Насколько я помню в форуме пароль хранится в виде хеш-суммы от строки пароль+"соль". "Соль" для каждого аккаунта хранится в таблице аккаунтов в отдельном поле. Сделать реверс, имея хеш-сумму и "соль", сегодня достаточно легко и не напряжно. Но это если меня память не подводит...
Что значит, легко сделать "реверс" из хеша? Т.е., если я дам вам какой-нибудь md5, восстановите мне исходный текст(ы)? Скорее поверю, что никакой не хеш хранится, а сам пароль, слегка xor-нутый . Ну и пользователи молодцы, использовать один пароль для форума и почты нельзя.
двухфакторна авторизація не ввімкнена?
Я получил пароли на несуществующие "ящики", которые были созданы для одноразового использования здесь - они не существует и вся почта для них валится на postmaster. Комп давно новый, эти ящики больше ни для чего никогда не использовались. И да - пароли естественно легкие, доступные для метода подбора. Эти ящики могли "уйти" только отсюда.
если это было мне адресовано - то сообщаю, что мне пока ничего не приходило, но пароль пошел поменял "про всяк випадок".
Пойду, наверно, и имейл поменяю на какой-то кричащий
И это правильно и, скорее всего, вполне достаточно. Если лазейка на сервер автоуа перекрыта, конечно.
Мне почти одномоментно пришло 5 сообщений таких на рабочий адрес (правда пароли там не указываались)
На адрес который в Автоуа ничено не приходило....
Мне Gmail упорно на всех аккаунтах сует эти письма в спамбокс
Так что делать? Ноутбук в окно выбрасывать?
Ні. Лише Windoze.
Всё немного не так. По профильным новостным каналам уже давненько мелькнула информация про такую спамерскую рассылку. Сначала немного валерьянки: никто лично ваш компьютер не взламывал, полгода не шпионил, и фоток с вебкамеры не делал. "Не в этот раз" На самом деле, время от времени проходят взломы разных систем (например, LinkedIn), и оттуда утекают адреса почты, и хеши паролей к этим системам. До вымогательства у юзеров не сразу додумались, но алгоритм простой:
Расшифровать пароль. Брутфорс, радужные таблицы - в общем, не мне вам рассказывать
Отправить письмо жертве с кучей текста, типа "я видел как ты смотришь The biggest archieve of nothing и рукоблудишь. Хочешь - отправилю видео твоей девушке/учительнице в школе/внучке"
После кнута - пряник "за небольшую денежку я сотру всё это"
Профит. Может кто-то и поведется
Вишенка на торте - показать юзеру пароль, который ему знаком. Повышает градус доверия к этой туфте. А если пароль от того сервиса, откуда утекли данные - совпадает с паролем от почты - то это джек-пот хакерам, жертва верит сразу и безоговорочно. Правда, ИМХУется мне, что если могут получить доступ к почте - то такой почтовый адрес с паролем продадут дороже, ну типа как номер кредитки с CVV.
Специально по мотивам таких проишествий - был создан волонтером сайт (который теперь больше похож на рекламную площадку 1Password - но не суть) - на котором можно посмотреть, попадал ли ваш адрес почты в такие "сливы" На английском, но разве ж это проблема? Просто вводите свой адрес почты - и будет видно, мелькал ли ваш адрес в сливах, и если да - то каких, и утекали ли пароли. Я как раз сегодня получил такой же спам про один из своих ящиков, и пароль указан похожий на когда-то использовавшийся - но моя проверка показала что такой пароль с таким адресом у меня не ассоциируется. Уже. И похоже что email утек из LinkedIn- но он давно сменен. Так что - разумные меры предосторожности предпринять стоит, но равть на себе волосы и кричать "Шеф, всё пропало" - ИМХО, преждевременно
Специально по мотивам таких проишествий - был создан волонтером сайт (который теперь больше похож на рекламную площадку 1Password - но не суть) - на котором можно посмотреть, попадал ли ваш адрес почты в такие "сливы" На английском, но разве ж это проблема? Просто вводите свой адрес почты - и будет видно, мелькал ли ваш адрес в сливах, и если да - то каких, и утекали ли пароли.
Да - мои реальные Email утекали в взломах Discus, сайта разработчиков булки и т.д. Но вот проверил один из адресов, который использовался только на автоуа и на которой пришло это письмо от вымогателей
Зверну увагу, що дехто світить e-mail в профілі АвтоУА, а дехто ні. Якщо паролі були прості, або зі словнику цього було достатньо. У мене в профілі е-мейл закритий. Спаму я не отримав. Але в результаті інвентаризації я виявив, що в мене вкрали account до livejorunal, яким я практично не користувався. Пароль на АвтоУА і на Livejournal якійсь час були однакові.
Зверну увагу, що дехто світить e-mail в профілі АвтоУА, а дехто ні. Якщо паролі були прості, або зі словнику цього було достатньо. У мене в профілі е-мейл закритий. Спаму я не отримав. Але в результаті інвентаризації я виявив, що в мене вкрали account до livejorunal, яким я практично не користувався. Пароль на АвтоУА і на Livejournal якійсь час були однакові.
Доречі за посиланням вище каже що Вк, я навіть не памятаю паролю але наче той. І такі думаю що точно не з автоуа, фейсбука та гугла. Бо там або 2-фактурна або інше і не співпадало.
По профильным новостным каналам уже давненько мелькнула информация про такую спамерскую рассылку.
Провели проверку - следов взлома и утечки не обнаружено, посторонних файлов нет. Но еще проверим дополнительно. Поменять пароль - на всякий случай лишним не будет.
А можно подробиць додати будь ласка: пароль хєшується чи шифрується? А то згідно заяв на кшталт "декілька поштових скриньок для автоуа і паролі збережені тільки для автоуа стали відомі хакерам" проведені перевірки про відсутність слідів зламу не виглядають заспокійливо.
Провели проверку - следов взлома и утечки не обнаружено, посторонних файлов нет. Но еще проверим дополнительно. Поменять пароль - на всякий случай лишним не будет.
О, раз уж вы тут Может стоит форум на хттпс перевести? А то скоро приличные браузеры и пускать на него не будут
Раз подняли панику, полез проверить и не зря. Лежало в спаме подобное послание, но почему-то без паролей. Вход на форум не по почте. Но с учетом того что в сети массово это обсуждается, в том числе и на зарубежных ресурсах, на сабж не очень то похоже.
Провели проверку - следов взлома и утечки не обнаружено, посторонних файлов нет. Но еще проверим дополнительно. Поменять пароль - на всякий случай лишним не будет.
О, раз уж вы тут Может стоит форум на хттпс перевести? А то скоро приличные браузеры и пускать на него не будут
+100%! Давно уже показывает предупреждение о "Небезопасном вводе пароля", страница не использует защищенное соединение и передаваемые данные могут быть перехвачены. Уже практически не осталось сайтов, где форма авторизации без HTTPS. А здесь еще нет
O! Нарыл в спаме аналогичное, но
Now i am offering you a single day to transfer me 1000 dollars.
Бяда-пичаль - карами небесными оно грозится разослать якобы мое рукоблудие по спискам друзей во взломанном пейсбуке и клиторе - одна проблема - меня нет ни там, ни там. И да, некоторым хоть некоторое подтверждение присылали в виде паролей присылали, а мне нет, чиста на авось, шо ж за кулцхацкеры такие... Спаму уже месяц как, гора Арарат не пришла.
Пароли на Автоуа хранятся в зашифрованном виде. Следов взлома форума не обнаружено. Письмо - это обычный спам, который вообще не связан с Автоуа. Расходимся )
Пароли на Автоуа хранятся в зашифрованном виде.
Угу, по сети только передаются в открытом как минимум при каждом логине.
Відповісти
Поперед.
Зміст
Наступ.
Гілками
. Ну и пользователи молодцы, использовать один пароль для форума и почты нельзя.
