LINUX.ORG.RU

RockYou2024 — крупнейшая утечка данных: опубликованы почти 10 миллиардов паролей

 ,


1

1

Исследователи из Cybernews обнаружили на одном из популярных хакерских форумов крупнейшую на сегодняшний день базу утекших данных. Файл «rockyou2024.txt» содержит 9 948 575 739 уникальных паролей, включая как старые, так и новые. Ответственность за утечку взял на себя хакер под ником ObamaCare, ранее публиковавший данные сотрудников юридической фирмы Simmons & Simmons, онлайн-казино AskGamblers и студентов колледжа Роуэн.

База может использоваться для атаки методом перебора (brute force). Доступность столь крупной базы данных значительно увеличивает успешность атак, особенно против пользователей, повторно использующих пароли на различных ресурсах.

Прецеденты: Утечка RockYou2021 содержала 8,4 миллиарда паролей, что на 15% меньше текущей утечки, указывая на устойчивую тенденцию увеличения масштабов подобных инцидентов.

Почти 10 миллиардов паролей в свободном доступе ставят под угрозу безопасность миллионов пользователей. Пренебрежение мерами безопасности и использование слабых паролей лишь усугубляют ситуацию. В ближайшее время можно ожидать резкого увеличения числа атак и случаев компрометации данных, что требует незамедлительных действий со стороны всех пользователей и организаций.

Оригинальная новость на cybernews.com

>>> Подробности (audit-it.ru)



Проверено: hobbit ()
Последнее исправление: unfo (всего исправлений: 5)

Ответ на: комментарий от TurboPascal79

:)

Там где ты купил свой отдельный девайс для OTP и Yubikey остались не только твои персональные данные, но и серийники и пр. проданных тебе девайсов. Так что ты не только слил свою приватную инфу третьим лицам, но и добровольно таскаешь с собой дополнительный способ тебя однозначно идентифицировать и взять в оборот третьим лицам. Во какую охеренную безопасность и приватность твоя 2FA тебе предоставляет. :)

Мыши плакали, кололись, но продолжали жрать кактус :)

Stanson ★★★★★
()
Ответ на: комментарий от TurboPascal79

SMS есть как опция вроде. Но я ни разу не использовал.

seiken ★★★★★
()
Ответ на: комментарий от TurboPascal79

вы неверно читаете «конкретные цифры» :-)

«конкретные цифры» как раз говорят что 2FA - ДЫРA

слишком большой разброс в ответах - от 98% до 50% (при этом обратите внимание - каждая процентовка сформулирована отдельно). Это заказной опрос и такой-же заказной вывод.

2FA позволяет забрать вообще ВСЁ. При компрометации 1 входа

MKuznetsov ★★★★★
()

Есть прямая ссылка на архив?

Reset ★★★★★
()

Добрались руки скачать, проверил по своим утекшим триста лет назад - все там же, всё те же. То ли я не регался в дырявом говне, то ли база фейк и компиляция из старых…

pekmop1024 ★★★★★
()
Ответ на: комментарий от MKuznetsov

Что ты предлагаешь делать? Вообще отказаться от Yubikey и Reiner? Последние уже стали практически везде стандартом. Первые собираются такими быть.

Они гарантируют 190 процентов защиты.

Но тут пришел один анонимус с ЛОР и сказал на весь мир: исследования заказные, спонисорованы производителями юбилеев и лайнеров.

И давайте все двери держать открытыми! Как в прдьезд, так и в квартиру.

TurboPascal79
() автор топика
Ответ на: комментарий от MKuznetsov

В знакипротеста против заказных исследований предлагаю тебе поставить везде пароль 12345321, отключить везде 2FA и запустить информацию об этом во всех соцсетях, чатах и хакерских группах.

Теперь все твои аккаунты имеет железобетонную защиту и не подведены атакам 2FA!

TurboPascal79
() автор топика
Ответ на: комментарий от Infra_HDC

Странный вопрос. Очевидно, что есть. И 123 и 1234, и т.д.

CrX ★★★★★
()
Ответ на: комментарий от Stanson

Проверка утверждения о безопасности 2FA-устройств

Утверждение о том, что использование OTP-токенов и Yubikey ухудшает вашу безопасность и приватность - полностью неверно.

Рассмотрим это более детально.

Аргументы против опасений:

  1. Ограниченная информация:

    • Серийные номера устройств и данные покупки хранятся у продавца, но это не предоставляет доступа к вашим учетным записям. Серийные номера сами по себе не могут быть использованы для взлома.
  2. Криптографическая защита:

    • Yubikey и OTP-токены используют сильные криптографические методы, такие как HMAC-SHA1, RSA и ECC, которые делают генерацию одноразовых паролей крайне безопасной и устойчивой к подделке.
  3. Физический доступ:

    • Для аутентификации с использованием этих устройств требуется физический доступ к устройству. Это значит, что злоумышленник должен физически обладать вашим Yubikey или OTP-токеном, чтобы пройти аутентификацию.
  4. Отсутствие передачи личных данных:

    • Эти устройства не передают и не хранят личную информацию о пользователе на сторонних серверах. Они генерируют одноразовые коды локально и отправляют их только целевому сервису.
  5. Защита от фишинга:

    • Yubikey с поддержкой FIDO U2F и FIDO2 защищает от фишинга, так как коды привязаны к конкретному домену и не могут быть использованы на фишинговых сайтах.

Дополнительные аргументы:

  1. Снижение зависимости от паролей:

    • Использование 2FA-устройств снижает риск компрометации аккаунтов, даже если основной пароль был украден.
  2. Комплексные системы защиты:

    • В сочетании с другими мерами безопасности, такими как двухфакторная аутентификация с SMS или мобильными приложениями, OTP-токены и Yubikey создают многослойную защиту, усложняющую взлом.
  3. Удобство и скорость:

    • Эти устройства упрощают процесс входа в аккаунт, предоставляя мгновенные и безопасные способы аутентификации без необходимости помнить сложные пароли.

Заключение:

Хотя покупка 2FA-устройства может оставлять следы в базах данных продавцов, риски от этого минимальны по сравнению с безопасностью, которую они предоставляют. Yubikey и OTP-токены значительно повышают уровень защиты ваших аккаунтов, особенно в комбинации с другими методами безопасности. Таким образом, утверждение о том, что использование этих устройств ухудшает вашу безопасность и приватность, не соответствует действительности.

TurboPascal79
() автор топика
Ответ на: комментарий от vbr

В grep.

Там txt-файл. Гуглится по имени файла из новости, качается торрентом. 45 GB в zip, 145 GB распакованный.

CrX ★★★★★
()
Ответ на: комментарий от Stanson

Ты бы еще от холодных криптокошелков отказался.

Так как серийники и твой адрес хранятся в базе данных производителя.

TurboPascal79
() автор топика
Ответ на: комментарий от TurboPascal79

Бгг. Если у твоего «холодного криптокошелька» есть какой-либо производитель кроме тебя. то ты сам себе злобный буратин. :)

Вся, блин, суть холодного криптокошелька и заключается в том, что никто не знает что он у тебя есть.

Мда, душераздирающее зрелище. Результат маркетингового промывания мозгов рассуждает о безопасности и приватности.

Stanson ★★★★★
()
Ответ на: комментарий от TurboPascal79

Ты ещё микрософтовские get the facts про виндовс сюда запости, для полного пердимонокля. :)

Stanson ★★★★★
()

А где скачать-то?

Puzan ★★★★★
()
Ответ на: комментарий от Stanson

Суть холодного кошелька заключается в том, что сид фраза хранится в защищённом хранилище и ты сам можешь контролировать транзакции.

Это как ChipTAN для онлайн Банкинга.

Даже если базу серийников с адресами ктото сольет (это единичный случай за все время существования рынка холодных кошельков), то злоумышленник должен завладеть также ключом от квартиры, узнать где спрятал Леджер и потом три раза ввести неправильный пин код.

И все, теперь он заблокирован навсегда.

Тогда уж проще украсть саму мненоническую фразу.

Зы. Вы в каком классе начальной школы учитесь?

TurboPascal79
() автор топика
Ответ на: комментарий от sunjob

Я с peers.fm стащил, но там закрытый трекер, смысла ссылку давать нет

pekmop1024 ★★★★★
()

Теперь к ней нужна база логинов

wingear ★★★★
()

Так перебирать даже без искусственных задержек надо будет до тепловой смерти вселенной. А если задержки, fail2ban и вот это всё, то намного дольше. В чём баттхёрт?

yu-boot ★★★★★
()
Ответ на: комментарий от yu-boot

Искусственный интеллект на посткватовом мейнфрейме на ядером реакторе взломает твой пароль за 0.001 секунды.

Страшно?

TurboPascal79
() автор топика
Ответ на: комментарий от TurboPascal79

Как квантовый комп поможет обходить сеть и задержки? Он конечно квантовый, но время ускорять-замедлять не умеет.

yu-boot ★★★★★
()
Ответ на: комментарий от yu-boot

Он может читать пароли из твоей головы. Уже сегодня.

Поэтому в голове ничего нельзя держать.

TurboPascal79
() автор топика

Нагенерил 9 948 575 739 уникальных паролей? Пусть возьмёт с полки пирожок.

tiinn ★★★★★
()

habr
-->
Проверить наличие своих данных в утечке можно через сервис Leaked Password Checker

т.е. заходим на сайт и собственноручно вбиваем свои пароли! прелестно! :о)

sunjob ★★★★
()
Ответ на: комментарий от sunjob

Нужно ведь как-то для rockyou2025.txt пароли собирать.

Можно, кстати, им поднасрать, сделав скрипт, который будет раз в минуты «проверять» рандомно сгенерированную последовательность. Если они и правда «честные», то один реквест в минуту никакой погоды не сделает, а если всё сделано ради сбора паролей — изрядно так со временем им подзасрёт базу.

CrX ★★★★★
()
Последнее исправление: CrX (всего исправлений: 1)
Ответ на: комментарий от CrX

ага, а там возьми, звезды сойдись на небесах - и все что вы настругали взяло и совпало... :о) такой исход имеет место быть вероятным?! :о)

это что-то типа как «защитили от ии все оставшиеся музыкальные последовательности...» :о)

sunjob ★★★★
()
Последнее исправление: sunjob (всего исправлений: 1)

Проверил свои пароли:
пароль, который у меня был на взломанном сайте DosBox — нет;
пароль, который я ввёл после взлома — нет;
старый пароль рута, который я по ошибке ввёл в каком-то чате — ЕСТЬ! — но как часть более длинного пароля;
нынешний пароль рута — нет;
пароль основного пользователя — нет;
пароль, который Скайп отказался принимать, как слишком слабый — нет;
пароль Novel Netware, который пришлось менять как слишком слабый при миграции в облако MS — нет;
пароль, на который сменил — нет;
слабые пароли, которые админы на работе сменили после взлома — ЕСТЬ! — но только как часть более длинных паролей; также нашлись и логины от них;
то, на что их сменили — ЕСТЬ! — но только те, которые не меняют раз в полгода, и как часть более длинных паролей;
пароль на ЛОР — нет;
пароли на другие форумы — нет;
пароли от почты — нет; отсутствует даже тот, который однажды успешно подобрали, но не прошли подтверждение по телефону;
пароли от онлайн-магазинов — нет.

Все пароли, которые нашлись, представляют собой слова естественных языков в именительном падеже единственного числа или аббревиатуры, иногда в комбинации с цифрами. Вроде «pass123».

question4 ★★★★★
()
Ответ на: комментарий от sunjob

т.е. заходим на сайт и собственноручно вбиваем свои пароли! прелестно!

Это примерно как брелок с адресом, куда вернуть потерянный ключ. Можно использовать без риска, но не всем очевидно, как. Данный сайт будет интересен для проверки уже скомпрометированных паролей, которыми прекратили пользоваться.

question4 ★★★★★
()
Ответ на: комментарий от One

Я там нашел пару своих паролей, которые думал никто не придумает, прошлый от лора тоже есть

Смылс есть, брутфорсить можно root по ssh и прочие сервисы

masa
()
Последнее исправление: masa (всего исправлений: 1)
Ответ на: комментарий от I-Love-Microsoft

Судя по логам моего впса долбят без остановки. Ну я настроил fail2ban и теперь они автоматически банятся, но врядли многие это делают

masa
()
Ответ на: комментарий от CrX

Прикол, гугл не даёт ссылку на гитхаб. Яндекс даёт.

Puzan ★★★★★
()
Ответ на: комментарий от TurboPascal79

Необходимость пристегиваться это заговор производителей ремней безопасности?

Гаишников же. :)

Огромное количество долбоводятлов уверены, что единственная причина пристёгиваться – это чтобы супостат не оштрафовал. А ещё большее количество долбопассажиров уверено, что по правилам «на задних сиденьях пристёгиваться необязательно». Хотя в ПДД написано совсем другое.

hobbit ★★★★★
()
Ответ на: комментарий от zx_gamer

Они вообще не случайны, тем более в отсортированном списке из «печатаемых» символов

sparks ★★★★
()
Ответ на: комментарий от question4

яжешь дословно выдернул фразу с хабра

Проверить наличие своих данных в утечке можно через сервис Leaked Password Checker

ну как бы логично, да?! пока пароль не «проверишь» - он, возможно, не скомпрометирован, как только проверил - упс!

напоминает: вскрытие показало, что чукча умер от вскрытия! :о)

sunjob ★★★★
()

Объясните пожалуйста как может быть так что пароли утекли?

Ведь вроде бы как на серверах не хранятся пароли, верно? Хранятся их хешсуммы?

Перебором восстанавливать пароли нереально долго ведь, особенно такое количество.

Тогда как их получили? Установили какую-то слежку в веб скрипты? или что? Но ведь и там, вангую, есть какая-то защита и если пользователь вводит пароль в поле вводе на сайте то этот ввод получит исключительно обрабатывающий это поле скрипт и в сеть пойдет только хешсумма а не пароль, ведь так?

P.s. Впрочем на сайт elibrary.ru я точно знаю что админы сайта имеют доступ к паролям. Я когда-то там давно был зареган, потом долго не заходил, и забыл что был зареган :) Потом надо было что-то скачать что есть только там, по старым емайлам я понял что я таки был зареган но никак не мог вспомнить пароль и написал в техподдержку мол так и так, ну и накидал сведений которые помогли бы админам не сомневаться что я это я. Ну и в ответке я ожидал увидеть ссылку на сборос пароля а увидел письмо со своим забытым паролем :)

bonta ★★★★★
()
Ответ на: комментарий от bonta

Безусловно, давайте ещё раз проверим текст на предмет точности и полноты информации, исправим все ошибки и уточним детали.

Исправленный текст

Когда происходит утечка паролей, существует несколько возможных причин, несмотря на наличие механизмов защиты, таких как хеширование. Рассмотрим основные способы, с помощью которых могут утечь пароли.

1. Недостаточное хеширование

Хотя пароли на серверах обычно хранятся в виде хешей, иногда разработчики используют слабые или устаревшие алгоритмы хеширования. Например, использование MD5 или SHA-1 без добавления соли (случайного значения) делает пароли уязвимыми для атак с использованием радужных таблиц.

2. Отсутствие соли

Если хеши паролей не солятся (не добавляется случайное значение к каждому паролю перед хешированием), это значительно облегчает использование радужных таблиц и атак методом «brute force».

3. Использование слабых паролей

Пользователи часто выбирают слабые или распространённые пароли. Даже если пароли захешированы, использование слабых паролей делает их уязвимыми для атак методом «brute force» или с использованием радужных таблиц.

4. SQL-инъекции и другие уязвимости

Если система уязвима к SQL-инъекциям или другим видам атак, злоумышленник может получить доступ к базе данных, включая хеши паролей.

5. Незащищенные бэкапы и логи

Иногда бэкапы баз данных или лог-файлы содержат пароли в открытом виде или хеши паролей. Если эти файлы не защищены должным образом, они могут быть украдены.

6. Установка вредоносного ПО

Злоумышленник может установить вредоносное ПО на сервер или на клиентские машины, чтобы перехватывать пароли. Например, кейлоггеры могут записывать ввод с клавиатуры, включая пароли.

7. Хранение паролей в открытом виде

Некоторые системы могут хранить пароли в открытом виде. Это является грубейшим нарушением безопасности и делает возможным утечку паролей в случае компрометации базы данных.

8. Перехват данных в момент ввода

Хотя современные веб-сайты используют HTTPS для шифрования данных, передаваемых между клиентом и сервером, если сайт неправильно настроен или пользователь игнорирует предупреждения о сертификатах, злоумышленники могут перехватить данные.

Защита и рекомендации

  • Использование современных алгоритмов хеширования: Например, bcrypt, Argon2 или scrypt, которые специально разработаны для защиты паролей и включают механизмы для замедления атак методом перебора.
  • Добавление соли: Для каждого пароля следует использовать уникальную соль, чтобы усложнить создание радужных таблиц.
  • Регулярное обновление ПО и мониторинг уязвимостей: Это включает применение патчей и обновлений безопасности, чтобы закрыть известные уязвимости.
  • Шифрование данных на сервере: Бэкапы и логи должны быть зашифрованы, чтобы защитить пароли, даже если эти файлы будут украдены.
  • Использование двухфакторной аутентификации (2FA): Это добавляет дополнительный уровень безопасности, требуя второй фактор аутентификации помимо пароля.

Эти меры помогают значительно повысить безопасность паролей и снизить риск их утечки.


Примечания и уточнения

  • Алгоритмы хеширования: Важно использовать такие алгоритмы, как bcrypt, Argon2 или scrypt, потому что они созданы для того, чтобы быть «медленными», что усложняет атаки методом перебора.
  • Соль и «pepper»: Помимо соли, иногда используется «pepper» — дополнительный секретный ключ, который хранится отдельно от базы данных.
  • TLS/SSL: HTTPS использует TLS (ранее SSL) для шифрования данных между клиентом и сервером, и важно использовать современные версии протоколов (например, TLS 1.2 или выше).

Все эти меры в комплексе могут значительно снизить вероятность утечки паролей и повысить общую безопасность системы.

TurboPascal79
() автор топика
Ответ на: комментарий от Xintrea

Есть сайт BreachForums.is. Там выкладывают дампы сайтов. RockYou2024 - это не утечка. Кто-то взял собрал все пароли из дампов на том сайте и выбрал уникальные (насчет этого я не уверен, может оказаться, что там просто выхлоп /dev/urandom)

rtxtxtrx ★★
()
Ответ на: комментарий от Stanson

Добрый день.

Никто не мешает взять файлы с репозитория NitroKey, SoloKeys, заказать платы и компоненты, самостоятельно спаять их.

Я так и поступил, заказал платы, заказал компоненты, знакомый работник ремонта телефонов спаял мне все вместе, залил прошивку и пользуюсь ими.

Nurmukh ★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.