брехня это всё? Дай-ка, думаю, введу несуществующий е-мейл, и посмотрю, появится ли сообщение, что несуществующий пароль от него находится в этой базе. Придумал, ввёл, и оказалось, что с этим емейлом всё в порядке, ибо в базе пароля от него нет. Тогда я решил, что вероятность того, что пароль от моей любимой почты действительно украден, достаточно высока, и изменить пароль, пока не поздно, было бы мудрым решением.
Боже, дай мне памяти, дабы не забыл я свой новый пароль!

19.01.2019 — 17:20

Если бы они после своего "oh no - pwned!" еще пароль на "взломанную" почту высылали я бы поверила.

19.01.2019 — 17:23

Наивные...

Взлом вк, двухфакторная аутентификация не спасет

habr.com/ru/post/435916

И это то, что в паблике...

Ну я пробежалась особо не вникая, не знаю что такое переадресация) и у меня возник вопрос - а зачем так напрягаться, это ведь нужно раздобыть скан паспорта жертвы сначала, нужно быть очень целеустремленным для этого)) обычные спамеры вряд ли будут таким заниматься. И вообще нечего свои голые фотки вк публиковать, тогда и бояться будет нечего))

19.01.2019 — 17:26

Мой основной гугловский "типа" взломанный в списке есть, но чот сомнительно мне. Пароли у меня обычно из цифр и букв в разных регистрах, нет короче 6 символов ни одного, на подобие: t3sS4l1pA5s. Взять такой брутфорсом нереально, только если вытянуть как-то. Включил двухфакторку на всякий.

Раньше помню бывали попытки вытянуть разные пароли из меня. Например на стиме одно время распространяли ссылку: steamcommInity(точка)com вместо commUnity. Была просто волна взломов тогда. Я чуть ли не случайно просек, что в названии буква не та, благодаря установленному на Огнелисе расширению WOT(Web of Trust), а распространял эту ссылку один мой стим-товарищ и когда я указал ему на это, он меня добавил в черный список) Я так едва успел брату сменить пароль, прежде чем акк ушел - он, погнавшись за мнимой халявой, таки ввел данные на этом мутном сайте.

Это основы интернет-безопасности как бы. Хацкер начинает с простых подборов, беря за основу инфу из ваших соц-сетей.
Не составляйте пароли только из цифр, типа: 123456789, 987654321, номеров своих телефонов, включая реверсивного его написания или дат рождения.
Не используйте для пароля буквы только в одном регистре: qwerty, ytrewq, QWERTY, YTREWQ, свои имена, фамилии, клички животных, тем более о которых вы писали у себя в соц-сетях.
Лучше сочетать буквы в разных регистрах и цифры: S4mY1Krut0iPwD, H3r0tG4daE5hG4d и т.д.
Мой брат двоюродный записывает их в блокнот, чтобы не забыть.
Можно запаролить архив с текстовым документом, в котором будут сохранены пароли.

Есть еще один интересный и древний способ, если кому интересно, с помощью которого можно заныкать пароли, записанные в текстовый файл, запакованный в архив, в любую картинку.
Создайте текстовый файл, например: VascheNeParoli.txt и запишите туда все что вам нужно.
Затем запакуйте его в архив(в моем случае 7zip): TutNetNichego.7z. Архив можно запаролить.
Положите рядом с архивом картинку любую: Kartinka.jpg.
Создайте еще один текстовый файл(например Skleyka.txt) и скопируйте туда текст без кавычек: "copy /b Kartinka.jpg+TutNetNichego.7z Kartinka2.jpg"
Переименуйте файл в Skleyka.cmd и затем запустите его(иногда нужно сделать это дважды).
Вы получите с виду простую картинку, которая ничем не отличается от обычной, но если нажать по ней ПКМ - Открыть с помощью... - 7zip, то вы войдете в архив, спрятанный внутри, где лежит ваш файл с паролями, который можно изменять по желанию. Изменяете содержимое, сохраняете, закрываете и соглашаетесь на обновление файла в архиве. Вуаля!)

19.01.2019 — 17:48

и у меня возник вопрос - а зачем так напрягаться

это был ответ на слова:

Вконтакте можно включить двухфакторную аутентификацию или как там ее. Тогда никто не зайдет вместо вас, не имея вашего телефона на руках.

обычные спамеры вряд ли будут таким заниматься

Так взламывают и не спамеры

19.01.2019 — 17:53

Пароли у меня обычно из цифр и букв в разных регистрах, нет короче 6 символов ни одного, на подобие: t3sS4l1pA5s. Взять такой брутфорсом нереально, только если вытянуть как-то. (и далее по тексту)

Никто брутом такие коллекции не собирает. Это раз. Пароль вы можете придумать какой угодно, но если он используется в разных местах, то происходит следующее. Есть у вас почта на гугле/маиле/где-то там еще. А еще вы зарегистрированы на Тесал/Вконтактиках/Дропбоксе/любая другая контора. И ежели у вас одинаковые пароли, то при взломе какого-то сайта (не подбором разумеется), сливается с него база с паролями и вуаля, если у вас одинаковый пароль на этом сайте и на вашей почте - он в руках злоумышленников. При этом он может быть хоть из 40 нечитаемых символов - это никак делу не поможет.
Это тоже азы этой самой, как вы там писали - интернет-безопасности)

19.01.2019 — 17:53

это был ответ на слова:

Так взламывают и не спамеры

Вот уж точно, потеря Вконтача - трагедия)

19.01.2019 — 17:57

Никто брутом такие коллекции не собирает. Это раз. Пароль вы можете придумать какой угодно, но если он используется в разных местах, то происходит следующее. Есть у вас почта на гугле/маиле/где-то там еще. А еще вы зарегистрированы на Тесал/Вконтактиках/Дропбоксе/любая другая контора. И ежели у вас одинаковые пароли, то при взломе какого-то сайта (не подбором разумеется), сливается с него база с паролями и вуаля, если у вас одинаковый пароль на этом сайте и на вашей почте - он в руках злоумышленников. При этом он может быть хоть из 40 нечитаемых символов - это никак делу не поможет.

Это тоже азы этой самой, как вы там писали - интернет-безопасности)

Вот именно что у меня для каждой оказии своя паролина)

администратор
19.01.2019 — 17:58

Взять такой брутфорсом нереально

Никто вас одного и не берет, берут БД, и если у компании все плохо, то и расшифровывают, как случилось с adobe, у которых до сих пор сайт полное г. Другое дело, что если база опубликована, то вас там могут и найти целенаправленно.

19.01.2019 — 18:02

Так взламывают и не спамеры

Как они узнают номер телефона, если вы его не указываете для всех, и если вы не используете реальные имя и фамилию.

19.01.2019 — 18:03

Никто вас одного и не берет, берут БД, и если у компании все плохо, то и расшифровывают, как случилось с adobe, у которых до сих пор сайт полное г. Другое дело, что если база опубликована, то вас там могут и найти целенаправленно.

...и узнают они только адрес моей почты, т.к. мои ФИО, адрес и данные паспорта знает только банк, оператор сотовой... ну и Гейб)

ЗЫ: Забыл про ВК и еще парочку, которые знают ФИО и дату рождения...

19.01.2019 — 18:07

Пробил основной свой эмейл, обнаружился в паре сливов.

Оставлю это здесь:
sordum.org/10946/sordum-random-password-generator
Давно им пользуюсь, шикарная вещь.

19.01.2019 — 19:35

Так, обождите! Разве речь не о том, что слиты данные не о паролях к вашим ящикам, а к аккаунтам на сервисах, список которых он выводит после проверки, и где данная почта просто была указана при регистрации?

З.Ы. У меня, к слову, оказались слиты данные аккаунта на last.fm, на котором я, внезапно, никогда не был зарегистрирован.

-------------------------
upd
xsSplater, а чем вам нормальные менеджеры паролей не угодили?

20.01.2019 — 01:22

Что, весьма кстати верно, подмечают про эти базы - они сами нередко и являются сборщиками паролей и вообще всего что выйдет. Тобишь я намекаю - будем осторожны.

И вообще нечего свои голые фотки вк публиковать,

И вообще где либо. Если конечно по жизни есть риск шантажа по этой линии (что к нам как-раз очень относится).
А ломают не пароли а БД сайтов, хостируемых где-нить на Гуглооблоке, что зачастую у всякого масс-крупно-попа, и нередко даже у наших (и не только) серьёзных структур, увы.

Как они узнают номер телефона, если вы его не указываете для всех

Выдернут из той-же пресловутой слитой БД, или, это уже если ищут целенаправленно, могут совместить многое и высчитать твой номерок (например через "третий" сайт в котором ты упомянул свой телефон и там-же адрес той самой странички пример в ВК).
Реальное ФИО узнаваемо по твоему-же номеру (если ты это дело засветил мобильщикам, что частый случай). Но даже если - есть много путей а учитывая общее распиздяйсво в этой стране - вероятность в конечном счёте сопоставить и нарыть полный набор персональных данных - 100%, только вопрос времени.

древний способ, если кому интересно, с помощью которого можно заныкать пароли, записанные в текстовый файл

Работает только против "твоей мамы". И то очень недолго, ровно до тех пор пока не позвала папу.
А по факту - можно (и на самом-то потенциально самое удобное) просто текстовым файлом без всякого. Только держать его не на винте а на флэшке и т. п. съёмном носителе. (да, чтоб если хакнут твой комп - тот самый файл не увели)

ЗЫ, для онлайн-банков (и т.п. где связано с бабками и соответственно реальным интересом) я-б уточнил, не то что пароль, таки доступ или вообще без привязки к мылу/телефону/... или если уж - лучше купите под это платное мыло. Не на mail.ru конечно и подобных шарадах, я имею в виду более-менее серьёзные конторы, да как вариант на серверах вашего провайдера (ибо тут как говорится если что - хуже уже не будет).

ЗЫЗЫ, вот теперь думаю, сменить пароль свой от Тесала или да кому нужен пароль от моего инвайта?
А почта, почта итак уже 90% что взломана, последнее время mail.ee капитально нездоровится, даже думаю они сами загнутся скоро.

=)

администратор
20.01.2019 — 01:44

и узнают они только адрес моей почты

И пароль, если он выложен, а дальше дело техники, если ящик не привязан к телефону. Так что лучше все поменять, а почту привязать к мобилке.

20.01.2019 — 08:32

Хахах)))) Спс поржал)

20.01.2019 — 08:54

Ребят, вы хоть думайте куда данные вводите. Потом от спама не отделаетесь)

20.01.2019 — 10:54

Если бы они после своего "oh no - pwned!" еще пароль на "взломанную" почту высылали я бы поверила.

Действительно. Удобная штука, забываешь пароль и кто-то взламывает почту, заходишь на этот сайт и он тебе пароль показывает, щастье:D

20.01.2019 — 17:25

Пароля никак бы никто не выслал ибо у них в базе только списки мыл. Отдельно есть еще сервис проверки паролей, но нигде в подобных сервисах нет связок - почта/пароль, по вполне определенным юридическим и этическим причинам.

20.01.2019 — 17:43

Ваййй, ну, мэил как всегда, даже 5-тиклассник ломануть может, а с vk все норм! )

20.01.2019 — 22:48

Хорошо меня не ломанули...Когда придумываешь пароль под скумой его никто не сможет взломать)

21.01.2019 — 01:47

И ещё. Поправьте, если я в чём-то ошибаюсь, но вроде как на нормальных сайтах в базе хранится не сам пароль, а хэш от него (+/- соль). И восстановить из него пароль довольно... трудно.

21.01.2019 — 05:29

И как вы себе это представляете? Они не просят вас регистрироваться и указывать пароли)

Ну на самом деле легко могут узнать пароль, есть база данных мейл:пасс, точнее софт и вот старенький мейл может валятся там и соответственно и старый или нынешний пароль. Если же он не подходит, его могут переделать, добавив банально ! или А и т.п

21.01.2019 — 05:30

Пароля никак бы никто не выслал ибо у них в базе только списки мыл. Отдельно есть еще сервис проверки паролей, но нигде в подобных сервисах нет связок - почта/пароль, по вполне определенным юридическим и этическим причинам.

Есть софт с такими связками и его вполне можно купить за 250 рублей

21.01.2019 — 05:42

Есть софт с такими связками и его вполне можно купить за 250 рублей

Вы бы читали о чем идет речь, прежде чем отвечать про какой-то там софт.
Речь шла о сайтах подобных haveibeenpwned.com (по крайней мере раньше он точно был не один). На этом сайте таких связок нет и быть не может по причинам указанным мной в предыдущем сообщении.

21.01.2019 — 14:12

xsSplater, а чем вам нормальные менеджеры паролей не угодили?

  • Менеджер паролей это программа.
  • Программы пишут люди.
  • Люди (иногда) ошибаются и оставляют уязвимости в коде.
  • Хацкеры пользуются уязвимостью и воруют пароли.
  • Прогеры сделают заплатку, но уже как бы будет поздно.
    Вопросы?)

Работает только против "твоей мамы". И то очень недолго, ровно до тех пор пока не позвала папу.

Ага-ага. Среди пары десятков(/сотен/тысяч) картинок лежит одна с вшитым зашифрованным архивом с, допустим, восьмизначным (даже) паролем из цифро-буквенного когда с меняющимся регистром...
Нужно для начала понять, что внутри них вообще что-то есть, потом попытаться ломануть, но тут нужен Хакер с гигантской буквы Хэ и то почти невероятно, по моему скромному.
Ну-у-у... только если расшифровать ремнем)

21.01.2019 — 14:39

Ну мне походу повезло,моя почта не была найдена в списке) (было написано "Good news — no pwnage found!)

21.01.2019 — 19:50

Вы бы читали о чем идет речь, прежде чем отвечать про какой-то там софт.

Речь шла о сайтах подобных haveibeenpwned.com (по крайней мере раньше он точно был не один). На этом сайте таких связок нет и быть не может по причинам указанным мной в предыдущем сообщении.

Не вижу разницы между сайтом и софтом, что софт можно продавать, что доступ к сайту. А на этом сайте, я на 100% база старая за 2015 год

администратор
автор
21.01.2019 — 19:52

А на этом сайте, я на 100% база старая за 2015 год

На самом деле, это вообще не имеет никакого значения. Пароли надо менять регулярно, и если нам удалось на это сподвигнуть наших пользователей, то это хорошо :)

21.01.2019 — 20:02

Не вижу разницы между сайтом и софтом, что софт можно продавать, что доступ к сайту. А на этом сайте, я на 100% база старая за 2015 год

Да будьте уверены хоть в том, что Земля плоская и вокруг нее крутится Солнце)
Этот сайт с момента создания был максимально публичным, как и его создатель. При малейших подозрениях (не говоря уже о фактах), что там что-то не чисто у человека были бы колоссальные проблемы с законом. Я не думаю, что он самоубийца. Так что ваши слова о продаже доступа к чему-то там на сайте, равно как и предположение, что на том сайте что-то эдакое может быть - просто бред. Уж не обессудьте за прямоту.
И да, базы там актуальные. По крайней мере то что светится в паблике, там есть (может и не все, но большая часть). Естественно базы, как я и писал выше вычищенные и приведенные в определенный порядок.

23.01.2019 — 00:28

Сайт не показывает, что ваш ящик был взломан, он просто сравнивает, где у вас были акки и какие из этих сайтов были взломаны в определённых годах. Мне написало, что "утечка" была из базы данных Варфрейм в середке 2014, хотя реги у меня там аж в ноябре были. Вторая утечка была с мангафокс в 2016 году, благодаря которой они узнали адрес мой почты и древний ай-пи, только за эти два года я на голубях почтовых пароль раз 10 минимум менял. Итого: парится попросту ниочём. Вы читайте Где и когда вас "поимели", точнее и откуда были утечки.

администратор
23.01.2019 — 00:35

Незачем спорить: какова бы ни была причина, напомнить некоторым, что пароли должны быть везде разные и меняться хотя бы раз в десять лет - очень не мешает.

23.01.2019 — 00:39

ЗЫ, для онлайн-банков (и т.п. где связано с бабками и соответственно реальным интересом) я-б уточнил, не то что пароль, таки доступ или вообще без привязки к мылу/телефону/... или если уж - лучше купите под это платное мыло. Не на mail.ru конечно и подобных шарадах, я имею в виду более-менее серьёзные конторы, да как вариант на серверах вашего провайдера (ибо тут как говорится если что - хуже уже не будет).

В адекватных банках идёт 3-4 уровневая защита акков. Файл-протокол, который ты должен ставить с флехи каждый раз, когда заходишь на акк(и он каждые несколько месяцев обновляется, ты должен давать заяву со своей подписью и лично приходить забрать бумажку, с помощью которой оный файл можно получить)+ номер телефона, на который ПРИ КАЖДОМ заходе придёт смска с новым кодом для файла-протокола+классический 20 значный пароль на акк. Уот так уот.

23.01.2019 — 04:15

Сайт не показывает, что ваш ящик был взломан, он просто сравнивает, где у вас были акки и какие из этих сайтов были взломаны в определённых годах.

Немного не так.
Берется слитая в паблик база, которая обычно представляет собой (в самом классичесом случае) массив пар мыло:пасс. Могут быть дополнительные данные, но они обычно менее интересны. Далее этот массив обрабатывается, убираются невалидные пары, дубли и прочий мусор. Оставшийся массив прячут себе под подушку, а в базу сайта вносится список мыл. Без пассов. И когда человек вбивает свое мыло для проверки, в базе данных идет поиск и выдается результат при каком взломе фигурировало ваше мыло и какие данные были слиты (может быть и вариант, когда слито мыло и какие-то персональные данные, без паролей, но это редко, так как ценность этой инфы на порядок ниже). Так что он не просто сравнивает акки. А именно сравнивает с утекшими валидными данными (очевидно же, что утекают далеко не все акки).

В адекватных банках идёт 3-4 уровневая защита акков. <и т.д.>

Увы, но если бы в банках была бы такая защита, то безусловно надежность была бы на высшем уровне. Однако вот пользоваться таким было бы мягко говоря не удобно (вспоминаем прикол про столовую и хакера).
А какая реальная защита в банках, можно посмотреть пробежавшись по статьям на Хабре, где периодически багхантеры выкладывают интересные случаи с самыми разными банками России и Украины. Например, самый крупный банк Украины, Приватбанк имеет свою программу вознаграждения багхантеров. Еще пару-тройку лет назад там за год находили сотни уязвимостей. Понятное дело, не все они критичны. Но это показатель того, что ломают всё, и банки в том числе.
Уот так уот)

23.01.2019 — 04:32

Берется слитая в паблик база, которая обычно представляет собой (в самом классичесом случае) массив пар мыло:пасс. Могут быть дополнительные данные, но они обычно менее интересны. Далее этот массив обрабатывается, убираются невалидные пары, дубли и прочий мусор. Оставшийся массив прячут себе под подушку, а в базу сайта вносится список мыл. Без пассов. И когда человек вбивает свое мыло для проверки, в базе данных идет поиск и выдается результат при каком взломе фигурировало ваше мыло и какие данные были слиты (может быть и вариант, когда слито мыло и какие-то персональные данные, без паролей, но это редко, так как ценность этой инфы на порядок ниже). Так что он не просто сравнивает акки. А именно сравнивает с утекшими валидными данными (очевидно же, что утекают далеко не все акки).

Тоже вариант, но моем случае все утечки были очень старыми. И которые я так то пофиксил, ну да ладно.

Увы, но если бы в банках была бы такая защита, то безусловно надежность была бы на высшем уровне. Однако вот пользоваться таким было бы мягко говоря не удобно (вспоминаем прикол про столовую и хакера).

Анекдот анекдотом, но я пользователь такого банка. КВ в Чехии работает именно так. Гемора тонна, бесспорно, часто забываешь, что тебе нужно обновить протокол и в онлайн банкинг ты не зайдёшь ровным счётом никак. Ибо без протокола и автоматически генерируемого кода в смске с этого протокола тебе просто не войти. Её ещё постоянно обновляют, 3 года назад она была 2 уровневой и устаревшую систему хакали, в итоге был скандал(хотя взломов от чернышей было малое количество) и появились новые правила и кодировки.

Например, самый крупный банк Украины, Приватбанк имеет свою программу вознаграждения багхантеров.

Система вознаграждения, хех, это вообще официальная работа в таких конторах, ибо за утерю тонн нефти банк нехерово теряет рентабельность.

23.01.2019 — 04:42

Анекдот анекдотом, но я пользователь такого банка.

Реально не ожидал, что такое где-то есть)

Система вознаграждения, хех, это вообще официальная работа в таких конторах

В конторах есть службы инфобеза, но у них задачи несколько иные. Они блюдут периметр и внутреннюю безопасность, но пентестами же не занимаются. Для этого либо нанимают профессионалов периодически (так себе эффект), либо создают программы вознаграждения багхантеров (считается довольно эффективной). Либо не делают ни того, ни другого. И получают закономерный результат. В принципе это не только банков касается.

24.01.2019 — 15:44

Реально не ожидал, что такое где-то есть)

Ну, по Западной и Центральной Европам это всё более и более распространённая практика у старых банков. Есть новые банки, навроде AirBank, у них нет касс, только несколько банкоматов . В их пользовании, в основном, находятся ликвидные ассеты, с минимумом налички, без валюты и драгметалов, да и система защиты послабее будет. Хотя как говорится, банк банку рознь, например в том же Юникредит банке нет такой геморной системы защиты, хотя ребята из Италии.

В конторах есть службы инфобеза, но у них задачи несколько иные. Они блюдут периметр и внутреннюю безопасность, но пентестами же не занимаются. Для этого либо нанимают профессионалов периодически (так себе эффект), либо создают программы вознаграждения багхантеров (считается довольно эффективной). Либо не делают ни того, ни другого. И получают закономерный результат.

Хмм, тут, может, что-то напутал. Мне просто кажется, что привлекать левых челов для теста своей новой банковской системы - не очень разумный выбор, честно говоря.

25.01.2019 — 12:52

Ну,даже если и узнают пароль,то всё равно не смогут получить доступа к моим данным,так как все изменения тут же приходят на номер телефона.Так же,для того чтобы зайти на тот или же иной сайт у меня включена функция подтверждения входа.

25.01.2019 — 21:37

Ну,даже если и узнают пароль,то всё равно не смогут получить доступа к моим данным,так как все изменения тут же приходят на номер телефона.Так же,для того чтобы зайти на тот или же иной сайт у меня включена функция подтверждения входа.

Поэтому двухуровневые системки и крякаются через смс и почту, и червь попросту блокирует любые сообщения. Вариант для идиотов тоже, когда кулхацкеры юзают номер телефона банка и отправляют смс, мол скиньте данные, да.

29.01.2019 — 19:04

Поэтому двухуровневые системки и крякаются через смс и почту, и червь попросту блокирует любые сообщения. Вариант для идиотов тоже, когда кулхацкеры юзают номер телефона банка и отправляют смс, мол скиньте данные, да.

Ну,если вы так считаете,то можете попробовать зайти на мой акк в WOW.Даже если я сообщу вам пароль и логин,у вас не выйдет ничего.
Насчёт того как вы сказали,что мол могут взломать через сообщения-У меня стоит 128 битное шифрование. любое письмо,или же запрос,которые не проходят проверку подлинности автоматом удаляются.
P.S: "Спам" до меня просто не доходит.Для писем со "спамом" у меня есть одна почта,для всего остального совершенно другая.Притом пароль меняется каждые 2-3 часа.Каждый пароль состоит из 38 букв и цифр.

07.02.2019 — 11:17

Спасибо! Отличная тема!

12.02.2019 — 12:36

Good news — no pwnage found!

16.02.2019 — 00:59

Я не хочу никого обидеть, но где доказательства того что это просто не развод? Как сервер мог обработать мой запрос о том что у моего почтового аккаунта обнародованы данные для прохождения верификации если я создал новый почтовый адрес, а база с которой он сверял куда старше чем он? Или база постоянно обновляется с обнародованными паролями? Я конечно не "дурак", и понимаю что это не возможно, так что вы просто такую "лажу" здесь опубликовали, мне чёт аж стыдно за ТесОлл стало... Скорее всего этот сервис проверки вызывает больше подозрений чем заявление о том что что-то там у кого-то пропало. Скорее всего этот сервис собирает данные, и адреса почтовых аккаунтов для их систематизации и дальнейшего злоупотребления. Так что мой Вам всем совет не вводите адрес своей почты где попало и тем более не используйте одинаковые пароли, или пароли которые можно систематизировать.

16.02.2019 — 21:18

Я не хочу никого обидеть, но где доказательства того что это просто не развод? Как сервер мог обработать мой запрос о том что у моего почтового аккаунта обнародованы данные для прохождения верификации если я создал новый почтовый адрес, а база с которой он сверял куда старше чем он? Или база постоянно обновляется с обнародованными паролями? Я конечно не "дурак", и понимаю что это не возможно, так что вы просто такую "лажу" здесь опубликовали, мне чёт аж стыдно за ТесОлл стало... Скорее всего этот сервис проверки вызывает больше подозрений чем заявление о том что что-то там у кого-то пропало. Скорее всего этот сервис собирает данные, и адреса почтовых аккаунтов для их систематизации и дальнейшего злоупотребления. Так что мой Вам всем совет не вводите адрес своей почты где попало и тем более не используйте одинаковые пароли, или пароли которые можно систематизировать.

вот и доказательство ваших слов:xakep.ru/2016/12/06/have-i-been-pwned
ain.ua/2018/04/13/klon-have-i-been-pwned
habr.com/ru/company/microsoft/blog/242975
Так же не хочу никого обидеть,но считаю статью обычным заблуждением.

17.02.2019 — 03:11

вот и доказательство ваших слов:

Вы пробовали читать, о чем там написано, перед публикацией ссылок? Первая ссылка о том, что автор хев бин павнед выложил обезличенные данные. То есть те данные, которые и так гуляют по интернету. При этом гуляют не обезличенными. Вторая ссылка о сайте-зловреде, который косит под сайт хев бин павнед. А третья вообще о том, как сайт работает под большой нагрузкой (!). Где доказательство той ерунды, что написана в сообщении выше?

А что касается комментария MagRock, то там где-то выше было несколько моих комментариев по этому поводу, не вижу смысла повторяться. Если коротко - человек вообще не имеет представления о чем он пишет.

администратор
17.02.2019 — 03:28

Стыдно стало

Если вам за кого-то стыдно, это повод обратиться к спецу по мозгам. А сделать поиск, быстро проверяющий выложенное хакерами в сеть на упоминание вашей почты - это детский садик программирования. Что, вы поиск по тексту нигде никогда не выполняли?

Авторизуйтесь, чтобы оставить новый комментарий. Или зарегистрируйтесь.