Опубликована база с 320 млн уникальных паролей (5,5 ГБ)
Проверка аккаунтов на живучесть
Одно из главных правил при выборе пароля — не использовать пароль, который уже засветился в каком-нибудь взломе и попал в одну из баз, доступных злоумышленникам. Даже если в вашем пароле 100500 символов, но он есть там — дело плохо. Например, потому что в программу для брутфорса паролей можно загрузить эту базу как словарный список. Как думаете, какой процент хешей она взломает, просто проверив весь словарный список? Вероятно, около 75% (реальную статистику см. ниже).
Так вот, откуда нам знать, какие пароли есть у злоумышленников? Благодаря специалисту по безопасности Трою Ханту можно проверить эти базы. Более того, их можно скачать к себе на компьютер и использовать для своих нужд. Это два текстовых файла в архивах: с 306 млн паролей (5,3 ГБ) и с 14 млн паролей (250 МБ).
Базы лежат на этой странице.
Все пароли в базе представлены в виде хешей SHA1. Перед хешированием все символы переведены в верхний регистр (прописные буквы). Трой Хант говорит, что применил функцию HASHBYTES, которая переводит хеши в верхний регистр. Так что делая свой хеш, следует осуществить аналогичную процедуру, если хотите найти совпадение.
Прямые ссылки:
https://downloads.pwnedpasswords.com/passwords/pwned-passwords-1.0.txt.7z
(306 млн паролей, 5,3 ГБ), зеркало
SHA1 hash of the 7-Zip file: 90d57d16a2dfe00de6cc58d0fa7882229ace4a53
SHA1 hash of the text file: d3f3ba6d05b9b451c2b59fd857d94ea421001b16
В разархивированном виде текстовый файл занимает 11,9 ГБ.
https://downloads.pwnedpasswords.com/passwords/pwned-passwords-update-1.txt.7z
(14 млн паролей, 250 МБ), зеркало
SHA1 hash of the 7-Zip file: 00fc585efad08a4b6323f8e4196aae9207f8b09f
SHA1 hash of the text file: 3fe6457fa8be6da10191bffa0f4cec43603a9f56
Если вы глупы бесстрашны, то на той же странице можете ввести свой уникальный пароль и проверить его на наличие в базах, не скачивая их. Трой Хант обещает, что никак не будет использовать ваш пароль и его сервис абсолютно надёжен. «Не отправляйте свой активно используемый пароль ни на какой сервис — даже на этот!», — предупреждается на странице. Программные интерфейсы этого сервиса полностью документированы, они принимают хеши SHA1 примерно таким образом:
Но всё равно надёжнее проверять свой пароль в офлайне. Поэтому Трой Хант выложил базы в открытый доступ на дешёвом хостинге. Он отказался сидировать торрент, потому что это «затруднит доступ людей к информации» — многие организации блокируют торренты, а для него небольшие деньги за хостинг ничего не значат.
Хант рассказывает, где он раздобыл эти базы. Он говорит, что источников было много. Например, база Exploit.in содержит 805 499 391 адресов электронной почты с паролями. Задачей Ханта было извлечение уникальных паролей, поэтому он сразу начал анализ на совпадения. Оказалось, что в базе всего лишь 593 427 119 уникальных адресов и лишь 197 602 390 уникальных паролей. Это типичный результат: абсолютное большинство паролей (в данном случае, 75%) не уникальны и используются многими людьми. Собственно, поэтому и даётся рекомендация после генерации своего мастер-пароля сверять его по базе.
Вторым по величине источником информации был Anti Public: 562 077 488 строк, 457 962 538 уникальных почтовых адресов и ещё 96 684 629 уникальных паролей, которых не было в базе Exploit.in.
Остальные источники Трой Хант не называет, но в итоге у него получилось 306 259 512 уникальных паролей. На следующий день он добавил ещё 13 675 934, опять из неизвестного источника — эти пароли распространяются отдельным файлом.
Так что сейчас общее число паролей составляет 319 935 446 штук. Это по-настоящему уникальные пароли, которые прошли дедупликацию. Из нескольких версий пароля (P@55w0rd и p@55w0rd) в базу добавляется только одна (p@55w0rd).
После того, как Трой Хант спросил в твиттере, какой дешёвый хостинг ему могут посоветовать, на него вышла известная организация Cloudflare и предложила захостить файлы забесплатно. Трой согласился. Так что смело качайте файлы с хостинга, это бесплатно для автора.
7 сервисов для проверки аккаунтов на утечки и взломы
Чтобы в этом убедиться воспользуйтесь специальными сервисами. Быть может ваш сложный и уникальный пароль уже стал достоянием общественности.
Have I been pwned?
Одним из самых известных сервисов для проверки аккаунтов на утечки является Have I Been Pwned. Сайт был создан после одной из крупнейших утечек клиентских аккаунтов в истории – в октябре 2013 года были украдены данные 153 миллионов учетных записей Adobe. Have I been pwned представляет собой реверсивную поисковую систему, которая проверяет наличие вашей электронной почты или пароли в огромной базе данных взломанных паролей. Просто введите свой адрес почты или пароли, и сервис покажет, фигурировали ли ваши данные в известных утечках.
Firefox Monitor
В 2018 году организация Mozilla запустила свой собственный сервис Firefox Monitor для проверки учетных данных на утечки. Вы можете просто использовать поиск по базе данных взломанных паролей или зарегистрироваться, чтобы получать предупреждения при появлении информации о новой утечки. Нарушения конфиденциальности данных происходят, когда личная информация раскрывается, перехватывается или копируется без вашего разрешения. Подобные инциденты безопасности могут быть результатом кибератак на сайты, сервисы и приложения, которые хранят пользовательские данные.
DeHashed
DeHashed – сервис поиска по базе взломанных и украденных персональных данных, который создан для экспертов по безопасности, журналистов, технологических компаний, а также для обычных пользователей, которые хотят защитить свои аккаунты и своевременно узнавать об утечках.
В DeHashed вы можете выполнять поиск по IP-адресам, адресам электронной почты, логинам, телефонным номерам, VIN номерам, домашним адресам др. Сервис предлагает реверсивный поиск по паролями, хеш-суммам и другим типам данных.
GhostProject
GhostProject.fr – бесплатный поиск по базе из 1,4 миллионах скомпрометированных учетных данных. База постоянно обновляется и пополняется новыми данными. Чтобы защитить себя, сервис рекомендует отказаться от повторяющихся паролей и использовать только сложные пароли для различных аккаунтов. По возможности следует использовать специализированные приложения, такие как KeePass и включить двухфакторную аутентификацию.
Password Checkup от Google
В феврале 2019 года компания Google выпустила расширение под названием Password Checkup. Оно уведомляло пользователей о том, что их учетные данные от какого-либо сайта фигурировали в инцидентах со взломом или утечкой данных. Логины и пароли проверялись в базе данных из 4 миллионов известных взломанных учетных данных. В октябре Google представила инструмент Проверка паролей для аккаунтов Google. Начиная с Chrome 79 данный функционал встроен непосредственно в браузере, что делает расширение неактуальным.
Теперь, при входе в свою учетную запись на сайте, Chrome будет отправлять хешированную по SHA256 копию учетных данных в Google. Данные будут зашифрованы с использованием секретного ключа (даже Google не сможет просматривать ваши логины и пароли). Google будет использовать несколько уровней шифрования с помощью техники Private Set Intersection (PSI) для сравнения вашего логина и пароля со взломанными учетными данными, которые в свою очередь хранятся в зашифрованном виде. Если пароль или логин были украдены, то Chrome предложит изменить пароль.
Включить или отключить данную функцию можно в настройках Chrome в разделе Конфиденциальность и безопасность > Безопасность ( chrome://settings/security ) с помощью переключателя Сообщать, если пароли были раскрыты в результате утечки данных.
BreachAlarm
BreachAlarm является одним из главных конкурентов Have I Been Pwned. Сервис позволяет проверять электронную почту на утечки бесплатно, а на платной основе вы можете подключить автоматическое оповещение об утечках и дополнительные услуги.
Цена в 30 долларов в год будет адекватной для владельцев коммерческих аккаунтов, малого бизнеса или большой семьи. Никаких ограничений на проверку данных для подписчиков не предусмотрено.
Sucuri Security Scanner
Sucuri Security Scanner использует свои собственный подход – сервис позволяет проверять целые сайты на различные уязвимости, наличие в черных списках и на хакерские атаки. Это идеальный инструмент для блогеров и онлайн-бизнеса. Его лучше использовать совместно с другими сайтами по проверки аккаунтов на утечки.
Как работают подобные сайты
Сервисы поиска взломанных логинов и паролей, как правило, обрабатывают информацию из других источников, которые используются для обмена украденной информацией. В качестве таких источников выступают Pastebin, специализированные форумы, ресурсы в Даркнете и другие популярные среди хакеров площадки. Сервисы проверки используют эту информацию в благородных целях – чтобы предупредить пользователя об утечках и порекомендовать ему изменить логин и пароль.
К сожалению, в сети можно найти несколько мошеннических сайтов, которые просто собирают вашу электронную почту и пароли для будущих попыток взломов. Используя непроверенный инструмент, вы подвергаете свои данные дополнительным рискам, что может привести еще к более серьезным нарушениям данных.
К примеру, в мае 2016 года завершил существование сервис PwnedList, который предлагал проверить наличие своих данных в огромной базе скомпрометированных данных, насчитывающей сведения о более 866 миллионах аккаунтов. Как оказалось, сервис имел серьезные уязвимости, позволяющие киберпреступниками выполнять мониторинг новых утечек для любого домена.
masterok
masterok Мастерок.жж.рф
Хочу все знать
Вы наверное в курсе, что недавно в Интернет утекли 772 904 991 уникальных электронных писем и 21 222 975 уникальных паролей. Не редкий случай, но в этот раз действительно в руки хакеров попала большая база. Многие СМИ про это писали.
Впервые об этом нарушении сообщил Трой Хант, исследователь безопасности, который руководит сайтом «Have I Been Pwned» (HIBP). Он и организовал сервис, на котором можно проверить, есть ли ваша почта или ваш сайт в этой огромной базе.
Может стоить сменить пароль?
Свой е-майл можете проверить это на сайте HIBP здесь. А так же можно проверить комбинацию пароля, присутствует ли она в базе украденных паролей.
Почему стоит проверить свой пароль. Что же это значит для обычного человека?
По словам Ханта, это означает, что скомпрометированные комбинации электронной почты и паролей более уязвимы. По сути, заполнение учетными данными – это когда взломанные комбинации имени пользователя или электронной почты/пароля используются для взлома других учетных записей пользователей. Это может повлиять на любого, кто использовал одно и то же имя пользователя и пароль на нескольких сайтах. Это касается того, что нарушение Коллекции № 1 содержит почти 2,7 миллиарда комбинаций. Кроме того, около 140 миллионов электронных писем и 10 миллионов паролей из Коллекции № 1 были новыми для базы данных HIBP Ханта – это означает, что они не относятся к ранее сообщенным утечкам.
Хакеры выложили в интернет 82 млрд паролей: как проверь свой email на взлом?
В интернете появился документ с 82 млрд паролей. Выяснилось, что только 8.5 млрд из них являются уникальными. Но даже эта цифра огромна. Это крупнейшая утечка паролей в истории.
Базу данных с паролями опубликовали на популярном хакерском форуме. Документ размещен в виде TXT-файла и весит 100 Гб. Всего в нем содержится 8 459 060 239 уникальных паролей длиной 6–20 символов.
Хакер, опубликовавший пароли, назвал себя «RockYou2021». Тут прослеживается определенная связь с утечкой данных RockYou, которая произошла в 2009 году. Тогда в сеть утекли 32 млн паролей.
Слитая база паролей действительно огромна. Ведь, по оценкам экспертов, насчитывается 4.7 млрд пользователей интернета. А это значит, что на каждого приходится по 2 опубликованных пароля. Потенциально это ставит под угрозу любого из нас. Хакеры могут использовать опубликованную информацию с ранее слитыми данными. Например, имена, адреса электронной почты и пароли. С помощью подбора можно осуществить множество атак на аккаунты юзеров.
Более того, многие люди используют одинаковый пароль на нескольких сервисах, что делать крайне нежелательно. Потенциально атакованными могут быть миллионы или даже пользователей по всему миру.
Мы рекомендуем в срочном порядке проверить, слит ли ваш пароль в сеть. Для этого воспользуйтесь сервисом по этой ссылке — https://cybernews.com/personal-data-leak-check/.
Нужно написать адрес электронной почты или номер телефона, а затем нажать «Check Now».
После чего сервис покажет, есть ли в интернете слитые пароли вашего аккаунта или нет.
Так выглядит уведомление о том, что пароль слит в сеть:
Так выглядит уведомление о том, что паролей от этой электронной почты в интернете нет:
Если вы получили первое уведомление (о наличии пароля в интернете), рекомендуем в кратчайшие сроки изменить его. Если пароль в сеть не слит, рекомендуем проверить еще раз через пару дней, поскольку новая база данных еще может быть не подгружена на этот сервис.
Также мы рекомендуем:
Никогда не переходите по ссылкам, которые кажутся вам подозрительными. Особенно если их прислал незнакомый вам человек.
Где выгоднее покупать биткоин? ТОП-5 бирж
Для безопасной и удобной покупки криптовалют с минимальной комиссией, мы подготовили рейтинг самых надежных и популярных криптовалютных бирж, которые поддерживают ввод и вывод средств в рублях, гривнах, долларах и евро.
Надежность площадки в первую очередь определяется объемом торгов и количеством пользователей. По всем ключевым метрикам, крупнейшей криптовалютной биржей в мире является Binance. Также Binance самая популярная криптобиржа в России и на территории СНГ, поскольку имеет наибольший оборот денежных средств и поддерживает переводы в рублях с банковских карт Visa/MasterCard и платёжных систем QIWI, Advcash, Payeer.
Специально для новичков мы подготовили подробный гайд: Как купить биткоин на криптобирже за рубли?
Рейтинг криптовалютных бирж :
| # | Биржа: | Cайт: | Оценка: |
|---|---|---|---|
| 1 | Binance (выбор редакции) | https://binance.com | 9.7 |
| 2 | Bybit | https://bybit.com | 7.5 |
| 3 | OKEx | https://okex.com | 7.1 |
| 4 | Exmo | https://exmo.me | 6.9 |
| 5 | Huobi | https://huobi.com | 6.5 |
Критерии по которым выставляется оценка в нашем рейтинге криптобирж :
Дата публикации 11.06.2021
Подписывайтесь на новости криптовалютного рынка в Яндекс Мессенджер.
Поделитесь этим материалом в социальных сетях и оставьте свое мнение в комментариях ниже.
Крупнейшая коллекция паролей: в сеть выложили файл с 8,4 млрд элементов
На днях в сети появился файл объемом в 100 ГБ с 8,4 млрд паролей внутри (8 459 060 239 уникальных записей). Эксперты предполагают, что эти пароли — компиляция предыдущих утечек. Логинов в файле нет, только пароли размером от 6 до 20 символов. Огромное их количество — сложные пароли со спецсимволами. Все они содержатся в одном файле с названием RockYou2021.txt.
Выложил этот файл пользователь с одноименным ником — RockYou2021. Скорее всего, этот ник является отсылкой к утечке 2009 года, которая называлась Rock You. Но та утечка была в разы меньше — в файле, выложенном в 2009 году, содержалось всего 32 млн строк.
Количество паролей в файле превышает население Земли, которое пока еще не добралось к отметке в 8 млрд. Общее число интернет-пользователей на планете, по разным оценкам, составляет примерно 5 млрд человек. Можно предположить, что многие пароли реальны и ими до сих пор пользуются.
Есть мнение, что этот файл — результат обычной генерации при помощи продвинутого алгоритма. По словам Троя Ханта, большинство элементов выложенного в интернет файла никогда не использовались в качестве паролей. Это просто компиляция сгенерированных элементов с некоторыми реальными списками.
Но с мнением не соглашаются многие специалисты по информационной безопасности, включая представителей издания BoyGeniusReport. Уж очень похожи пароли на то, что обычно придумывают обычные пользователи.
Сам по себе файл безопасен, поскольку в нем нет комбинаций логин/пароль, которые можно использовать сразу же. Но, если объединить этот файл с каким-либо из ранее утекших документов, содержащих электронные адреса пользователей, получится шикарная база для перебора. Кроме того, файл можно использовать для словарей паролей, которые используются для проведения брутфорс атак. В файле содержатся и простые, и очень сложные пароли.
По мнению некоторых экспертов, этот файл усиливает угрозу компрометации учетных записей пользователей различных сервисов. Портал CyberNews, который одним из первых обнаружил утечку, считает, что угроза реальна для миллиардов пользователей. В реальности все не так страшно, конечно, но все равно ситуация не самая приятная.
Как всегда, под максимальной угрозой — пользователи, которые придумали один-два пароля для разных сервисов и используют их в любом удобном случае. Если учесть, что адрес электронной почты у обычного человека один, то угроза компрометации такой учетки действительно высокая.
Чтобы снизить угрозу, стоит сменить пароль, который обычно используется. Вероятно, не о чем беспокоиться тем, кто использует генераторы сложных паролей с серьезной защитой, с одним паролем для каждой новой учетной записи. В файле, правда, есть сложные пароли, но большинство все же похожи на то, что обычно придумывают сами люди, а не генератор. Ну и сейчас в большинстве сервисов вводится двухфакторная аутентификация, так что в этом случае угроза еще ниже.
Для того, чтобы проверить собственные данные, можно использовать специализированные сервисы, которые позволяют узнать об утечке персональных данных и паролей. Здесь, правда, стоит подумать над тем, стоит ли «светить» пароль подобному сервису — вполне может быть, что вот такие базы и появляются после взлома сервисов-проверяльщиков. Они, конечно, защищены, но…
Кстати, в феврале 2021 года в сети оказался еще один список — 3,2 млрд связок логин/пароль от учетных записей почтовых сервисов Microsoft и Google. Тот файл представлял собой компиляцию многих других утечек, случившихся ранее.
А что насчет других утечек?
Будем объективными: выложенный файл с паролями — это не совсем утечка. А вот когда в сети появляются данные клиентов какой-либо компании с паролями, логинами, персональными данными и прочим, вот тогда ситуацию можно назвать реальной утечкой.
В России по ряду данных в 2020 году количество утечек возросло примерно на треть, хотя во всем мире этот показатель немного, но снизился.
В 2020 году в сеть утекло около 100 млн записей персональных данных россиян, что гораздо опаснее, чем выложенный кем-то файл с миллиардами паролей. При этом около 80% нарушений пришлось на сотрудников компаний, большая часть — в результате умышленных действий. В России чаще других утечки случаются в финансовых сервисах, госсекторе и hi-tech отрасли.
Что касается мира, то по итогам 2020 года в сети появилось около 11 млрд записей персональных данных и платежной информации (понятно, что в таких утечках на одного пользователя приходится несколько учеток, это не 11 млрд отдельных учеток). Самой большой утечкой можно считать проблему с Whisper — у сервиса украли 900 млн записей одномоментно, то есть в сеть слили все записи со дня основания ресурса в 2021 году. На втором месте — китайский сервис Weibo, допустивший утечку примерно 500 млрд записей. На третьем — компания Estee Lauder. Здесь никаких хакеров не понадобилось, компания сама выложила 440 млн учеток на одном из облачных сервисов.