Przestępcy ujawnili miliony haseł i kont pocztowych

[KopalniaWiedzy.pl 314]

Na jednym z online'owych forów pojawiła się lista niemal 5 milionów adresów pocztowych z domeny gmail.com wraz z hasłami do nich. Jedna z firm zajmujących się bezpieczeństwem twierdzi, że dane są dość stare i nie pochodzą z włamania do sieci Google'a, ale z wielu włamań na różne witryny. Osoba, która umieściła te dane twierdzi, że ponad 60% z nich jest wciąż właściwych.

Nie możemy potwierdzić, że chodzi o aż 60%, ale bardzo dużo z tych danych jest prawdziwych - mówi Peter Kruse, menedżer ds. technologicznych w duńskiej firmie CSIS Security Group, która specjalizuje się w zwalczaniu cyberprzestępczości na zlecenie instytucji finansowych i organów ścigania. Najstarsze z ujawnionych danych liczą sobie około trzech lat.

CSIS potwierdziła, że co najmniej pięć par nazwa użytkownika/hasło nigdy nie było używanych w serwisie Google'a, co każe przypuszczać, iż dane pochodzą z innych źródeł i nie wszystkie ukradzione przez cyberprzestępców hasła są hasłami do kont pocztowych zapisanych na serwerze, na który przestępcy się włamali.

« powrót do artykułu

[Przemek Kobel 65]

Jeśli się ktoś wystraszył, to stronka ogólna:

https://haveibeenpwned.com/

 

i szczególna:

https://isleaked.com/en.php

[radar 103]

Jeśli się ktoś wystraszył, to stronka ogólna: https://haveibeenpwned.com/ i szczególna: https://isleaked.com/en.php

 

I broń Was Boże przed wpisywanie adresu email na nieznanych stronkach

A hasła/przecieki były dość dawno, część ludzi raportuje, że ich adres owszem i jest, ale hasło albo stare, albo nie związane z kontem gmail (np. jakiś śmieciowy serwis, na którym podaliście adres gmaila).

 

A od gmaila też Was broń Boże

[Przemek Kobel 65]

Gdyby kolega więcej czytał, niż pisał, to by zauważył, że tam nie trzeba podawać pełnych adresów, a na jednej z nich zamiast adresu można dać np. swój nick z forum. Ale zawsze fajniej jest postraszyć (Stefek Król nawet nieźle z tego żyje).

[wilk 103]

Znając życie, to ludzie wpisują tam pełne adresy email, więc ostrzeganie przed ujawnianiem obcej stronie swojego adresu jest jak najbardziej na miejscu. Tyczy się to tak samo stronek oceniających siłę haseł. Jest to zwyczajnie głupie i naiwne. Jeśli ktoś się obawia, że jego hasło wyciekło, to jedyne co powinien zrobić, to natychmiast je zmienić i tyle.

[Astroboy 34]

Tyczy się to tak samo stronek oceniających siłę haseł. Jest to zwyczajnie głupie i naiwne.

 

Pełna zgoda. Był tam kiedyś fajny dowcip o tym, jak ludzie o różnych poziomach ogarniania rzeczywistości wymyślają hasła, i dlaczego.

[Przemek Kobel 65]

Jeśli ktoś jest na tyle niedoświadczony, że bez obaw wpisuje swój email do takich formularzy, to na 99% jego adres i tak już siedzi w spamerskich bazach - jakie więc dodatkowe zagrożenie wynika z ewentualnego dopisania się do jeszcze jednej listy sprzedawców kanadyjskiej farmacji? Tu nie trzeba straszyć, tylko wyjaśniać, i to możliwie prosto, co się dzieje z komputerem. Ale jeśli eksperci zamiast prewencji wolą zarabiać na ofiarach niewiedzy (a straszenie by nie robić tego czy owego to żadna wiedza, tylko kolejny śmieć informacyjny pogłębiający chaos w głowie "zielonego" internauty), to niech te ofiary przynajmniej wiedzą, że są ofiarami.

[wilk 103]

Tylko, że to jest zwyczajne nakłanianie do łamania pewnych standardów, a tym samym zasad bezpieczeństwa oraz prywatności. Nie po to od dawna wkuwa się np. marketerom, bankowcom czy fakturowcom, by wysyłać maile tylko z jednej, klarownej domeny, nie po to kreuje się podejście do tego, by w oficjalnych mailach nie zamieszczać klikalnych linków oraz nie zachęcać do odwiedzenia strony z innej domeny lub gdy link ma niejasną postać, bo zwykły user przestanie odróżniać phishing od poprawnego maila. Zatem trzeba trzymać się ściśle pewnego schematu postępowań kierowanego właśnie do prostych userów, by nie klikali bezmyślnie linków, nie otwierali załączników z niewiadomego źródła czy właśnie nie wpisywali emaili/haseł/danych osobowych na obce stronki. To właśnie legitymizacja pewnych wyjątków robi najwięcej szkody i zamieszania. I nawet jeśli ten właśnie user już jest w bazach, to owe zasady mają uzmysławiać zagrożenie pozostałym.

 

BTW. Ustalmy jedno - te stronki nie są prowadzone przez żadnych "ekspertów". Każdy może taką stronkę postawić, a bazy z wycieków są w większości publiczne.

[tomak 1]

Nie wiem czy wszyscy sobie uświadamiają fakt, że żaden z szanujących się serwisów NIE PRZECHOWUJE HASEŁ użytkowników. O ile mi wiadomo Google też tego (mam nadzieję) nie robi. Zatem hasła nie mogły wyciec z serwerów google bo ich tam po prostu nigdy nie było, a jedynie skróty haseł, na podstawie których nie da się jednoznacznie odtworzyć oryginalnego hasła. Dla mnie oczywiste jest, że hasła, o których jest tu mowa, musiały zostać wprowadzone przez samych użytkowników na jakiejś innej (przestępczej) witrynie.

[Przemek Kobel 65]

@tomak: Są skróty i są skróty. Wszystkie banalne hasła, a właściwie ich skróty, które ktoś wygenerował bez solenia, google odnajduje w ułamku sekundy.

 

@wilk: Wiadomo, że w ostateczności cała prewencja polega właśnie na nieklikaniu, niewpisywaniu itp. Problem w tym, że ludzie nie mają pojęcia dlaczego mają tak postępować i po napotkaniu nowych form nadużyć są bezradni. Efekty są takie, że niektórzy pracownicy firm np. histerycznie boją się podać komuś NIP, a mimo to łapią się na "darmowe bramki SMS" (czy inne atrakcyjne "usługi"), w których podaje się swój numer telefonu, a potem w formularzu przepisuje kod z otrzymanego sms-a. I ile trwa, zanim taki ludek się zorientuje, że sms-y, które od tej pory zaczynają przychodzić na jego numer, nie dość że są trudne do wyłączenia, to do tego jeszcze PŁATNE?

[wilk 103]

skróty haseł, na podstawie których nie da się jednoznacznie odtworzyć oryginalnego hasła.

 

Ależ da się da. A im bliżej hasłu do naiwności ("12345" itp.), to jest to tym szybsze. Dlatego też lepiej odgórnie uznać, że stronki do testowania haseł są zwykłymi harvesterami i lądują one w słownikach używanych haseł, co przyspiesza proces.

 

nie dość że są trudne do wyłączenia, to do tego jeszcze PŁATNE?

 

Fakt, ale przed głupotą nie da się przestrzec wszystkich. Można mówić "nie skacz" czy "nie przechodź na czerwonym", a i tak znajdzie się ktoś, kto skoczy lub przejdzie. Wbrew temu co piszesz smsy takie można wyłączyć łatwo jednym tylko smsem.

[pogo 102]

Wbrew temu co piszesz smsy takie można wyłączyć łatwo jednym tylko smsem.

Jeśli tylko wiesz na jaki numer wysłać (nie zawsze jest to ten sam z którego smsy otrzymujesz) i jaka ma być treść tego smsa z rezygnacją.

[Przemek Kobel 65]

Wbrew temu co piszesz smsy takie można wyłączyć łatwo jednym tylko smsem.

 

Akurat miałem kilku pacjentów z takimi sms-ami. Z reguły strony dezaktywujące są, ehm, "zepsute", albo takie udają, a wysłanie sms-a na tajny numer kończy się jakąś dziwną odpowiedzią. Na przykład, że usługa wcale nie jest włączona (a potem przychodzi kolejny płatny horoskop czy coś podobnego). Na wszelki wypadek trzeba atakować na wszystkich frontach (na stronie operatora, na stronie złodz... to znaczy usługodawcy i dodatkowo puścić wszystkim jeszcze sms-y z rezygnacjami - co też darmowe nie jest).

 

Fakt, ale przed głupotą nie da się przestrzec wszystkich.

Dlatego właśnie jęczę, żeby nie przestrzegać na zasadzie "nie skacz, nie idź, nie to, nie tamto", tylko tłumaczyć co się dzieje. Wtedy nieco zwiększy się użycie rozumu, co teoretycznie powinno przynosić korzyści.

[radar 103]

Dlatego właśnie jęczę, żeby nie przestrzegać na zasadzie "nie skacz, nie idź, nie to, nie tamto", tylko tłumaczyć co się dzieje. Wtedy nieco zwiększy się użycie rozumu, co teoretycznie powinno przynosić korzyści.

To trzeba było tak napisać zamiast:

Gdyby kolega więcej czytał, niż pisał, to by zauważył, że tam nie trzeba podawać pełnych adresów, a na jednej z nich zamiast adresu można dać np. swój nick z forum. Ale zawsze fajniej jest postraszyć (Stefek Król nawet nieźle z tego żyje).

[wilk 103]

Z reguły strony dezaktywujące są, ehm, "zepsute", albo takie udają, a wysłanie sms-a na tajny numer kończy się jakąś dziwną odpowiedzią.

 

Odbiegamy nieco od problemu wycieku, aczkolwiek aby dokończyć temat: ale te smsy (subskrypcje) wysyła operator przecież, nie potrzeba wchodzić na jakąś "dezaktywującą stronę". Niemniej zgodzę się, że jeśli ktoś daje sobie wcisnąć taką usługę, to może mieć także problem z jej wyłączeniem.

 

Jeśli tylko wiesz na jaki numer wysłać (nie zawsze jest to ten sam z którego smsy otrzymujesz) i jaka ma być treść tego smsa z rezygnacją.

 

Wujek zawsze służy pomocą: https://www.google.pl/search?q=subskrypcja+sms+wy%C5%82%C4%85czanie

 

Przykładowo: http://www.prawokonsumenta.pl/2012/10/02/jak-wylaczyc-platne-smsy/

[Przemek Kobel 65]

To trzeba było tak napisać zamiast

 

Zagadnienia poruszane w obu cytatach są rozłączne. Czemu miałbym jeść ziemniaki zamiast jeździć na rowerze?

 

wysyła operator przecież, nie potrzeba wchodzić na jakąś "dezaktywującą stronę"

 

Miałem takie sytuacje, że właśnie operator odmawiał wyłączenia usługi, twierdząc że nie jest włączona. To szemrane towarzystwo, które bardziej lubi grać w pomidora niż "nasze" banki - lepiej się od nich wypisywać na wszystkie możliwe sposoby.

[thikim 117]

 

Gdyby kolega więcej czytał, niż pisał, to by zauważył, że tam nie trzeba podawać pełnych adresów

Gdyby kolega uważał to wiedziałby że w zakładzie kto utnie sobie pierwszy głowę wystarczy tylko nadciąć szyję...

[wilk 103]

Proszę obu kolegów o więcej merytoryki, mniej złośliwości.

[thikim 117]

To było merytoryczne. Zachęcanie do podawania swoich danych na NIEZNANEJ stronie nie wiem jak określić.

Bywały już przypadki że pod pozorem ochrony, np. antywirus oszukiwano ludzi i wykradano ich dane.

No chyba że kolega ręczy za stronę. Ale to byłoby dziwne jakby ręczył za cudzą stronę nie znając mechanizmów jej działania dokładnie.