The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Раскрыта информация об утечке учётных записей 98 млн пользователей Rambler

06.09.2016 22:05

Ресурс leakedsource.com, предоставляющий сервис для проверки скомпрометированных учётных записей, получил в своё распоряжение архив параметров пользователей почтового сервиса Rambler. В базе данных содержатся имена/email, пароли и внутренние параметры более 98 млн пользователей Rambler. Утверждается, что данные получены в результате взлома, произошедшего 17 февраля 2012 года. База сохранена в виде SQL-дампа, созданного для MySQL во FreeBSD. Примечательно, что, как и в случае с vk.com, все пароли хранились в открытом виде, без применения хэширования.



  1. Главная ссылка к новости (https://www.leakedsource.com/b...)
  2. OpenNews: В 2012 году взлом Last.fm привёл к утечке хэшей паролей 43 млн пользователей
  3. OpenNews: Крупнейшая утечка хэшей паролей, включающая пароли социальной сети LinkedIn
  4. OpenNews: Утечка мастер-ключа Microsoft скомпрометировала защиту Secure Boot
  5. OpenNews: Взлом инфраструктуры Opera привёл к утечке синхронизированных паролей
  6. OpenNews: Утечка учётных записей 68 млн пользователей Dropbox
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: hack, rambler, password
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (56) Ajax | 1 уровень | Линейный | Раскрыть всё | RSS
  • 1.1, Sluggard (ok), 22:13, 06/09/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +8 +/
    Что такое было в 2012 году? Всех на свете поломали, что ни новость про утечку данных в последнее время — везде 2012 год.
     
     
  • 2.2, Dafe (?), 22:14, 06/09/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    So slooooow....
     
  • 2.3, rshadow (ok), 22:18, 06/09/2016 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Эх времена... в 2012 можно было весь Яндекс с потрахами скачать из http://yandex.ru/.git
     
     
  • 3.11, ФЫВА (?), 00:15, 07/09/2016 [^] [^^] [^^^] [ответить]  
  • +17 +/
    Простите, с чем? С поТРАХами? :3
     
     
  • 4.34, okmijn (?), 12:48, 07/09/2016 [^] [^^] [^^^] [ответить]  
  • +7 +/
    фрейд козёл
     
     
  • 5.55, Аноним (-), 14:05, 08/09/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Зигмунд -- больной на голову человек и мысли у него такие же
     
  • 3.56, Аноним (-), 14:05, 08/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    ничто не выдает так поколение ЕГЭ как такие нелепые опечатки
     
  • 2.4, Аноним (-), 22:22, 06/09/2016 [^] [^^] [^^^] [ответить]  
  • +16 +/
    В декабре 2011 взломали mysql.com и потом была череда с критическими 0-day уязвимостями в MySQL, через которые можно было подсоединиться к БД без знания пароля.

    https://www.opennet.ru/opennews/art.shtml?num=32492
    https://www.opennet.ru/opennews/art.shtml?num=33051
    https://www.opennet.ru/opennews/art.shtml?num=34062

     
     
  • 3.10, Sluggard (ok), 23:17, 06/09/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Спасибо за развёрнутый ответ. Пойду почитаю.
     
  • 2.45, Аноним (45), 18:18, 07/09/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    "Что такое было в 2012 году?"

    Конец света был по календарю майя.

     
     
  • 3.57, Аноним (-), 14:07, 08/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    был конец [b}календаря Майя[/b], а в сознании хомячков -- да, Конец Света, календарь же кончился!
     

  • 1.5, Ilya Indigo (ok), 22:37, 06/09/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    >все пароли хранились в открытом виде, без применения хэширования.

    У меня уже просто нет слов...

     
     
  • 2.8, нимус (?), 22:59, 06/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    дам взаймы: cram-md5
     
     
  • 3.9, Ilya Indigo (ok), 23:13, 06/09/2016 [^] [^^] [^^^] [ответить]  
  • –6 +/
    > дам взаймы: cram-md5

    Хранить в открытом виде и хранить в md5 это одно и тоже.

     
     
  • 4.12, тоже Аноним (ok), 00:38, 07/09/2016 [^] [^^] [^^^] [ответить]  
  • +4 +/
    eaf32cd79e3b0db1aaa9db7d98f046a6
    ef481c2a2d7f37ce940c6087b02527b1
     
  • 3.21, Аноним (-), 09:27, 07/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    хранить пароли в md5 ненадежно, а с использованием потокола cram-md5 более стойкие хеши нельзя будет использовать.
     
  • 3.36, freehck (ok), 13:40, 07/09/2016 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > дам взаймы: cram-md5

    Хранить в открытом виде и хранить в md5 это одно и тоже.

     
     
  • 4.39, тоже Аноним (ok), 14:01, 07/09/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Тогда и к вам аналогичный вопрос:
    eaf32cd79e3b0db1aaa9db7d98f046a6
    ef481c2a2d7f37ce940c6087b02527b1
    А то предыдущий автор вашей фразы что-то отмалчивается...
     
     
  • 5.42, freehck (ok), 16:56, 07/09/2016 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Тогда и к вам аналогичный вопрос:
    > eaf32cd79e3b0db1aaa9db7d98f046a6
    > ef481c2a2d7f37ce940c6087b02527b1
    > А то предыдущий автор вашей фразы что-то отмалчивается...

    А Вы думаете, что сейчас народ ринется брутфорсить ваши хеши только потому, что Вы предложили этот челлендж? Ага, побежали.

    Проблема в том, что в общем-то тут даже чайнику понятно, что если сделать вот так...

    % md5sum <(echo "vamndflgk34jq09tu23238iDAw33HGGFS)dsll:?><d34ddЫЫи3вкфд8333№") | cut -d " " -f1
    0628a0d05cc95c33df5db99b0bd91c5

    ...то Вы можете оббрутфорситься, и ничего из этого не выйдет.

    Проблема md5 для хранения хэша пароля в том, что он вычисляется слишком быстро. Даже если Вы используете соль и перец, чтобы защитить себя от радужных таблиц, взломщик скорее всего потратив незначительное количество вычислительных ресурсов сможет вскрыть хеш, если пароль был не очень длинным (а в большинстве случаев это так).

     
     
  • 6.46, тоже Аноним (ok), 18:29, 07/09/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > А Вы думаете, что сейчас народ ринется брутфорсить ваши хеши только потому, что Вы предложили этот челлендж?

    А я разве что-то предлагал? Я всего лишь положился на ваше заявление:
    > это одно и тоже

    Так разница все-таки есть?

    > Проблема md5 для хранения хэша пароля в том, что он вычисляется слишком быстро
    > если пароль был не очень длинным (а в большинстве случаев это так)

    Так проблема в md5 или проблема в словарных паролях? Кстати, даже "не очень длинный" ищется все-таки на порядки дольше, чем словарный.
    А нормальный пароль можно хэшировать чем угодно, лишь бы хэш был односторонним. И хрен его кто сломает. Если, конечно, какой-нибудь гений не заявит, что это "одно и то же" и не будет хранить его в открытом виде.

    И пока таких гениев (а также лохов, пользующихся словарными паролями) достаточно, нормальные пароли совершенно спокойно можно хранить в md5. А добавив индивидуальную соль, мы получаем, что даже просто короткие пароли перебирать становится нерентабельно.

    Ну, а те, кто пользуется словарными - они сами отказываются от безопасности...

     
     
  • 7.49, freehck (ok), 19:48, 07/09/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Facepalm. Зачем Вы тратите у людей время и вводите их в заблуждение?

    Запомните:
    Хешировать пароли посредством MD5 нельзя. Для подобных нужд существует PBKDF2.
    Соль защищает от радужных таблиц и атак по словарю, не от перебора.
    Односторонних хэшей не бывает. Хэш - необратимая функция по определению.
    Индивидуальной соли не бывает. Соль всегда генерируется для каждого пароля отдельно.

     
  • 6.58, Аноним (-), 14:10, 08/09/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    разница есть, прекращайте ерундой болтать
     
     
  • 7.63, freehck (ok), 16:28, 08/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > разница есть, прекращайте ерундой болтать

    Ох, ну конечно разница есть. Она заключается в том, получит ли кракер 100% паролей ваших пользователей в случае plain text, или всего лишь 99.9% в случае md5 hashed. :)

     
     
  • 8.64, тоже Аноним (ok), 16:40, 08/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Пароли администраторов, например, должны бы попасть в тот остаток 0,1 И возник... текст свёрнут, показать
     
  • 2.13, vantoo (ok), 04:36, 07/09/2016 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Возможно это требование ФСБ.
     
     
  • 3.23, Аноним (-), 09:41, 07/09/2016 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Нет, просто для реализации какой-то там аутентификации то-ли в момент SMTP, то-ли IMAP-POP, серверу нужно иметь пароль юзера в открытом виде, хэши не катят.
     
     
  • 4.24, Ilya Indigo (ok), 09:55, 07/09/2016 [^] [^^] [^^^] [ответить]  
  • –4 +/
    > Нет, просто для реализации какой-то там аутентификации то-ли в момент SMTP, то-ли
    > IMAP-POP, серверу нужно иметь пароль юзера в открытом виде, хэши не
    > катят.

    1 Каким образом упомянутые вами протоколы относятся к социальной сети?
    2 На своём почтовом сервере postfix+dovecot я вполне успешно настраиваю SASL-аутидентификацию, храня пароли в солёной sha512 (ssha512) ЧЯДНТ?

     
     
  • 5.30, Старик (?), 11:36, 07/09/2016 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > Каким образом упомянутые вами протоколы относятся к социальной сети?

    Какое отношение какая-то там социальная сеть имеет к почтовому сервису Rambler?

    >На своём почтовом сервере postfix+dovecot я вполне успешно настраиваю SASL-аутидентификацию, храня пароли в солёной sha512 (ssha512) ЧЯДНТ?

    Нет поддержки SMTP AUTH PLAIN и SMTP AUTH LOGIN, чтож тут непонятного?

     
     
  • 6.50, Ilya Indigo (ok), 20:47, 07/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    >> Каким образом упомянутые вами протоколы относятся к социальной сети?
    > Какое отношение какая-то там социальная сеть имеет к почтовому сервису Rambler?

    Извиняюсь, запутался в ветках про взломы с БД в открытом виде.
    >>На своём почтовом сервере postfix+dovecot я вполне успешно настраиваю SASL-аутидентификацию, храня пароли в солёной sha512 (ssha512) ЧЯДНТ?
    > Нет поддержки SMTP AUTH PLAIN и SMTP AUTH LOGIN, чтож тут непонятного?

    Её действительно нет, так как я сам её отключаю.
    Но если в dovecot прописать
    [code]auth_mechanisms = plain login[/code]
    А в postfix
    [code]broken_sasl_auth_clients = yes
    smtpd_tls_auth_only = no
    [/code]
    То telnet localhost 587
    ehlo localhost
    Всеми любимые строчки
    [code]250-AUTH PLAIN LOGIN
    250-AUTH=PLAIN LOGIN
    [/code]
    При этом механизм хранения паролей остался прежним, так что мне до сих пор не понятно.

     
     
  • 7.52, Старик (?), 08:08, 08/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Да, я поторопился. В PLAIN и LOGIN пароль передаётся под base64, а хранить его в открытом виде совсем необязательно. А вот для CRAM-MD5, как уже писали выше, он нужен.
     

  • 1.6, Аноним (-), 22:46, 06/09/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Может
    https://ru.wikipedia.org/wiki/Heartbleed
    ?
    Возможно она стала известна сильно раньше определенным группам лиц, чем ее заметили те, кто сообщил разрабам ? Примероно в теже перииоды 12-14 годы был вал сообщений об упертой почте с гугло-яндексов. и потом как то сам собой затих.
     
  • 1.7, Michael Shigorin (ok), 22:57, 06/09/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Перечитать, что ли, рамблеровские мемуары Ашманова...
     
     
  • 2.17, Mail (?), 08:01, 07/09/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Лучше что-нибудь из современного. Нынче он жгёт напалмом фашистов с пиндостана и Украины.

    А Рамблер сейчас и Рамблер при Ашманове это разные компании, эпохи, люди.

     
     
  • 3.22, A.Stahl (ok), 09:33, 07/09/2016 [^] [^^] [^^^] [ответить]  
  • +4 +/
    >Нынче он жгёт напалмом фашистов с пиндостана и Украины.

    Умный чувак. Понимает, что только при борьбе с несуществующим противником можно всегда выходить победителем.

     
     
  • 4.33, Michael Shigorin (ok), 12:11, 07/09/2016 [^] [^^] [^^^] [ответить]  
  • –5 +/
    > Умный чувак. Понимает, что только при борьбе с несуществующим противником
    > можно всегда выходить победителем.

    Давно люблю дружески троллить неграмотных доказательством несуществования в общем случае.
    Правда, когда сам отлично знаешь о существовании -- это бывает немного подло...

     
     
     
    Часть нити удалена модератором

  • 6.37, freehck (ok), 13:53, 07/09/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Пошёл ### со своей политотой. Весь ресурс скатился из-за тебя.

    Софт, политика и люди неразрывно связаны. То, что тут всплывают подобные темы -- это хорошо. Не нравится? Ну так Вы в праве идти хоть к чёрту на рога или даже на другой новостной ресурс.

    PS: А также Вы имеете право вечно без толку указывать другим, что делать и куда идти. Только не удивляйтесь, что такие выпады периодически режутся.

     
     
  • 7.40, тоже Аноним (ok), 14:03, 07/09/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Софт, политика и люди неразрывно связаны

    Софт, секс и люди тоже неразрывно связаны. Давайте судачить о бабах, раз такое дело.


     
     
  • 8.41, Аноним (-), 15:41, 07/09/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Давай, в чём проблема ... текст свёрнут, показать
     
     
  • 9.44, Sluggard (ok), 18:10, 07/09/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    В том, что он не в теме будет вообще ... текст свёрнут, показать
     
     
  • 10.47, тоже Аноним (ok), 18:32, 07/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Угадали судачить о бабах - это действительно не мое ... текст свёрнут, показать
     
  • 8.59, Аноним (-), 14:12, 08/09/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    только вот политика как-то поважнее будет, увы, ибо политика дословно -- множе... текст свёрнут, показать
     
     
  • 9.62, тоже Аноним (ok), 15:53, 08/09/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Это она в переводе - множество интересов А должна бы быть продуманным разрулива... текст свёрнут, показать
     

  • 1.15, Аноним (-), 06:34, 07/09/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Мы обнаружили подозрительную активность в вашем аккаунте на Avito.
    В целях безопасности просим вас изменить пароль.
     
  • 1.16, 71349560 (?), 07:51, 07/09/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –5 +/
    Печально все. Поднял свое облако, свою почту, свой XMPP и др... Только с Гугла не спрыгнуть полностью...(
     
     
  • 2.38, freehck (ok), 13:56, 07/09/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Печально все. Поднял свое облако, свою почту, свой XMPP и др... Только с Гугла не спрыгнуть полностью...(

    Аналогично, только с гугла таки спрыгнул. Если чего надо от гугла - так заведите себе там аккаунта-передаста, и с него всё необходимое делайте. Я лично так для себя решил, может и Вам удобно будет.

     

  • 1.25, Аноним (25), 10:09, 07/09/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Хах, за сервис вроде отвечал в то врем всем известный Слоник в Домене.
     
     
  • 2.28, злой уух (?), 11:08, 07/09/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Хах, за сервис вроде отвечал в то врем всем известный Слоник в
    > Домене.

    ще отвечал за разработку новой вебморды, а сломали проприетарщину в бэкенде.

     

  • 1.26, VecH (ok), 10:40, 07/09/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    а где эту базу скачать?
     
  • 1.29, Kroz (ok), 11:27, 07/09/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –6 +/
    Меня вот этот leakedsource.com улыбает.

    То есть ты делаешь сайт на котором даже не нужно не никаких баз данных паролей. Потом пиаришь его на предмет "Проверьте, был ли скомпрометирован ваш пароль". Далее идет наплыв пользователей, которые искренне вводят свои пароли на твоем сайте, а ты просто пополняешь свою базу данных...

    Это мне напоминает кейсы, когда звонят "из банка" и спрашивают пин-код для якобы каких-то проверок...

     
     
  • 2.31, Аноним (-), 11:40, 07/09/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > скомпрометирован ваш пароль". Далее идет наплыв пользователей, которые искренне вводят
    > свои пароли на твоем сайте, а ты просто пополняешь свою базу
    > данных...

    На leakedsource.com проверка по email и логину, никаких вводов пароля там нет.

     
  • 2.32, Старик (?), 11:41, 07/09/2016 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Хорошо лужи газируешь, качественно.
    Хоть бы заглянул на сайт предварительно… Ну так, для разнообразия…
     

  • 1.43, trdm (ok), 17:15, 07/09/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Хотел поржать, потом посмотрел свою БД и к стыду своему обнаружил пароли не в хешированном виде...
     
     
  • 2.48, тоже Аноним (ok), 18:37, 07/09/2016 [^] [^^] [^^^] [ответить]  
  • +3 +/
    По некоторым косвенным признакам такие сайты можно вычислить даже удаленно.
    Например, если этот сайт пароль на 36 символов не принимает или зарезает.
    Или вводит идиотские ограничения типа "у вас нет заглавных букв и цифр".
    Ведь в пароле "pf,jlfqvtyzrjvfh" явно не хватает заглавных цифр!
     
     
  • 3.53, Старик (?), 08:33, 08/09/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А ещё на сайты с такими базами хорошо указывает направление ветка на Марсе.
    Если ограничение на длину пароля ещё может вызвать какие-то подозрения, то уж требование к регистру, наличию цифр и др. символов тут совсем не к месту.
    И да, «забодайменякомар» не такой уж и хороший пароль.
     
     
  • 4.54, тоже Аноним (ok), 11:54, 08/09/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Требования, что характерно, часто встречаются именно на сайтах "с душком".
    Вменяемый разработчик вполне может ограничиться рекомендациями.
    Чисто психологически, более грамотный человек предполагает большую грамотность у других... и наоборот.
     
     
  • 5.61, Аноним (-), 14:20, 08/09/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Чисто психологически, более грамотный человек предполагает большую грамотность у других...
    > и наоборот.

    если бы все было так просто, то я был бы сверхграмотен :)

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    MIRhosting
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру