16 миллиардов паролей в открытом доступе. Ваш — тоже

Нафиг ты какой-то мусор сюда в очередной раз притащил?

Эти базы вида «50 миллиардов новых паролей» - баян которому уже лет 10.

Слишком желтая новость? Seclab же не постеснялся написать. Или база - компиляция давно известных утечек?

Да какая разница? Одной базой больше, одной меньше. У домохозяек крали, крадут и будут красть пароли в промышленных масштабах. Их даже уже не пытаются парсить и приводить в удобный вид, вываливают скопом подборку рандомного хлама и складывают количество строк.

Без ссылки «Проверить свой логин и пароль» так себе новость

Понятно, что там может быть куча дублирующихся записей, но даже если реальный размер базы на порядок меньше - это очень серьезная утечка.

Там вообще фейковые данные могут быть. А если нет, настолько масштабная утечка вызывает большие вопросы каким образом.

Я не нашел, где можно проверить. Вроде дельцы в даркнете торгуют этой компиляцией уже несколько месяцев. Наверное журналисты купили ее и сделали новость. Но чтобы сделать сайт с проверкой онлайн, нужен серьезный хостинг.

Вода - она такая, мокрая.

Если создаёшь учётку где угодно, то проще жить, когда ожидаешь утечку завтра. Отдельный вебсайт - отдельный рандомный генерированый пароль.

Не важно, сколько в ней записей. Вероятность попасть в такую базу зависит не от того, какой у неё размер, а от того, устанавливал ли ты себе вирусы и прочий вредоносный софт. А базы с десятками миллиардов чьих-то паролей уже были, уже всем пофиг кроме графоманов которые новости про это строчат.

Если ты сделаешь такой сайт то потом тоже сможешь продавать базу слитых паролей нубов. Всё окупится.

Без ссылки «Проверить свой логин и пароль» так себе новость

Для проверки компрометации Вашего логина и пароля пожалуйста перейдите на наш сайт, в строке «сервис» впишите название проверяемого сервиса, а в строках «логин» и «пароль» введите Ваши логин и пароль соответственно. 😄

Ну да, если бы например журналисты Forbes, которые тоже опубликовали эту новость, сделали на своем домене сервис для проверки, возможно им и можно было бы воспользоваться

а от того, устанавливал ли ты себе вирусы и прочий вредоносный софт.

Можеть быть уязвимость в веб-браузере типа этой
https://securelist.ru/operation-forumtroll/112138/

У них лапки. А у кого не лапки, те этими нелапками тут же хапнут то, что им надо. Фаталити...

Кто-нибудь ссылку даст на эту базу?

Что-то подумалось: А если нашли уязвимость в процедуре смены пароля? Ну там скомпрометировали Oauth2 серваки. Или госдеп решил пересчитать все аккаунты из подсанционных стран, которые регились когда-то, или регились через другие страны, ну и запустили новость о сливе.

Предлагаю в комментах выкладывать свои пароли от ЛОРа, чтобы проверить, не утекли ли они.

надо было ставить SecretNet и Касперского сертифицированного и не было бы проблем! атвичаю! как спесиалист по ИБ!

Без ссылки «Проверить свой логин и пароль» так себе новость

Мне скинь, я поищу.

Вероятность попасть в такую базу зависит не от того, какой у неё размер, а от того, устанавливал ли ты себе вирусы и прочий вредоносный софт.

Не обязательно устанавливать себе вирусы! Например, пару дней назад была статья на хабре про Битрикс, который 11 лет передавал персональные данные пользователей за границу в Ирландию. Причем утечка шла напрямую с компа пользователя через загружаемый js-файл, замаскированный под web-аналитику.
А вы проверяете, кому и что шлет ваш браузер при заходе на какой-либо корпоративный сайт с регистрацией?

Вероятность попасть в такую базу зависит не от того, какой у неё размер, а от того, устанавливал ли ты себе вирусы и прочий вредоносный софт

Еще скажи, что если не молился перед каждым входом, то сам виноват.

Господи,
сохрани мой пароль от чужих глаз,
и личные данные — от злого умысла.
Даруй мне внимательность и мудрость
в работе с технологиями.
Пусть мои аккаунты будут в безопасности,
а душа — спокойна.
Аминь.

Львиная доля утечек – по вине сервисов, в которых у тебя учётки. Заказал сраные роллы в местной сушильной, бах, через неделю твои данные уже в открытом доступе выложены.

Если есть открытый код, почему не может быть открытых паролей? Я считаю, пользователи должны обмениваться паролями, а не переизобретать велосипеды поодиночке.

Если есть открытый код, почему не может быть открытых паролей?

Все украдено до нас!

Public Key (открытый ключ) — это часть криптографической системы с асимметричными ключами, используемой для шифрования, проверки цифровых подписей и аутентификации. В отличие от закрытого ключа (Private Key), Public Key доступен всем и служит для взаимодействия с владельцем соответствующего закрытого ключа.

Можно было бы в таком сервисе хэши для логина публиковать. sha512, например. Но ведь мало, кто осилил бы проверку тогда.

Это не «рециклинг» — это живой, актуальный массив для киберэксплуатации.

А подтвердили они это…А ничем они это не подтвердили, похоже.

Львиная доля утечек – по вине сервисов, в которых у тебя учётки. Заказал сраные роллы в местной сушильной, бах, через неделю твои данные уже в открытом доступе выложены.

гугл, эппл - как-то они не похожи на местную сушильню, а если верить инфе, с них очень много утекло.

16 миллиардов строк с логинами и паролями

А вот меня интересует один простейший вопрос → ну ведь всегда же хранится не сам пароль, а его хэш. Вот пошёл ты в спринге, например, авторизацию пилить, и он по-другому-то даже и не умеет ЕМНИП, потому что это простейшая истина.

Как тогда утекают именно строки самих паролей, причем ещё и от таких крупных систем? Или там настолько дерьмокод, что хранятся просто пароли в виде строк?

Интересно. Если я сгенерирую 50 млн строчек паролей и выложу в открытый доступ. Это можно будет считать утечкой?).

Как проверить реальны эти пароли или нет? И какая разница если сейчас любой банкинг и сосательные сети привязаны к телефону.

Ну да. Вводишь такой пароль при регистрации, а тебе говорят. Этот пароль уже используется пользователем name

Вы уверены, что пароли от Гугла утекли именно из Гугла? В оппосте же говорится, что много паролей утекает с пользовательских машин.

То ли ещё будет, ой, ой, ой.

А это я читаю не тем местом. Понял, спасибо.

...пароли от Гугла утекли именно из Гугла?

Why, собственно, not?

Вероятно, часть информации принадлежала киберпреступникам, а другая — могла быть собрана исследователями или агрегаторами утечек. В любом случае, такие массивы дают преступникам мощный инструмент для масштабных атак.

Ну не ЦРУ же их собирает, действительно. Как мы могли такое подумать.

Как тогда утекают именно строки самих паролей, причем ещё и от таких крупных систем? Или там настолько дерьмокод, что хранятся просто пароли в виде строк?

Почитал исходные сообщения об утечках. Предполагают, что программы-стилеры их стащили, т.е., пароли ушли с затрояненных устройств. Но это тоже странно, конечно винду с телеметрией можно считать одним большим трояном, но все же.

Ну вряд ли из ЦРУ такая утечка, хотя это было бы прикольно.

Они нашли открытый elastic и не знают, чей он. Не знают или не хотят знать?

Но это тоже странно, конечно винду с телеметрией можно считать одним большим трояном, но все же.

Ну, допустим, винда всё-таки сливает все только МС, и там все надёжно хранится. Допустим.

А вот насчет троянов… Мы сейчас будем исходить из того, что все вокруг имеют такой же уровень компьютерной грамотности и гигиены, как у нас на этом форуме у большинства. Но это не так, среднестатистический юзер вообще его не имеет, ставит всякий шлак (что винда, например, позволяет делать вообще без всяких проблем) и вообще не понимает, что пароль сложнее 1234 не должен быть.

Я не нашел, где можно проверить.

Я храню пароли в яндекс барузере. У него есть функция проверки паролей на утечку. У меня только один утёк, который я использую для мусорных регистраций. Основные пароли в порядке.

Я храню пароли в яндекс барузере. У него есть функция проверки паролей на утечку.

Бытует мнение, что оно вообще сразу утекает к Яндексу и товарищу майору :)

А как он, простите, проверяет пароли на утечку? Вот физически.

Ну не ЦРУ же их собирает, действительно. Как мы могли такое подумать.

То ЦРУ с ноги открывает любые двери и сливает данные напрямую у гугла и фейсбука, то вдруг им понадобилось воровать пароли от каждой kisski_1998 с хомячьих локалхостов. Вас, экспертов по иностранным разведкам, не понять.

Мы не эксперты по международным разведкам. Мы стебём тот факт, что исследователи даже не упомянули спецслужбы в своём перечислении. У них там белое пятно, блок.

А как он, простите, проверяет пароли на утечку? Вот физически.

У него на сервере есть база хешей утёкших паролей, полученных в том числе и через вот такие утечки. На стороне клиента формируются такие же хэши и хвост хэша отправляется на сервер. Если хвост совпал, полный хэш отправляется с сервера на клиента, где уже сравниваются полные хэши. Если полные хэши совпали, значит пароль утёк.

Это по рассказам, потому что код браузера закрыт.

Белое пятно в чужом глазу хорошо заметно, факт. А то, что отважно осуждаемая «международная разведка» это всегда только ЦРУ и еще одна-две организации - это не блок, это другое.

Яндекс божится, что у них хитровыделанная система и они не знаю пароли даже если идёт синхронизация между устройствами через их сервера.

Пароли он проверяют через сверку хэшей. Это лучше, чем проверять на всяких васянских сайтах, где просят ввести свой пароль, чтобы проверить утёк он или нет. Утечёт сразу после ввода.

Можно было бы в таком сервисе хэши для логина публиковать.

Тогда уже хеш триплета (сервис+логин+пароль)

Вот интересный пароль (не имеет к моему аккаунту никакого отношения)

961649507273

Погуглите

Интересно, как к этому паролю подбирали адрес электронной почты. Обратный брут-форс?

seclab давно уже не тот

Не, моего там нет. Только что проверил через HIBP.

Больше чем численность населения. Может это не для нашей планеты?

допустим мои пароли к лору, к почте и к вконтакту (которого у меня нет) украли. и что же в этом страшного?