База взломанных аккаунтов: Опубликована база с 320 млн уникальных паролей (5,5 ГБ) / Хабр

Опубликована база с 320 млн уникальных паролей (5,5 ГБ) / Хабр

Проверка аккаунтов на живучесть

Одно из главных правил при выборе пароля — не использовать пароль, который уже засветился в каком-нибудь взломе и попал в одну из баз, доступных злоумышленникам. Даже если в вашем пароле 100500 символов, но он есть там — дело плохо. Например, потому что в программу для брутфорса паролей можно загрузить эту базу как словарный список. Как думаете, какой процент хешей она взломает, просто проверив весь словарный список? Вероятно, около 75% (реальную статистику см. ниже).

Так вот, откуда нам знать, какие пароли есть у злоумышленников? Благодаря специалисту по безопасности Трою Ханту можно проверить эти базы. Более того, их можно скачать к себе на компьютер и использовать для своих нужд. Это два текстовых файла в архивах: с 306 млн паролей (5,3 ГБ) и с 14 млн паролей (250 МБ).

Базы лежат на этой странице.

Все пароли в базе представлены в виде хешей SHA1. Перед хешированием все символы переведены в верхний регистр (прописные буквы). Трой Хант говорит, что применил функцию HASHBYTES, которая переводит хеши в верхний регистр. Так что делая свой хеш, следует осуществить аналогичную процедуру, если хотите найти совпадение.

Прямые ссылки:

https://downloads.pwnedpasswords.com/passwords/pwned-passwords-1.0.txt.7z
(306 млн паролей, 5,3 ГБ), зеркало
SHA1 hash of the 7-Zip file: 90d57d16a2dfe00de6cc58d0fa7882229ace4a53
SHA1 hash of the text file: d3f3ba6d05b9b451c2b59fd857d94ea421001b16

В разархивированном виде текстовый файл занимает 11,9 ГБ.

https://downloads.pwnedpasswords.com/passwords/pwned-passwords-update-1.txt.7z
(14 млн паролей, 250 МБ), зеркало
SHA1 hash of the 7-Zip file: 00fc585efad08a4b6323f8e4196aae9207f8b09f
SHA1 hash of the text file: 3fe6457fa8be6da10191bffa0f4cec43603a9f56

Если вы глупы бесстрашны, то на той же странице можете ввести свой уникальный пароль и проверить его на наличие в базах, не скачивая их.

Трой Хант обещает, что никак не будет использовать ваш пароль и его сервис абсолютно надёжен. «Не отправляйте свой активно используемый пароль ни на какой сервис — даже на этот!», — предупреждается на странице. Программные интерфейсы этого сервиса полностью документированы, они принимают хеши SHA1 примерно таким образом:

GET https://haveibeenpwned.com/api/v2/pwnedpassword/ce0b2b771f7d468c0141918daea704e0e5ad45db?originalPasswordIsAHash=true

Но всё равно надёжнее проверять свой пароль в офлайне. Поэтому Трой Хант выложил базы в открытый доступ на дешёвом хостинге. Он отказался сидировать торрент, потому что это «затруднит доступ людей к информации» — многие организации блокируют торренты, а для него небольшие деньги за хостинг ничего не значат.

Хант рассказывает, где он раздобыл эти базы. Он говорит, что источников было много. Например, база Exploit.in содержит 805 499 391 адресов электронной почты с паролями. Задачей Ханта было извлечение уникальных паролей, поэтому он сразу начал анализ на совпадения.

Оказалось, что в базе всего лишь 593 427 119 уникальных адресов и лишь 197 602 390 уникальных паролей. Это типичный результат: абсолютное большинство паролей (в данном случае, 75%) не уникальны и используются многими людьми. Собственно, поэтому и даётся рекомендация после генерации своего мастер-пароля сверять его по базе.

Вторым по величине источником информации был Anti Public: 562 077 488 строк, 457 962 538 уникальных почтовых адресов и ещё 96 684 629 уникальных паролей, которых не было в базе Exploit.in.

Остальные источники Трой Хант не называет, но в итоге у него получилось 306 259 512 уникальных паролей. На следующий день он добавил ещё 13 675 934, опять из неизвестного источника — эти пароли распространяются отдельным файлом.

Так что сейчас общее число паролей составляет 319 935 446 штук. Это по-настоящему уникальные пароли, которые прошли дедупликацию. Из нескольких версий пароля (P@55w0rd и p@55w0rd) в базу добавляется только одна (p@55w0rd).

После того, как Трой Хант спросил в твиттере, какой дешёвый хостинг ему могут посоветовать, на него вышла известная организация Cloudflare и предложила захостить файлы забесплатно. Трой согласился. Так что смело качайте файлы с хостинга, это бесплатно для автора.

База с 235 млн аккаунтов Instagram, TikTok и YouTube оказалась в открытом доступе

Технологии

close

100%

База данных с персональной информацией о 235 млн пользователей Instagram, TikTok и YouTube оказалась в открытом доступе без какой-либо защиты. В ней были обнаружены имена, контакты, фотографии и статистика о фолловерах. Сообщается, что эта база была создана при помощи так называемого веб-скрейпинга — техники автоматического сбора информации с различных веб-страниц. 

Исследователи по кибербезопасности обнаружили в сети незащищенную базу данных, содержащую в себе личную информацию 235 млн пользователей Instagram, TikTok и YouTube, сообщает портал The Next Web со ссылкой на ИБ-компанию Comparitech. 

В каждой пятой записи из слитой базы содержалась электронная почта или телефонный номер пользователя. Кроме того, во всех без исключениях записях можно было найти имя аккаунта, настоящее имя юзера, его фото и описание профиля. Также оказалась доступна подробная статистика о фолловерах, включая разбивку по возрасту, полу, геолокации и другим показателям.

«Эта информация будет наиболее ценной для спамеров и киберпреступников, проводящих фишинговые кампании. Даже несмотря на то, что данные общедоступны, тот факт, что они были слиты в виде хорошо структурированной базы данных, делает их гораздо более ценными, чем каждый профиль по отдельности», — заявил редактор Comparitech Пол Бишофф.

Действительно, данные, о которых идет речь, до объединения в обособленную базу находились в общем доступе в интернете. Они были собраны в результате так называемого веб-скрейпинга — техники автоматического сбора информации с различных веб-страниц для дальнейшего использования. Несмотря на то что веб-скрейпинг является законным, многие интернет-компании запрещают эту практику для защиты собственных пользователей.  

Собранные в результате веб-скрейпинга данные используются статистическими компаниями для собственных проектов или перепродажи другим фирмам.

Однако, как справедливо отметил Бишофф, цельная база данных, лежащая в открытом доступе в незащищенном виде без пароля, является серьезной угрозой кибербезопасности.

Ведущему исследователю Comparitech Бобу Дьяченко удалось установить, что база данных, о которой идет речь, ранее принадлежала компании Deep Social, которая уже прекратила свое существование. Известно, что ранее ее уличали в веб-скрейпинге данных сервисов, запретивших подобных сбор.

«Сбор данных из Instagram является очевидным случаем нарушения наших правил. Мы восстановили доступ Deep Social к нашей платформе в июне 2018 года и направили им официальное уведомление о запрете дальнейшего сбора данных», — заявил представитель Facebook в комментарии для Forbes.

«TikTok уделяет первоочередное внимание конфиденциальности пользователей. Наши правила запрещают третьим лицам запускать автоматизированные скрипты для сбора информации из наших сервисов, включая информацию, которая относится к категории общедоступной.

 Если мы выявляем любую подобную практику, мы незамедлительно принимаем меры, в том числе с помощью суда», — сообщили в пресс-службе TikTok.

В компании Google, владеющей YouTube, не смогли предоставить оперативный комментарий. 

Проблема объемных баз данных, находящихся в открытом доступе, стала настолько острой, что начали появляться безымянные герои, удаляющие их из интернета. Так, в июле была зафиксирована необычная хакерская атака — злоумышленники взломали свыше тысячи незащищенных архивов с информацией, а затем стерли их, оставив на месте удаленных сведений лишь строчки случайных цифр и слово «мяу».

Подписывайтесь на «Газету.Ru» в Новостях, Дзен и Telegram.
Чтобы сообщить об ошибке, выделите текст и нажмите Ctrl+Enter

Новости

Дзен

Telegram

Картина дня

Военная операция на Украине. День 383-й

Онлайн-трансляция специальной военной операции на Украине — 383-й день

«Только военным путем». В Кремле отвергли «мирный процесс» для Украины

Представитель Кремля Песков считает нелепым курьезом идею переименовать Россию в Московию

Впервые без красного ковра: в чем пришли звезды на церемонию «Оскар-2023»

Самые яркие образы знаменитостей на «Оскаре-2023»

В ГД внесли поправки в законы о гостайне и о порядке выезда из страны

Путин и Кадыров разошлись во мнениях в вопросе об источниках благосостояния в Чечне

В Киево-Печерской лавре началась ревизия имущества

В ГД внесли проект о поэтапном повышении призывного возраста срочной службы до 21 года

Новости и материалы

Глава СПЧ Фадеев предложил лишать родительских прав не отдающих детей в школу мигрантов

Байден обвинил Трампа в крахе двух американских банков

«Чебурашка» выйдет онлайн 16 марта

Чесноков не верит в шансы Зверева в матче против Медведева в Индиан-Уэллс

Reuters: поставки нефтепродуктов из России сократились на 10% в феврале

Bloomberg: экспорт нефти из России по морю увеличился за счет Индии

Экспорт российского свинца рухнул на 70% в 2022 году

Сборная Франции по борьбе на ЧМ будет полностью представлена чеченскими спортсменами

В Венгрии заявили, что лечение солдат ВСУ не является военной помощью Украине

В Татарстане школьник принес в гимназию нож и случайно ранил одноклассника

Чесноков сравнил покрытие в Индиан-Уэлсс с грунтом

Президент Финляндии заявил, что боеприпасы для Украины важнее, чем истребители Hornet

Супруги обнаружили, что их дом превратился в улей, когда по стенам начал стекать мед

Чесноков отметил игру Рублева в матче с Умбером

В США трое полицейских пострадали в драке с мужчиной, который не хотел уходить из кофейни

Плющев не верит, что кто-то будет бойкотировать матчи ЧМ по хоккею из-за возвращения России

Чесноков оценил игру Медведева в матче с Ивашкой в Индиан-Уэллс

Объединение фитнес-клубов предложило правительству использовать их инфраструктуру для реабилитации военнослужащих

Все новости

«Следов операторов не нашли». Что известно о появлении беспилотников над Новой Москвой

Mash: три беспилотника заметили около военной части в Новой Москве

Госизмена, финансирование ВСУ, бегство на Украину: ФСБ задержала трех россиян

УФСБ Новгородской области задержало мужчину, работавшего на разведку Украины

Без драк, но с ослом. Как прошла церемония вручения «Оскара-2023»

Фильм «Все и везде и сразу» победил в семи номинациях «Оскара»

Певец Вадим Казаченко: «С дочерью и внуками не виделся с начала пандемии»

Певец Вадим Казаченко рассказал о шоу «Маска» и внуках

Тест: на какую оценку вы сдадите экзамен по литературе за 5-й класс

Ответьте на несколько вопросов по литературе и узнайте свою оценку

«У Маска нет никаких перспектив». Почему миру нужны абсолютно другие нейроинтерфейсы

Нейрофизиолог Александр Каплан рассказал, какими будут нейроинтерфейсы будущего

Леди Гага без макияжа и «медведь» на сцене: как прошла 95-я церемония вручения «Оскара»

Bloomberg: Индия не готова нарушать санкции против России

Это касается потолка цен на нефть

Politico сообщило о «трещинах» в отношениях США и Украины

По информации издания, это связано с разными взглядами на завершение конфликта

СК опроверг причастность хоккеиста Артема Иванюженкова к убийству. Свидетели отказались от своих слов

В подмосковном СК РФ сообщили о задержании подозреваемого в убийстве в Подольске

Интервью с Олегом Верещагиным — о шоу «Хочу перемен», «Звездах в Африке» и современном юморе

Олег Верещагин рассказал об отличиях шоу «Хочу перемен» от других программ о ремонте

«Митингующие прорвали полицейский кордон». Как в Молдавии проходит «мирная акция оппозиции»

РИА: протестующие в Кишиневе направились к дому правительства, прорвав полицейский кордон

«Любой боец ВСУ больший пацифист, чем противники поставок оружия». Главное из интервью Кулебы

Кулеба посоветовал немцам, протестующим против поставок оружия ВСУ, поменять свои лозунги

8 сайтов для проверки взлома, утечки или компрометации электронной почты/пароля

Взломаны ли мой адрес электронной почты и пароль? Единственный способ узнать это — использовать эту «обратную поисковую систему» ​​для запроса ваших собственных адресов электронной почты или любимого пароля, вы будете удивлены, обнаружив, что ваш «уникальный» пароль доступен для поиска. Я лично протестировал все эти сайты, и мой так называемый уникальный пароль не уникален. Всегда меняйте свой пароль каждые 6-12 месяцев, потому что новые данные крадут каждый день и продают.

🤣😍😂 10 лучших бесплатных программ для управления паролями и управления настольными облачными приложениями

Как защитить себя? Современные службы электронной почты и различные учетные записи позволяют вам использовать функцию 2FA, 2FA — это двухфакторная аутентификация или многофакторная аутентификация (MFA) — это дополнительный уровень безопасности, при котором вам необходимо ввести дополнительный 6-значный код безопасности SMS на свой телефон. Включайте эту функцию всякий раз, когда она доступна. Gmail, Hotmail, Yahoo Mail, Facebook, Twitter, Instagram, Amazon и многие другие имеют эту функцию.

Меня взломали? — это сайт, на котором можно проверить, есть ли у вас учетная запись, которая была скомпрометирована в результате утечки данных. Сайт появился после крупнейшего в то время взлома учетных записей клиентов — Adobe. Короче говоря, это обратная поисковая система, которая проверит вашу электронную почту или пароль по огромному списку украденных данных из различных источников. Чтобы узнать, была ли взломана какая-либо из ваших учетных записей, просто найдите свой адрес электронной почты или пароль.

Были ли ваши учетные записи просочены или украдены в результате утечки данных? Узнайте на Firefox Monitor. Найдите их базу данных и подпишитесь на оповещения. Вы будете получать полный отчет о скомпрометированных учетных записях и уведомления каждый раз, когда ваши учетные записи появляются в новых случаях утечки данных. Нарушение данных происходит, когда личная или частная информация раскрывается, украдена или скопирована без разрешения. Эти инциденты безопасности могут быть результатом кибератак на веб-сайты, приложения или любую базу данных, в которой хранится личная информация людей. Нарушение данных также может произойти случайно, например, если чьи-то учетные данные для входа случайно будут опубликованы публично.

DeHashed — это поисковая система по взломанным базам данных, созданная для аналитиков безопасности, журналистов, охранных компаний и обычных людей, чтобы помочь защитить учетные записи и предоставить информацию о нарушениях базы данных и утечках учетных записей. Защитите себя, пока не стало слишком поздно, не ждите, пока вас взломают.

Что вы можете искать? Их передовые системы и огромная база данных позволяют искать IP-адреса, электронные письма, имена пользователей, имена, номера телефонов, VIN-номера, адреса; и что делает их еще более уникальными, так это то, что они позволяют вам изменять пароли поиска, хэши и многое другое!

GhostProject.fr — это самый быстрый бесплатный поиск в базе данных последних 1,4 миллиардов компиляций взлома паролей, GhostProject позволяет вам искать по электронной почте или имени пользователя. База данных была недавно обновлена ​​последним набором данных, и общее количество учетных данных (пары имен пользователей/паролей открытым текстом) составляет 1 400 553 869. Чтобы защитить себя, вам настоятельно рекомендуется прекратить повторное использование паролей на нескольких сайтах и ​​всегда использовать надежные и сложные пароли для различных учетных записей в Интернете. Если возможно, используйте такие программы, как KeePass или двухфакторную аутентификацию, чтобы генерировать надежные пароли и менять их не реже одного раза в год.

Воспользуйтесь этой бесплатной услугой, чтобы узнать, не содержится ли адрес электронной почты в каких-либо взломанных данных из известных нарушений. Получите краткую информацию о том, какая конкретная информация может быть подвержена риску, важные оповещения о личных данных, рейтинг относительного риска и многое другое. Результаты отображаются немедленно — никаких проверок, обновлений или дополнительных шагов не требуется. Адреса электронной почты не сохраняются после анализа.

Проверка пароля поможет вам спасти учетные записи, которые пострадали от утечки данных.
Где бы вы ни входили в систему, если вы вводите имя пользователя и пароль, которые больше не являются безопасными из-за появления в результате утечки данных, известной Google, вы получите предупреждение. Пожалуйста, сбросьте свой пароль. Если вы используете то же имя пользователя и пароль для любых других учетных записей, сбросьте пароль и там.

На высоком уровне Password Checkup должен запросить у Google статус взлома имени пользователя и пароля, не раскрывая запрошенную информацию. В то же время мы должны убедиться, что никакая информация о других небезопасных именах пользователей или паролях не просочится в процессе, а подбор методом перебора исключен. Проверка пароля удовлетворяет всем этим требованиям, используя несколько раундов хеширования, k-анонимность и пересечение частного набора с ослеплением.

Измерьте надежность своего пароля с помощью их средства проверки надежности пароля. Вы также узнаете, подвергался ли ваш уникальный пароль какой-либо известной утечке данных. Средство проверки паролей — это веб-инструмент, который помогает вам оценить надежность вашего пароля. Он анализирует синтаксис вашего пароля и информирует вас о его недостатках. Кроме того, он проверяет базу данных взломанных паролей и помечает, если ваши пароли были скомпрометированы в результате атак методом перебора или атак по словарю.

Узнайте, может ли ваша электронная почта и связанная с ней личная информация попасть в чужие руки. Узнайте, как обеспечить безопасность ваших данных. У их чекера есть 500-гигабайтная база данных хешированных электронных писем, которые просочились.

Как защитить свой аккаунт от взлома!

Как взломать Hotmail Gmail? Вы не можете! Если вам нужно найти в Google информацию о том, как взломать Gmail или Hotmail, скорее всего, вам это неизвестно. Не существует волшебного программного обеспечения с одним нажатием кнопки, которое выполняет такой взлом, кроме того, Google и Microsoft очень серьезно относятся к безопасности, поэтому, если существуют какие-либо ошибки, они немедленно исправляются.

A) Расследование / Недавние действия

Вы когда-нибудь задумывались, имеет ли ваш бывший парень или бывшая девушка доступ к вашей электронной почте или Facebook и тайно входит в вашу учетную запись без вашего ведома? Для тех, кто ищет информацию о том, как выполнить незаконный доступ к чьей-либо учетной записи, имейте в виду, что это незаконно и приведет вас в тюрьму.

Как в Google, так и в Hotmail есть страница активности, на которой указаны дата и время, местоположение, устройства и тип активности. Имейте в виду, что если вы используете мобильное устройство, ваше местоположение может быть ненадежным. Это связано с тем, что службы мобильной связи направляют вашу активность через разные места. Это может создать впечатление, что вы вошли откуда-то, откуда вы не были.

  • Недавно использованные устройства Google — устройства, которые были активны в вашей учетной записи за последние 28 дней или в которые в данный момент выполнен вход. счет в течение последних 30 дней. Это включает в себя каждый раз, когда вы входили в свою учетную запись, использовали ли вы веб-браузер, телефон, приложение электронной почты, стороннее приложение или другой метод.
  • Безопасность и вход в Facebook. Функции входа в Facebook, такие как маркеры доступа и разрешения, делают его безопасным и надежным для использования людьми и приложениями, но есть некоторые меры безопасности, которые приложения должны реализовать сами.
  • Недавняя активность Yahoo. Заметили что-то подозрительное? Измените свой пароль

Вы должны узнать большую часть активности учетной записи в этом разделе. Если вы знаете, что не вы инициировали один из них, или если вы видите подозрительную закономерность (например, многократные попытки входа или изменения профиля, которые вы не вносили), не паникуйте! Вы заходили в интернет-кафе? В вашем офисе используется VPN? VPN переназначит ваше местоположение, поэтому будет казаться, что вы выходите в сеть из другой страны.

B) Удалить Anti-Theft / Trojan Malware / Keylogger

Плохое расставание досадно, особенно если ваш бывший парень или бывшая девушка увлекается компьютерами и имеет легкий доступ к вашему ноутбуку. С помощью нескольких простых легальных программ, таких как средства защиты от краж или родительского контроля, он или она может легко получить доступ к микрофону вашего ноутбука, веб-камере и многому другому. С установленным троянским конем и кейлоггером пароль будет доставлен на его или ее электронную почту, предоставляя ему доступ к вашим личным данным. Вот различные способы защитить себя от того сумасшедшего психопата-психопата, который преследует вас.

Как и нож, его можно использовать для приготовления пищи или убийства. Программное обеспечение для защиты от кражи или инструмент родительского контроля для ноутбуков или мобильных телефонов могут быть использованы с плохими намерениями, они не могут перехватить пароль или логин пользователя, но скриншоты ваших действий могут быть отправлены злоумышленнику по электронной почте, что почти так же хорошо, как потерять ваш пароль. С другой стороны, троян отправляет получателю всю вашу личную информацию, такую ​​как имя пользователя, пароль для входа, данные кредитной карты и действия. Оба одинаково плохи, и с ними нужно разбираться немедленно.

  • 8 Anti Keylogger Rootkit Обнаружение и удаление для необнаруживаемых шпионских программ Компьютерное наблюдение Вредоносное ПО
  • 7 Программное обеспечение для восстановления кражи ноутбуков с отслеживанием местоположения GPS и SpyCam

получить доступ к компьютеру человека, отключить антивирус и установить программу для перехвата пароля. Однако это будет проблемой, если он или она включит мобильное уведомление для новых устройств, входящих в учетную запись.

C) Повысьте безопасность с помощью двухэтапной SMS-подтверждения

Ваш пароль защищает вашу учетную запись. Вы также можете добавить второй уровень защиты с помощью двухэтапной аутентификации, которая отправляет на ваш телефон одноразовый код, который вы должны ввести при входе в систему. Поэтому, даже если кому-то удастся украсть ваш пароль, этого недостаточно, чтобы получить в свой аккаунт. Другая причина активировать двухэтапную проверку заключается в том, что у нас есть привычка использовать один и тот же пароль для всех учетных записей, хакеры, которым удалось взломать другие менее безопасные компании, будут «угадывать» свой путь к вашей учетной записи.

  • Двухэтапная аутентификация Microsoft
  • Двухэтапная аутентификация Google
  • Двухфакторная аутентификация Facebook
  • Двухэтапная аутентификация Yahoo по SMS вы будете получать оповещения о входе в систему в качестве дополнительной функции безопасности. Когда вы включаете оповещения о входе в систему, они будут отправлять вам текстовое сообщение, электронное письмо или уведомление каждый раз, когда кто-то (включая вас) входит в вашу учетную запись с нового места или нового устройства.

    D) Обновить секретные вопросы

    Другой способ получить доступ к вашей учетной записи — правильно угадать ваши секретные вопросы и дату рождения, таким образом, они смогут сбросить ваш пароль. Без двухэтапной SMS-верификации вы потеряете доступ к своим учетным записям. Помните, как большинство пользователей iPhone от Apple из Голливуда были разоблачены из-за своих непристойных фотографий?

    Просто потому, что их секретные вопросы слишком просты, например, где ваше место рождения, какова девичья фамилия вашей матери, как зовут вашего питомца. Будучи знаменитостями, большая часть информации находится на расстоянии 1 Google, поэтому они получили доступ к вашей фотогалерее и скачали все в ваши компиляции.

    Не используйте вопросы по умолчанию, настройте вопрос, и только вы знаете ответ на него. Если возможно, вопрос не должен иметь никакого смысла, а только для вас самих.

    • [Плохой вопрос] Как зовут вашего питомца?
    • [ Неверный вопрос ] В каком году родился твой отец?
    • [ Плохой вопрос ] Какой ваш любимый _____?
    • [ Неверный вопрос ] Как называлась ваша начальная/начальная школа?

    E) Установите антивирус с брандмауэром

    Как защитить себя и не дать хакерам украсть ваш пароль? Даже если никто не имел доступа ко всем вашим учетным записям, нет ничего плохого в том, чтобы установить подлинную копию антивируса с брандмауэром. Всегда подписывайтесь на оригинальное программное обеспечение, избегайте торрентов. Простая причина в том, что хакеры знают, что причина, по которой вы загружаете антивирус, заключается в том, что вы не защищены, поэтому эти «бесплатные» антивирусы из торрента заражены вредоносным ПО.

    Возможно, он не заражен вредоносным или шпионским ПО, с действующим ключом активации вам не разрешено обновлять антивирусное программное обеспечение и, что более важно, базу данных для антивирусного ядра.

    Бесплатный антивирус поставляется со многими ограничениями, в зависимости от поставщика, большинство из них предлагают базовую защиту без брандмауэра. Обновления идут медленно, и, как правило, содержат рекламу. Если о покупке подлинного антивируса не может быть и речи, попробуйте эти 12 бесплатных антивирусов для Windows 10 — альтернатив Microsoft Defender.

    Топ-10 наиболее часто используемых паролей

    Когда дело доходит до безопасности паролей, это очень печальный список. По данным Национального центра кибербезопасности Великобритании, в десятку наиболее часто используемых паролей входят:

    • 123456
    • 123456789
    • qwerty
    • password
    • 1111111
    • 12345678
    • abc123
    • 1234567
    • password1
    • 12345

    Updated On January 2, 2023 / Category: Basic Security And How To Tutorials / Автор: Ngan Tengyuen

    Внутри LeakedSource и его база данных взломанных учетных записей

    Getty Images

    Служба безопасности

    Анонимный и очень секретный «Google утечек данных» предлагает жизненно важную, хотя и противоречивую услугу.

    Сейчас трудно отследить, какие компании были взломаны, а какие нет. Помните взлом FourSquare? А Адоб? Даже бреши, которые были громкими в то время, уходят в тень по мере того, как появляются более крупные и страшные. (Гм, Yahoo.) И если вы не можете вспомнить, что было взломано, вы, вероятно, изо всех сил пытаетесь отследить, какие утечки включали ваши личные данные. Вот тут-то и появляется «Google утечек данных».

    LeakedSource — это служба, которая отправляет уведомления по электронной почте о новых нарушениях и предлагает базу данных информации, украденной в результате взлома. Его основные услуги — возможность подписаться на уведомления по электронной почте и поиск в базе данных — бесплатны, но пользователи могут заплатить за доступ к более продвинутым функциям поиска. LeakedSource также предоставляет платный инструмент для предприятий, чтобы они могли уведомлять пользователей, пострадавших от взлома. Проект стартовал в конце 2015 года, и до 2016 года осталось всего несколько дней, и группа, управляющая LeakedSource, планирует опубликовать еще примерно 100 миллионов записей с «китайского мегасайта», который еще не объявил о взломе, согласно LeakedSource. представитель. Таким образом, общая сумма LeakedSource за год достигнет колоссальных трех миллиардов. В начале 2017 года планируется опубликовать еще 105 миллионов, в общей сложности 20-30 взломанных сайтов.

    Его миссия состоит как в том, чтобы сообщить пользователям, что их информация находится под угрозой, так и в том, чтобы заставить компании раскрывать информацию о скомпрометированных данных, что часто происходит слишком медленно, если вообще происходит. Регистрация данных об утечках также позволяет пользователям (частным лицам или крупным организациям) отслеживать, какие из их учетных записей были скомпрометированы, а какие части их данных постоянно находятся в открытом доступе. По крайней мере, это поможет вам отслеживать, какие пароли вам нужно изменить. Но это также позволяет людям видеть, прыгают ли точки данных, такие как их номера телефонов, в дикой природе, связанные с их именем. Вы предоставляете так много информации службам, с которыми взаимодействуете, иногда даже не осознавая, что вы там размещаете. Необходимо вернуть любой контроль, который вы можете.

    «По общему признанию, может быть утомительно, когда взломанные компании игнорируют вас в 95% случаев и смотрят на базу данных за базой данных», — говорит представитель LeakedSource. «Первоначально мы начали это, потому что люди спрашивали, где они могут увидеть, затронуты ли они XYZ-брешей, но у них не было хорошего ответа, поскольку компании просто не сообщают пользователям о взломах».

    Team Effort

    Небольшая группа анонимных международных участников управляет LeakedSource из нераскрытого местоположения — группа заявляет, что «если никто не знает, кто мы или где находится наш сайт, плохие люди не смогут напасть на нас». Участники используют свои разнообразные навыки, помогая управлять сайтом, администрировать базу данных и анализировать данные. Представитель LeakedSource сказал в отдельном интервью, что некоторые члены группы «имеют другие источники дохода, а другие все еще учатся в школе».

    Некоторые из самых больших сокровищ сайта в этом году включают более 360 миллионов устаревших учетных записей Myspace и более 339 миллионов пользователей, пострадавших от взлома Adult Friend Finder. Это похоже на более полную и более секретную версию книги исследователя Троя Ханта Have I Been Pwned, в которой с 2013 года собрано чуть менее двух миллиардов записей.

    «Хотя этот проект начинался как хобби, сервис, и мы считаем, что информировали большую часть широкой общественности о плохом состоянии интернет-безопасности», — объясняет группа в часто задаваемых вопросах, опубликованных в понедельник. «В качестве дополнительного бонуса мы вынуждаем взломанные компании фактически уведомлять своих пользователей, а не заметать это под ковер, что [мы] достигаем, уведомляя средства массовой информации».

    Самые популярные

    Важно отметить, что LeakedSource заявляет, что публикует только информацию, которая уже находится в открытом доступе в Интернете, и не публикует данные, которые не были опубликованы в других местах. Представитель также сообщил, что LeakedSource не платит за дампы данных. «Более двух миллиардов «наших» записей находятся буквально на расстоянии поиска в Google. Давай, погугли «загрузить базу данных myspace», и она будет, например, в первой пятерке результатов», — говорит представитель. «Все, что мы делаем, это объединяем их в одном удобном месте». Записи, которые не получены из основной сети, исходят от «подпольных групп». На данный момент сервис работает чуть больше года, и LeakedSource сообщает, что до сих пор у него не было никаких взаимодействий с правоохранительными органами.

    Государственная служба (для получения прибыли)

    Однако ее бизнес-модель не лишена противоречий. Группа не только поддерживает базы данных, но и расшифровывает пароли и другие данные, полученные в результате взлома, когда это возможно. В каком-то смысле это делает предложения LeakedSource более полезными как для компаний, так и для пользователей, поскольку позволяет и тем, и другим искать конкретные данные. LeakedSource заявляет, что предлагает этот механизм, чтобы «удовлетворить [пользовательское] любопытство, которое является естественной человеческой тенденцией. Например, если недостаточно того, что мы сообщаем вам, что ваше имя пользователя просочилось из MySpace, за пару долларов мы сообщим вам, КАКОЕ имя пользователя было утечка или какое электронное письмо и т. д.»

    Это также позволяет запрашивать информацию других людей, а также вашу собственную. Для людей, которые чередуют несколько паролей, полезно иметь возможность посмотреть, какой из них был скомпрометирован в результате взлома; таким образом вы знаете, какие другие учетные записи вам нужно настроить и контролировать, а какие можно оставить без изменений. Но предложение такой услуги создает еще один общедоступный канал для потенциальных злоумышленников для доступа к информации, и некоторые в сообществе безопасности утверждают, что LeakedSource получает прибыль от нарушений безопасности, возможно, усугубляя проблемы безопасности, выполняя всю работу по обработке утекших данных.

    «По сути, они пытаются заработать на общедоступной информации таким образом, который, на мой взгляд, способствует преступности», — говорит Джон Миченер, главный научный сотрудник консалтинговой фирмы Casaba Security, занимающейся вопросами безопасности. «Людям очень важно знать, что их взломали, поэтому, если бы [LeakedSource] серьезно относился к общественно полезной части, они могли бы просто отправлять электронные письма на каждое скомпрометированное электронное письмо со словами: «Эй, мы нашли вас в скомпрометированной базе данных». .’ ”

    Представитель LeakedSource говорит, что операционные расходы службы «превышают зарплату большинства обычных рабочих мест, поэтому должен быть какой-то доход, иначе она просто не сможет функционировать».

    Анонимность также породила опасения по поводу ответственности.

    «Есть и другие подобные сервисы, которые, я бы сказал, имеют более высокую репутацию, потому что вы знаете, кто ими управляет, и вы знаете, что они зарабатывают деньги, занимаясь чем-то другим», — говорит Джаред ДеМотт, главный технический директор управляемого охранная компания Binary Defense Systems. «С этим я даже не решаюсь вставлять в него свою электронную почту, потому что я не знаю, кто его запускает и что они делают с этими данными. Я думаю, что, вероятно, поэтому они хотят скрыть, потому что они понимают, что данные, которые они Холдинг находится в очень туманной этической области, хотя в нем есть большая потребность и для него есть рынок».

    Самые популярные

    LeakedSource заявляет, что «ни при каких обстоятельствах» не продает данные о том, что люди ищут на своем сайте. «В отличие от бесплатных веб-сайтов, мы не оплачиваем наши счета вашей информацией, вы здесь не продукт», — говорят в группе. Он также непреклонен в том, что его мотивы совершенно аполитичны. «В наши дни явно опасно для здоровья иметь политическую повестку дня», — сказал представитель, добавив, что, когда люди пытаются передать конфиденциальные данные, такие как правительственная информация, в LeakedSource, группа перенаправляет потенциальных утечек «к более подходящим организации, такие как Wikileaks».

    Чистая прибыль

    Несмотря на недовольство некоторых сторон, у LeakedSource также есть свои покровители. Группа говорит, что в прошлом она сотрудничала с журналистами, чтобы выявить бреши, а не входить в сервисы или исследовать их самостоятельно. И у него даже есть рекламодатель в Netsparker, британской компании, которая разрабатывает сканер безопасности веб-приложений. «Откровенно говоря, даже мы не знаем их имен, — говорит Роберт Абела, менеджер по маркетингу Netsparker. «Но они не делают ничего незаконного, и если они хотят остаться анонимными, это их собственный бизнес-вопрос… Пока они оказывают хорошие услуги сообществу и повышают осведомленность, мы поддерживаем их».

    Это также далеко не единственный сервис, предоставляющий информацию о данных в крупных утечках. Вместо этого это часть того, что, как мы надеемся, является движением по созданию большего количества инструментов, которые помогут потребителям понять статус своих личных данных и почувствовать себя более способными защищать их.

Оставить комментарий

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *