LINUX.ORG.RU
ФорумTalks

Хакеры украли пароли 2 млн пользователей ВКонтакте, Одноклассники, Facebook и Twitter

 


0

1

Специалисты по информационной безопасности компании Trustwave обнаружили базу данных с логинами и паролями 2 млн пользователей веб-сайтов Google, Yahoo, Twitter, Facebook, LinkedIn и других различных сервисов. Около 326 тыс. логинов и паролей принадлежат пользователям Facebook, около 60 тыс. - Google, свыше 59 тыс. - Yahoo и около 22 тыс. - Twitter. Также были похищены данные для доступа к FTP-аккаунтам, почтовым ящикам и т.д. В базе данных также находились логины и пароли пользователей, зарегистированных в двух крупнейших российских социальных сетях «ВКонтакте» и «Одноклассники».

о(б)суждали уже?

Ставлю шекель, что это аккаунты ботов и ССЗБ с паролем 123456.

//вследствие чего желтизна в заголовке

SjZ ★★★★★ ()
Последнее исправление: SjZ (всего исправлений: 1)

радость секты

Ахаха, у а-рабов украли пароли к банально-огороженой панели управления их банальными зонтами. Драма.

goingUp ★★★★★ ()

ну хоть одна хорошая новость под конец дня

darkenshvein ★★★★★ ()

А если бы эти люди использовали Линукс, то их пароли и логины в данной базе не оказали.

Reset ★★★★★ ()

Украдена база украденых поролей!

Vit ★★★★★ ()

Только вот не пойму почему все радуются.

drull ★☆☆☆ ()
Ответ на: комментарий от SjZ

Так оно и есть, пароли тупо брутили по словарю. Теперь всем массовым площадкам надо будет ставить ограничения на количество попыток проверки пароля, вот и все.

abraziv_whiskey ★★★★★ ()
Ответ на: комментарий от abraziv_whiskey

Да, вместо угона пароля будет залоченный аккаунт. DoS любого аккаунта маленькими силами — замечательное решение проблемы слабых паролей.

x3al ★★★★★ ()
Ответ на: комментарий от daemonpnz

Если тебе ответят, скастуй меня пожалуйста.

f1xmAn ★★★★★ ()
Ответ на: комментарий от daemonpnz

Не думаю, что это обязательно. 100%, что гугл, пейсбук и прочие уже получили списки скомпрометированных аккаунтов, сбросили им всем пароли и разослали хозяевам письма счастья.

Axon ★★★★★ ()
Ответ на: комментарий от fornlr

едрить! надо отписываться от пистонотегов, ато еще в хацкеры запишут:(

der_looser ★★ ()
Ответ на: комментарий от fornlr

Вряд ли даже одноглазникам может быть настолько пофиг, что они этого не сделали.

Axon ★★★★★ ()
Последнее исправление: Axon (всего исправлений: 1)
Ответ на: комментарий от x3al

Достаточно будет ставить задержку на 1 час. В соцсетях юзеры обычно залогинены месяцами и такого доса не заметят вообще.

provaton ★★★★★ ()
Ответ на: комментарий от x3al

DoS любого аккаунта маленькими силами — замечательное решение проблемы слабых паролей.

Зачем сразу лочить? Сначала потребовать капчу (Гугель, кстати, так и делает... иногда). Потом заблокировать попытки входа с данного IP (или подсети IPv6 какого-нибудь разумного уровня) на час, потом на сутки. В этом случае для перебора паролей понадобятся большие ресурсы.

proud_anon ★★★★★ ()

кому они сдались? )

snaf ★★★★★ ()
Ответ на: комментарий от proud_anon

Потом заблокировать попытки входа с данного IP

Провайдерский NAT. Я же говорю — дешёвая DoS атака. Пытаться перебирать пароли не обязательно.

x3al ★★★★★ ()
Ответ на: комментарий от drull

Вполне возможно, т.к. линуксоиды обычно относятся к безопасности серьезнее.

Они не к безопасности относятся серьезнее, а тешат свою паранойю в большинстве своем. Подход «сейчас я поставлю открытые драйвера, потому что в закрытых ЗАКЛАДКИ и сразу все станет секьюрно» - это просто профанация информационной безопасности.

К безопасности серьезнее относятся специалисты.

Alsvartr ★★★★★ ()
Ответ на: комментарий от x3al

Провайдерский NAT

Это как? Сидя за NAT попытаться задосить аккаунт пользователя того же провайдера? Во-первых, это надо, чтобы один пользователь провйдера чем-то сильно досадил другому, а другой ещё и должен знать, какой аккаунт досить. Во-вторых, сайт может послать владельцу аккаунта на e-mail лог IP, портов отправления пакетов и время подключения, после чего тот может послать жалобу провайдеру. В некоторых странах даже в полицию.

proud_anon ★★★★★ ()
Последнее исправление: proud_anon (всего исправлений: 1)
Ответ на: комментарий от proud_anon

Аккаунты всех пользователей того же провайдера, например. При наличии в ботнете нескольких провайдеров — заметный в глобальных масштабах DoS за копейки. А привлечь кого-то к ответственности только из-за того, что у него троян, нереально. С динамическими ip и бесплатным wifi непонятно, что делать. TOR (который и без этого блокируют везде) опять страдает.

Любая блокировка эндюзера по IPv4 — самая тупая идея, что вообще может прийти в голову. В IPv6 — тем более.

И, опять же, это не решает ни одной проблемы. Сильный пароль и без этого нельзя сломать без взлома сервера.

x3al ★★★★★ ()
Ответ на: комментарий от x3al

Хороший пароль будет перебираться через сеть как минимум миллиарды лет.

Никому не нужны полтора хороших пароля, если за то же время можно сбрутить тысячи плохих.

Sadler ★★★ ()
Ответ на: комментарий от Sadler

Никому не нужен сайт, который из-за попытки брута плохих паролей станет недоступным/неюзабельным для нормальных пользователей.

Брутить тысячи плохих — пожалуйста при условии, что работает защита от ботов (не путать с капчей). В конце концов, если юзер ставит пароль «123456», то защищать его блокировкой потенциально легитимных юзеров — тупо и нереально (рано или поздно его сломают). Блокировка легитимных юзеров == потеря денег.

x3al ★★★★★ ()
Ответ на: комментарий от x3al

Со всем вышеперечисленным я не спорил, комментарий касался лишь пункта о миллиардах лет. Кстати, можно и ограничивать, допустим, после 5 попыток входа. Но, не полностью блокировать вход, а требовать двухфакторной аутентификации. То есть такой гибридный метод. Таким образом, получим а) быстрый вход без ожидания SMS и поиска телефона б) достаточную степень защиты от брута. Конечно, такая фича должна быть опциональной — не люблю насильственные привязки к телефону.

Sadler ★★★ ()
Последнее исправление: Sadler (всего исправлений: 3)
Ответ на: комментарий от aristocraft

Да мне то что? Я вроде не намерен заходить.

SjZ ★★★★★ ()

когда хакеры украдут столько же буржуйских денег из бандитского банка, выпью супу за здоровье

MinasFilm ()
Ответ на: комментарий от aristocraft

Если стащат «отпечаток» браузера, то зайдешь. Круче всего у близзард сделано — аутентификатор требуется на каждый чих.

Reset ★★★★★ ()

Цифры не впечатляют, мягко сказать. На такое и хакать ничего не нужно.

fraxinum ()
Ответ на: комментарий от Reset

Ну тогда и айпи пусть тащат, чего уж. Или дадут исходники вируса и ман по сборке.

aristocraft ()
Ответ на: комментарий от fornlr

Чего чего, а гогна не жалко. =) Хотел посмотреть хакнули ли мою учётку в гуголе =)

daemonpnz ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.