Адрес для входа в РФ: toffler.lol
Гигантская утечка логинов-паролей
19.06.2025 18:30
3336
Комментарии (68)
В сеть утекли 16 миллиардов паролей Apple, Facebook*, Telegram, Google и других сервисов!
Forbes со ссылкой на специалистов в сфере кибербезопасности пишет, что произошла крупнейшая утечка данных в истории. В сеть попали данные 16 миллиардов учетных записей — это информация для входа в систему, включая пароли. В рамках продолжающегося расследования, которое началось в начале года, исследователи предположили, что массовая утечка паролей является работой нескольких хакеров. По словам Вилюса Петкаускаса из Cybernews, чьи исследователи расследуют утечку с начала года, было обнаружено «30 раскрытых наборов данных, содержащих от десятков миллионов до более 3,5 миллиардов записей каждый». В общей сложности, количество скомпрометированных записей достигло 16 миллиардов.
Утечка включает миллиарды учетных данных для входа в социальные сети, VPN-сервисы, порталы разработчиков и другие сайты. Ни один из этих наборов данных ранее не определялся как утекший, все данные — свежие. «Это не просто утечка — это план для массовой эксплуатации. Это свежие, масштабные данные, которые можно использовать в качестве оружия и взлома аккаунтов», — отмечают исследователи. В Forbes призвали немедленно изменить пароли. (Отсюда.)
Я пароли поменял от греха, и вам рекомендую сделать то же самое. Надежный менеджер паролей - наше всё!
Войдите, чтобы оставить комментарий.
"Ищи кому выгодно"
Я пароли поменял от греха, и вам рекомендую сделать то же самое. Надежный менеджер паролей - наше всё!
Насколько я понял, это не утечки, а база собранная троянами, фишингом и малварями у лопоухих пользователей. Скорее всего журналюги путают утечку с фишингом.
Так что пока бздеть рано. Да и вообще самые важные штуки как правило защищены двухфакторкой. Ну утекли, например, мои пароли от Гугла и Телеграма, а как злоумышленник собирается логиниться по ним без моего телефона?
Насколько я понял, это не утечки, а база собранная троянами, фишингом и малварями у лопоухих пользователей. Скорее всего журналюги путают утечку с фишингом.
Так что пока бздеть рано. Да и вообще самые важные штуки как правило защищены двухфакторкой. Ну утекли, например, мои пароли от Гугла и Телеграма, а как злоумышленник собирается логиниться по ним без моего телефона?
А где пруф и ссылки?
Как-то не особо доверительная инфа.
Как-то не особо доверительная инфа.
По три пароля на каждого жителя планеты, не многовато ли?
Не по три пароля, а по три аккаунта на некие сервисы. У меня штук сто аккаунтов, из тех что "живы", а за всю жизнь я создал штук пятьсот.
В панике стал менять пароли на всех 9-ти гугловских аккаунтах. На самых главных все прошло ОК, а на тех, что не так уж и важны - хрен: постоянно возникали ошибки на разных этапах. Ну и х. с ними. Правда, один их них - для Пэйпала, но я им уже лет 8 не пользуюсь.
у меня их сотни! все менять?
Наверное, хотя бы те, которые критично потерять. Для ориентира:
"Утечка объемом в 16 млрд данных, размещённая в нескольких сверхмассивных наборах, включает миллиарды учётных данных для входа в соцсети, VPN, порталы разработчиков и учетные записи пользователей всех основных поставщиков. <…> Большая часть этой информации структурирована в формате URL-адреса, за которым следуют логин и пароль. Эта информация, по словам исследователей, открывает доступ к “практически любому онлайн-сервису, который только можно вообразить, от Apple, Facebook и Google до GitHub, Telegram и различных государственных служб”." (Отсюда.)
"Утечка объемом в 16 млрд данных, размещённая в нескольких сверхмассивных наборах, включает миллиарды учётных данных для входа в соцсети, VPN, порталы разработчиков и учетные записи пользователей всех основных поставщиков. <…> Большая часть этой информации структурирована в формате URL-адреса, за которым следуют логин и пароль. Эта информация, по словам исследователей, открывает доступ к “практически любому онлайн-сервису, который только можно вообразить, от Apple, Facebook и Google до GitHub, Telegram и различных государственных служб”." (Отсюда.)
В РФ все идет к тому, что все пароли исчезнут. Крупные сервисы ненавязчиво опрашивают пользователей, на сколько они возрадуются, если теперь вся авторизация теперь будет происходить через Госуслуги. Специально под это ужесточают законодательство о хранении персональных данных.
Обыватель рад и обеими руками за. Вот только не представляет, какой лютый звиздец ему настанет, если его учетку на Госуслугах заблокируют. Ни банков, ни почты, ни онлайн-бизнеса, ни медицинских услуг, ни такси, ни даже самоката.
Обыватель рад и обеими руками за. Вот только не представляет, какой лютый звиздец ему настанет, если его учетку на Госуслугах заблокируют. Ни банков, ни почты, ни онлайн-бизнеса, ни медицинских услуг, ни такси, ни даже самоката.
... ни покупок онлайн.
Но все равно это произойдет под видом защиты нашей приватности)))
Но все равно это произойдет под видом защиты нашей приватности)))
Обыватель рад и обеими руками за. Вот только не представляет, какой лютый звиздец ему настанет, если его учетку на Госуслугах заблокируют. Ни банков, ни почты, ни онлайн-бизнеса, ни медицинских услуг, ни такси, ни даже самоката.
Или аккаунт на Госуслугах уведут мошенники, что часто случается при дырявой системе безопасности Госуслуг.
В хроме можно проверить, утек пароль или нет.
Если есть сомнение можно запомнить пароль в хроме, потом проверить на утечку, потом из хрома удалить.
Если есть сомнение можно запомнить пароль в хроме, потом проверить на утечку, потом из хрома удалить.
В хроме можно проверить, утек пароль или нет
проверить на утечку, потом из хрома удалить.
Из Гугла оно утечь не могло. В политбюро не дураки сидят. Eсли мы с вами знаем про утечку, у Гугла эта база уже есть и не исключено, что и давно.
"но гуголь про него всё равно уже будет знать"
А он и так типа "знает" если вы пароль в хром вводили или у вас телефон Андройд.
А если у вас все строго Эпл, то наверное такое есть и в Сафари
"но гуголь про него всё равно уже будет знать"
А он и так типа "знает" если вы пароль в хром вводили или у вас телефон Андройд.
А если у вас все строго Эпл, то наверное такое есть и в Сафари
Шансы что были слиты акки с паролями напрямую из сервисов околонулевые.
Facebook*
раз уж вам пофиг на иноагенство, то звездочку ставить не обязательно
А вам не кажется, что это просто подпитка намерения Гугл отказаться от паролей вообще? С недавних пор они же продвигают идеи замены паролей на ключи. И так как пользователи особо не чешутся, их решили искусственно к этому принудить.
Я хреново в этом разбираюсь (я с другого факультета) но сайт Haveibeenpwoned пишет что адрес эл. почты был скомпроментирован еще в январе 2023 года.
Двухфакторка стоит, пароль не 12345)
Что посоветуете, камрады?
Двухфакторка стоит, пароль не 12345)
Что посоветуете, камрады?
Смени, минутное дело. Практического смысла нет, но сон будет спокойней 😉
Вот как раз из клиентских машин, включительно с менеджерами паролей, оно видимо и собрало.
Я так думаю что никакой одновременной утечки не было – исследователи надыбали какие-то массивы данны в даркнете. Мне время от времени горе-исследователи присылают "Ваг сайт потек!" и набор УРЛ-имя-пароль. Чаще всего УРЛы не имеют смысла (нет аутентификации от слова совсем), а если УРД правильный то чаще всего пароль от фонаря. Где то процентов 20 только реальные. Но я четко знаю что у нас это потечь не могло, потому что мы если и храним то, как и все умные люди – только необратимые посоленные хеши паролей. Утечка которых а) ничего не даст, б) восстановить пароль из хеша невозможно. Т.е. эти данные собраны малварью на компах конечных пользователей. Думаю об таких массивах данных речь и идет.
Я так думаю что никакой одновременной утечки не было – исследователи надыбали какие-то массивы данны в даркнете. Мне время от времени горе-исследователи присылают "Ваг сайт потек!" и набор УРЛ-имя-пароль. Чаще всего УРЛы не имеют смысла (нет аутентификации от слова совсем), а если УРД правильный то чаще всего пароль от фонаря. Где то процентов 20 только реальные. Но я четко знаю что у нас это потечь не могло, потому что мы если и храним то, как и все умные люди – только необратимые посоленные хеши паролей. Утечка которых а) ничего не даст, б) восстановить пароль из хеша невозможно. Т.е. эти данные собраны малварью на компах конечных пользователей. Думаю об таких массивах данных речь и идет.
Я так думаю что никакой одновременной утечки не было – исследователи надыбали какие-то массивы данны в даркнете
Our team has been closely monitoring the web since the beginning of the year. So far, they’ve discovered 30 exposed datasets containing from tens of millions to over 3.5 billion records each. In total, the researchers uncovered an unimaginable 16 billion records.
От себя добавлю - мне несколько раз "показывали" таки базы, и много раз пробовали проверить реальные это данные или нет. Ни разу не получилось.
От себя добавлю - мне несколько раз "показывали" таки базы, и много раз пробовали проверить реальные это данные или нет. Ни разу не получилось.
Так утекли после сбора стилером. Менеджер бессилен. Нужно чистить систему.
Я не до конца понял, у всех этих сервисов пароли хранятся в явном текстовом виде, что ли? Т.е. что именно было утащено?
что именно было утащено?
Да нет конечно.
Запрет хранить хоть что то в явном виде рассказывается на первой лекции и повторяется многократно. Т.е. вот не вижу я ситуации когда несколько крупных игроков хранят что то в явном виде и это все уплывает. Быстрее поверю в прилёт инопланетян на базу 51.
Запрет хранить хоть что то в явном виде рассказывается на первой лекции и повторяется многократно. Т.е. вот не вижу я ситуации когда несколько крупных игроков хранят что то в явном виде и это все уплывает. Быстрее поверю в прилёт инопланетян на базу 51.
Да нет конечно.Запрет хранить хоть что то в явном виде рассказывается на первой лекции и повторяется многократно. Т.е. вот не вижу я ситуации когда несколько крупных игроков хранят что то в явном виде и это все уплывает. Быстрее поверю в прилёт инопланетян на базу 51.
Должно быть захэшировано усё, нет? Надо поменять, на всяк сл.
Я не до конца понял, у всех этих сервисов пароли хранятся в явном текстовом виде, что ли?
Впрочем, простительно, он от программирования далек, как декабристы от народа.
не могу подсказать его пароль, а могу только сменить его.
хранить пароли plain text-ом абсолютно недопустимо
хранить пароли plain text-ом абсолютно недопустимо
пароль можно хранить зашифрованным
Никакого обратимого шифрования, только хеш.
Шляпа какая-то. Пароли у Гугла с эпплом хранятся явно не в текстовом виде.
Нет, если я правильно понял эту фразу.
Никакого обратимого шифрования, только хеш.
Я не до конца понял, у всех этих сервисов пароли хранятся в явном текстовом виде, что ли? Т.е. что именно было утащено?
Так даже если вы храните пароли в менеджерах и зашифрованими, в момент копирования и вставки в роле ввода они утекают.
Другой вариант - плагин в браузере, который помимо заявленной функции просматривает каждую открываемую страницу на предмет кредов.
Вот так по крупицам и насобирали.
Т.е. дело не в том, как хранятся пароли, а в том, что многие пренебрегают гигиеной и ставят ПО из стремных источников. А потом креды утекают.
И да, 2FA и биометрия это важно и полезно.
А не из менеджера паролей ли утечка?
P.S. Алекс, огромное спасибо.
P.S. Алекс, огромное спасибо.
Сильно похоже на вброс. Разные компании, все основные игроки на рынке, одновременно....
Всегда не мог понять, а что есть идиоты, кто хранят сами пароли, а не хэши к ним? А толку с этих хэшей при утечке, пароль же все равно не узнаешь?
Хэши взламываются, тут вопрос вычислительных мощностей, сложности пароля и времени.
Хэши взламываются, тут вопрос вычислительных мощностей, сложности пароля и времени.
Всегда не мог понять, а что есть идиоты, кто хранят сами пароли, а не хэши к ним?
А толку с этих хэшей при утечке, пароль же все равно не узнаешь?
Сдаётся мне, что это лишь способ создать панику, а под панику уже, например, рассылать фишинговые письма от якобы гугло-фейсбуков, что - ой, ваш пароль утёк, поменяйте, вот ссылочка...
там утверждается, что в базу содержатся именно пароли, а не какие-то там хеши.
А расскажите мне, как во вменяемые сроки взломать 100 паролей по 8 знаков каждый имея только хэш собранный с солью?
Нет, я серьёзно, вот имея чуточку представления как и что, я не понимаю как и на каких вычислительных мощностях это можно сделать.
Нет, я серьёзно, вот имея чуточку представления как и что, я не понимаю как и на каких вычислительных мощностях это можно сделать.
Первоисточник говорит, что с большой вероятностью это результат кражи с заражённых клиентских машин.
cybernews.com
cybernews.com
Several collections of login credentials reveal one of the largest data breaches in history, totaling a humongous 16 billion exposed login credentials. The data most likely originates from various infostealers.
Хэши взламываются, тут вопрос вычислительных мощностей, сложности пароля и времени.
Первоисточник говорит, что с большой вероятностью это результат кражи с заражённых клиентских машин.cybernews.com
А расскажите мне, как во вменяемые сроки взломать 100 паролей по 8 знаков каждый имея только хэш собранный с солью?
Естественно, что никто не будет взламывать миллиарды хэшей, по крайней мере не сложные пароли (по самым простым могут пройтись).
Ну и в данном случае речь идёт не об утечке хэшей, насколько я понимаю, а об открытых паролях, которые были украдены при помощи всяких троянов.
Вы написали: "Хэши взламываются".
Все современные хэши делают с солью, с допинформацией, которая как раз делает перебор ну вот единственным вариантом. Перебрать 8ми значный с допданными - да вперёд и с песней!
Все современные хэши делают с солью, с допинформацией, которая как раз делает перебор ну вот единственным вариантом. Перебрать 8ми значный с допданными - да вперёд и с песней!
По первой ссылке таблица с шифрованием паролей bcrypt, это современная система шифрования, которая используется практически везде. Соль у неё встроена в хэш, там всё в одной строке.
Более-менее сложный 8-значный пароль никто вскрывать не будет, на это минимум месяцы понадобятся, а то и годы, но если это какой-то популярный пароль (а их часто используют) или пароль состоит только из цифр или букв одного регистра, взломать могут довольно быстро.
Если кому-то попадутся массово хэши и есть ресурсы и желание на их взлом, то просто отловят самые простые, а со сложными заморачиваться не будут (разве что с паролями каких-то известных людей).
PS: повторюсь, в данном случае речь не об утечке хэшей, судя по всему, а о паролях, полученных троянами.
Более-менее сложный 8-значный пароль никто вскрывать не будет, на это минимум месяцы понадобятся, а то и годы, но если это какой-то популярный пароль (а их часто используют) или пароль состоит только из цифр или букв одного регистра, взломать могут довольно быстро.
Если кому-то попадутся массово хэши и есть ресурсы и желание на их взлом, то просто отловят самые простые, а со сложными заморачиваться не будут (разве что с паролями каких-то известных людей).
PS: повторюсь, в данном случае речь не об утечке хэшей, судя по всему, а о паролях, полученных троянами.
ИИ взламывает
Вот мне и непонятно, как они умудрились? Массированная "man-in-the-middle"?
Хэши взламываются, тут вопрос вычислительных мощностей
Толку-то что вы подберёте пароль, подходящий к утекшему хэшу, сервис его посолит и всё пойдёт лесом...
Так это же не хэши паролей хранятся, а хэши солёных(!) паролей (password + salt)! Толку-то что вы подберёте пароль, подходящий к утекшему хэшу, сервис его посолит и всё пойдёт лесом...
Вы подберите не пароль, а некую конструкцию которая представляет собой пароль и допстроку. Теоретически можно из этой информации можно выдернуть сам пароль, если есть понимание как смешан пароль и допстрока.
И дальше есть еще одна тонкость, в данном случае говоря пароль + допстрока, нужно понимать некую последовательность символов, которые при хэшировании дали набор идентичный хэшу, но не факт (!) что это был именно тот самый пароль 😀
ии не взламывает. Там просто генератор.
Так это же не хэши паролей хранятся, а хэши солёных(!) паролей (password + salt)!
ИИ нужен для умного подбора паролей, чтобы не тупо проверять все вариации перебором символов, а сначала проверить какие-то более популярные/вероятные пароли.
Я выше давал ссылку на таблицу времени взлома паролей, зашифрованных bcrypt (это наиболее популярная и современная система шифрования), в bcrypt хэш и соль в одной строке и всё это взламывается. Другое дело, что сложные пароли в 8+ символов взламывать можно годами, но все ли пароли сложные, вот в чём вопрос.
А теперь подробнее пожалуйста. Как подбор по базам работает если хэшировании с солью идёт.
Соль угадывать не надо, она там плейн-текстом хранится. Иначе сам сервер не сможет хэш вычислить, не зная соли.
Да, точно, туплю.
не тупо проверять все вариации перебором символов, а сначала проверить какие-то более популярные/вероятные пароли.
Большое спасибо, Алекс, за информацию, надо будет поменять пароли.
Большое спасибо, Алекс, за информацию, надо будет поменять пароли.
Я пароли поменял от греха, и вам рекомендую сделать то же самое.
