elia 19.10.2018 11:27 пишет: Насколько я помню в форуме пароль хранится в виде хеш-суммы от строки пароль+"соль". "Соль" для каждого аккаунта хранится в таблице аккаунтов в отдельном поле. Сделать реверс, имея хеш-сумму и "соль", сегодня достаточно легко и не напряжно. Но это если меня память не подводит...
Что значит, легко сделать "реверс" из хеша? Т.е., если я дам вам какой-нибудь md5, восстановите мне исходный текст(ы)? Скорее поверю, что никакой не хеш хранится, а сам пароль, слегка xor-нутый . Ну и пользователи молодцы, использовать один пароль для форума и почты нельзя.
Я получил пароли на несуществующие "ящики", которые были созданы для одноразового использования здесь - они не существует и вся почта для них валится на postmaster. Комп давно новый, эти ящики больше ни для чего никогда не использовались. И да - пароли естественно легкие, доступные для метода подбора. Эти ящики могли "уйти" только отсюда.
Всё немного не так. По профильным новостным каналам уже давненько мелькнула информация про такую спамерскую рассылку. Сначала немного валерьянки: никто лично ваш компьютер не взламывал, полгода не шпионил, и фоток с вебкамеры не делал. "Не в этот раз" На самом деле, время от времени проходят взломы разных систем (например, LinkedIn), и оттуда утекают адреса почты, и хеши паролей к этим системам. До вымогательства у юзеров не сразу додумались, но алгоритм простой:
Расшифровать пароль. Брутфорс, радужные таблицы - в общем, не мне вам рассказывать
Отправить письмо жертве с кучей текста, типа "я видел как ты смотришь The biggest archieve of nothing и рукоблудишь. Хочешь - отправилю видео твоей девушке/учительнице в школе/внучке"
После кнута - пряник "за небольшую денежку я сотру всё это"
Профит. Может кто-то и поведется
Вишенка на торте - показать юзеру пароль, который ему знаком. Повышает градус доверия к этой туфте. А если пароль от того сервиса, откуда утекли данные - совпадает с паролем от почты - то это джек-пот хакерам, жертва верит сразу и безоговорочно. Правда, ИМХУется мне, что если могут получить доступ к почте - то такой почтовый адрес с паролем продадут дороже, ну типа как номер кредитки с CVV.
Специально по мотивам таких проишествий - был создан волонтером сайт (который теперь больше похож на рекламную площадку 1Password - но не суть) - на котором можно посмотреть, попадал ли ваш адрес почты в такие "сливы" На английском, но разве ж это проблема? Просто вводите свой адрес почты - и будет видно, мелькал ли ваш адрес в сливах, и если да - то каких, и утекали ли пароли. Я как раз сегодня получил такой же спам про один из своих ящиков, и пароль указан похожий на когда-то использовавшийся - но моя проверка показала что такой пароль с таким адресом у меня не ассоциируется. Уже. И похоже что email утек из LinkedIn- но он давно сменен. Так что - разумные меры предосторожности предпринять стоит, но равть на себе волосы и кричать "Шеф, всё пропало" - ИМХО, преждевременно
Специально по мотивам таких проишествий - был создан волонтером сайт (который теперь больше похож на рекламную площадку 1Password - но не суть) - на котором можно посмотреть, попадал ли ваш адрес почты в такие "сливы" На английском, но разве ж это проблема? Просто вводите свой адрес почты - и будет видно, мелькал ли ваш адрес в сливах, и если да - то каких, и утекали ли пароли.
Да - мои реальные Email утекали в взломах Discus, сайта разработчиков булки и т.д. Но вот проверил один из адресов, который использовался только на автоуа и на которой пришло это письмо от вымогателей
Зверну увагу, що дехто світить e-mail в профілі АвтоУА, а дехто ні. Якщо паролі були прості, або зі словнику цього було достатньо. У мене в профілі е-мейл закритий. Спаму я не отримав. Але в результаті інвентаризації я виявив, що в мене вкрали account до livejorunal, яким я практично не користувався. Пароль на АвтоУА і на Livejournal якійсь час були однакові.
Daugava 19.10.2018 19:21 пишет: Зверну увагу, що дехто світить e-mail в профілі АвтоУА, а дехто ні. Якщо паролі були прості, або зі словнику цього було достатньо. У мене в профілі е-мейл закритий. Спаму я не отримав. Але в результаті інвентаризації я виявив, що в мене вкрали account до livejorunal, яким я практично не користувався. Пароль на АвтоУА і на Livejournal якійсь час були однакові.
Доречі за посиланням вище каже що Вк, я навіть не памятаю паролю але наче той. І такі думаю що точно не з автоуа, фейсбука та гугла. Бо там або 2-фактурна або інше і не співпадало.
Провели проверку - следов взлома и утечки не обнаружено, посторонних файлов нет. Но еще проверим дополнительно. Поменять пароль - на всякий случай лишним не будет.
А можно подробиць додати будь ласка: пароль хєшується чи шифрується? А то згідно заяв на кшталт "декілька поштових скриньок для автоуа і паролі збережені тільки для автоуа стали відомі хакерам" проведені перевірки про відсутність слідів зламу не виглядають заспокійливо.
moderator 19.10.2018 22:38 пишет: Провели проверку - следов взлома и утечки не обнаружено, посторонних файлов нет. Но еще проверим дополнительно. Поменять пароль - на всякий случай лишним не будет.
О, раз уж вы тут Может стоит форум на хттпс перевести? А то скоро приличные браузеры и пускать на него не будут
Раз подняли панику, полез проверить и не зря. Лежало в спаме подобное послание, но почему-то без паролей. Вход на форум не по почте. Но с учетом того что в сети массово это обсуждается, в том числе и на зарубежных ресурсах, на сабж не очень то похоже.
moderator 19.10.2018 22:38 пишет: Провели проверку - следов взлома и утечки не обнаружено, посторонних файлов нет. Но еще проверим дополнительно. Поменять пароль - на всякий случай лишним не будет.
О, раз уж вы тут Может стоит форум на хттпс перевести? А то скоро приличные браузеры и пускать на него не будут
+100%! Давно уже показывает предупреждение о "Небезопасном вводе пароля", страница не использует защищенное соединение и передаваемые данные могут быть перехвачены. Уже практически не осталось сайтов, где форма авторизации без HTTPS. А здесь еще нет
В ответ на: Now i am offering you a single day to transfer me 1000 dollars.
Бяда-пичаль - карами небесными оно грозится разослать якобы мое рукоблудие по спискам друзей во взломанном пейсбуке и клиторе - одна проблема - меня нет ни там, ни там. И да, некоторым хоть некоторое подтверждение присылали в виде паролей присылали, а мне нет, чиста на авось, шо ж за кулцхацкеры такие... Спаму уже месяц как, гора Арарат не пришла.
Пароли на Автоуа хранятся в зашифрованном виде. Следов взлома форума не обнаружено. Письмо - это обычный спам, который вообще не связан с Автоуа. Расходимся )