Перейти к публикации
Andrey

7K аккаунтов оказались скомпрометированы

Рекомендованные сообщения

Andrey

image.jpeg

В нашем распоряжении оказалась публичная база логинов и паролей, собранная из разных «сливов». В результате её проверки, пароли от 6800 аккаунтов оказались верными - пароли этих пользователей свободно «гуляют» по сети.
Спешим успокоить: нас никто не взламывал. Мы играем на опережение. Все скомпрометированные аккаунты были заблокированы до тех пор, пока их владельцы не свяжутся с нами.

 

Как это произошло?
Все все руководства по безопасности в сети твердят: всегда используйте разные пароли для каждого сайта! Но пользователи часто игнорируют это правило, потому что им лень придумывать и запоминать все пароли. В результате, когда взламывают один из сайтов, это ставит под угрозу все аккаунты пользователя. Взломы сайтов происходят часто. Для этих целей даже используют ботов, чтобы находить уязвимые для взлома ресурсы.

Чтобы было удобно хранить пароли от сайтов, пользуйтесь специальными программами – менеджерами паролей. Вам нужно будет знать всего один пароль для расшифровки базы данных ваших паролей.


Зачем мне подпись?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
gyx_snow

Судя по тому, что я могу зайти - моя тактика верна. 🙂

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Reun_rr

Фуух, слава богу я не в их числе)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
bluder

Сливы каких сайтов? Пароли хешированные? Как вы тогда определили что пароли верные? Неужели все используют тупо md5(password)?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Andrey

@bluder база представляет из себя смесь разных сливов, далеко не все записи корректно подписаны. Больше всего работающих паролей добыто с одного «топового» проекта. Почти вся база содержит уже расшифрованные пароли, другая часть MD5 и прочие (MD5 проверяли просто по совпадению хеша).

 

1 час назад, bluder сказал:

Неужели все используют тупо md5(password)?

Используют двойной MD5. Два года назад алгоритм заменили на BLOWFISH, но «топовый» проект не посчитал нужным обновиться. Так пароли достались злоумышленниками в MD5.


Зачем мне подпись?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Efim06
26.03.2019 в 19:08, Reun_rr сказал:

Фуух, слава богу я не в их числе)

Фуух что у тебя пароль нормальным оказался как у  следующих 199 человек(я в их числе)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Deenazmyablelzak

Не знаю на чем у вас стоит сайт, но я думаю что если это хост то VPS или VDS. Так почему не использовать RSA async? Такой взломать нужно.... хм... приблизительно ЛЯМ ЛЕТ! И то с учетом суперкомпов.
Генерируешь public и private key и фигачим)
 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Sheodar
7 минут назад, Deenazmyablelzak сказал:

Не знаю на чем у вас стоит сайт, но я думаю что если это хост то VPS или VDS. Так почему не использовать RSA async? Такой взломать нужно.... хм... приблизительно ЛЯМ ЛЕТ! И то с учетом суперкомпов.
Генерируешь public и private key и фигачим)

thread, privat, public, static, system. Вот и мой список несвязных слов про прогрумирование. Я правильно игру понял?
По теме: перепрочти еще раз 1 пост.


Хочешь сменить мини-карту? Конвертируй свои старые маркера.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Deenazmyablelzak
Только что, Sheodar сказал:

thread, privat, public, static, system. Вот и мой список несвязных слов про прогрумирование. Я правильно игру понял?
По теме: перепрочти еще раз 1 пост.

private*) В чем прикол Async - если взломают сервак с сайтом - раскодировать пароли и логины НЕ получится) Почекайте криптографию и асимметричное шифрование))))
Кстати если VDS хост, то можно использовать СКЗИ. На пример на моем домашнем ПК стоит КриптоПро CSP (оно платное, но ОС не ломает, в отличии от бесплатного VipNet CSP). И через них шифровать. Такие вещи не расшифровать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Sheodar
Только что, Deenazmyablelzak сказал:

private*) В чем прикол Async - если взломают сервак с сайтом - раскодировать пароли и логины НЕ получится) Почекайте криптографию и асимметричное шифрование))))
Кстати если VDS хост, то можно использовать СКЗИ. На пример на моем домашнем ПК стоит КриптоПро CSP (оно платное, но ОС не ломает, в отличии от бесплатного VipNet CSP). И через них шифровать. Такие вещи не расшифровать.

Не ответить мне, а прочитать пост (вроде простой квест, поэтому без награды особой). Надеюсь спам потрут этот.


Хочешь сменить мини-карту? Конвертируй свои старые маркера.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Deenazmyablelzak
Только что, Sheodar сказал:

Не ответить мне, а прочитать пост (вроде простой квест, поэтому без награды особой). Надеюсь спам потрут этот.

Ты глупенький?) Я говорю, что задача о сохранности стоит не только у пользователей, но и владельцев ресурсов! Более 50% населения (если повезет) сгенерировали ОДИН хороший пароль и используют ВЕЗДЕ. Ну так устроены люди. И что теперь, забить на них? Взломают, значит взломают?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Deenazmyablelzak

О минусы))) будет кто со мной спорить, доказывая что MD5, Blowfish надежнее RSA async?))))
============================================================
Ладно нет времени ждать, если Node у Вас то вот пожалуйста: https://github.com/travist/jsencrypt.

Про другие back-end сказать не могу, сам сижу на node

Изменено пользователем Deenazmyablelzak
!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
BlackSun
17 минут назад, Sheodar сказал:

thread, privat, public, static, system. Вот и мой список несвязных слов про прогрумирование. Я правильно игру понял?
По теме: перепрочти еще раз 1 пост.

Мне кажется его зацепило вот это:

27.03.2019 в 02:02, TheAndrey сказал:

(MD5 проверяли просто по совпадению хеша).

 


nodes.gif.707c73bf76fe5592b4e154b63d92771b.gif

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Andrey
37 минут назад, Deenazmyablelzak сказал:

Не знаю на чем у вас стоит сайт, но я думаю что если это хост то VPS или VDS. Так почему не использовать RSA async? Такой взломать нужно.... хм... приблизительно ЛЯМ ЛЕТ! И то с учетом суперкомпов.
Генерируешь public и private key и фигачим)

Слышал звон, но не знает где он.

Пожаловал наш прогрОммист, способный не более чем оперировать красивыми красивыми словечками 🤭

p.s. Вопрос к тебе: в чём отличие VPS от VDS?


Зачем мне подпись?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Deenazmyablelzak
8 часов назад, TheAndrey сказал:

Слышал звон, но не знает где он.

Пожаловал наш прогрОммист, способный не более чем оперировать красивыми красивыми словечками 🤭

p.s. Вопрос к тебе: в чём отличие VPS от VDS?

Логично же что в правах)

8 часов назад, TheAndrey сказал:

Слышал звон, но не знает где он.

Пожаловал наш прогрОммист, способный не более чем оперировать красивыми красивыми словечками 🤭

p.s. Вопрос к тебе: в чём отличие VPS от VDS?

Самое смешное, что в данном случае, наоборот, есть вопрос: понимаете ли ВЫ, что я пишу?)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Гость
Эта тема закрыта для публикации сообщений.

×
×
  • Создать...