LINUX.ORG.RU

RockYou2024 — крупнейшая утечка данных: опубликованы почти 10 миллиардов паролей

 ,


1

1

Исследователи из Cybernews обнаружили на одном из популярных хакерских форумов крупнейшую на сегодняшний день базу утекших данных. Файл «rockyou2024.txt» содержит 9 948 575 739 уникальных паролей, включая как старые, так и новые. Ответственность за утечку взял на себя хакер под ником ObamaCare, ранее публиковавший данные сотрудников юридической фирмы Simmons & Simmons, онлайн-казино AskGamblers и студентов колледжа Роуэн.

База может использоваться для атаки методом перебора (brute force). Доступность столь крупной базы данных значительно увеличивает успешность атак, особенно против пользователей, повторно использующих пароли на различных ресурсах.

Прецеденты: Утечка RockYou2021 содержала 8,4 миллиарда паролей, что на 15% меньше текущей утечки, указывая на устойчивую тенденцию увеличения масштабов подобных инцидентов.

Почти 10 миллиардов паролей в свободном доступе ставят под угрозу безопасность миллионов пользователей. Пренебрежение мерами безопасности и использование слабых паролей лишь усугубляют ситуацию. В ближайшее время можно ожидать резкого увеличения числа атак и случаев компрометации данных, что требует незамедлительных действий со стороны всех пользователей и организаций.

Оригинальная новость на cybernews.com

>>> Подробности (audit-it.ru)



Проверено: hobbit ()
Последнее исправление: unfo (всего исправлений: 5)

Пользуюсь keepassxc и его встроенным генератором паролей, гораздо проще жить.

При новых регистрациях проще считать, что данные утекут немедленно, несмотря ни на что.

Bfgeshka ★★★★★
()

Странно, новость то серьёзная, но пока ни одного комментария или вопроса.

Буду первым: а насколько быстро пополняется база утечек парольных менеджеров типа Bitwarden актуальными данными? Есть ли Bulk API, который смог бы проверить пароли всех учетных записей?

И, с другой стороны: предположим, что все пароли в базе уникальны и сгенерированы генератором и имеют стойкость больше ста бит.

Какова вероятность компрометации хотя бы одного пароля в результате этого и последующих инцидентов?

Более точно: можно ли этой вероятностью пренебречь?

TurboPascal79
() автор топика
  1. они, наверное, без логинов поэтому потенциал только для перебора в задаче обращения хешей (если соль известна)

  2. скорее всего большая часть сгенерирована, а не слита

Короче, ничего интересного.

soomrack ★★★★★
()

Ну и? Смысл лишь в брутфорсе, даже без сопоставления логинов - неинтересно

One ★★★★★
()

Да, походу только пароли, не самая интересная утечка

#~~S#
#~~__|gk>Te
#~~aaa
#~~crazy~~
#~~crazy~~
#~~logic~~#
#~~~~~~##_
#~НfoollersК~#
#§YVn*xbtHPvV§F|
#äertfg23
#ďęľ_çrişťø
#АнГеЛо4еК#
#Б@j)еБ1(9#&Д78@дeP
#Виктор
#Водки_нету#
#ГОПНИК#
#Диплом@Гуфи&47
#ИМЯ?
#Крест7#
#Кузя#
#Кутенок#
#МАКС№
#Мл!5%
#П%1ы)эсj8чХЬ&пэ(ЪОCy?F
sparks ★★★★
()
Ответ на: комментарий от sparks

То есть нашел. Но не страшно? Так как везде 2FA поставил? А если это SMS?

TurboPascal79
() автор топика

Тьфу ты, это ж только словарь паролей, а я было возбудился. Могу дать базу всех пинов банковских карт, интересует кого?

Logopeft ★★
()
Последнее исправление: Logopeft (всего исправлений: 1)
Ответ на: комментарий от rupert

Теперь ты мне дай номер твоей кредитки, срок действия и CVV.

Я найду, не скомпрометирована ли она.

Ты мне также на форуме должен писать SMS TAN для сверки. ОК?

TurboPascal79
() автор топика

Долго качается… Интересно, есть ли там легендарный Cjhjr nsczx j,tpmzy d ;jge ceyekb ,fyfy

CrX ★★★★★
()

Десять миллиардов - это по одному на человека. Я не уверен, что столько людей вообще на планете есть.

Shushundr ★★★
()
Ответ на: комментарий от Shushundr

Десять миллиардов - это в среднем два пароля на пользователя интернета (по данным ООН это 63,1% от 7,95 млрд человек вообще), или свыше одного пароля на человека. Конечно есть и пользователи менеджеров, у которых каждый пароль разный, и те, у кого один пароль от всего.

token_polyak ★★★★★
()
Последнее исправление: token_polyak (всего исправлений: 6)

И гмыло и амазон требуют подтверждения при заходе с нового места/девайса. Чем может быть полезна хакерам утечка поаролей с каких нить торрент.сру или вконтакта ума не приложу. Разве что нигерийские письма рассылать.

ya-betmen ★★★★★
()
Ответ на: комментарий от Bfgeshka

Но хранить свои пароли в одном месте идея плохая. Поэтому первые 10 символов я храню в keepASS, а оставшиеся 30 у себя в башке. Конечно не для всех сервисов, а только для важных. Ну ещё OTP разное делать заставляют кое-где и я считаю что это пральна.

perl5_guy ★★★★★
()
Последнее исправление: perl5_guy (всего исправлений: 1)
Ответ на: комментарий от perl5_guy

Это страшнейший антипаттерн.

Ты вообще школу Абовяна проходил? Любой разбиение секрета — путь к верной потере доступа к этому секрету.

TurboPascal79
() автор топика
Ответ на: комментарий от hateWin

Что не так? Формат как раз выбран правильный и подходящий. Зря только они его в zip запихали — грепать неудобно. Надо было бы в .gz или лучше .zst пожать.

CrX ★★★★★
()
Ответ на: комментарий от perl5_guy

Ну ещё OTP разное делать заставляют кое-где и я считаю что это пральна.

Что значит кое-где? Это сейчас везде.

И что означает разное? Говори по-русски!

TurboPascal79
() автор топика
Ответ на: комментарий от Shushundr

Интернет-пользователь в среднем пользуется намного больше, чем одним интернет-ресурсом. У многих людей во всяких там keepassx и подобных по 50–200 паролей для различных сайтов/имейлов/программ и т.д. и т.п.

CrX ★★★★★
()
Ответ на: комментарий от perl5_guy

Но хранить свои пароли в одном месте идея плохая. Поэтому первые 10 символов я храню в keepASS, а оставшиеся 30 у себя в башке.

Так себе идея.

Ну ещё OTP разное делать заставляют кое-где и я считаю что это пральна.

Что правильного в том, что сильно ухудшает удобство пользователя? Опционально — да, прекрасная штука. Но заставлять — это моветон. Во-первых, просто уникального сильного пароля достаточно, от всех вот таких вот утечек, как эта, он спасает полностью, не спасает только от утечки базы непосредственно данного сайта. Во-вторых, пользователю может быть маловажен ресурс и его учётка на нём. Это может быть какой-то форум, где он зарегался только чтобы один раз ответить, или ещё какой-нибудь сайт, где он зарегался, чтобы один файл скачать, или иногда качать, периодически — всякое OTP будет только напрягать и всё, при том, что этому пользователю вообще насрать, что произойдёт с его аккаунтом, и ему совсем не жалко, если его «уведут» — тупо зарегает новый.

Для каких-то особо серьёзных случаев, в первую очередь связанных с деньгами (банки, маркетплейсы), это, конечно, правильно. Но порой к этому прибегают там, где это попросту не требуется.

CrX ★★★★★
()
Последнее исправление: CrX (всего исправлений: 1)
Ответ на: комментарий от CrX

Поэтому первые 10 символов я храню в keepASS, а оставшиеся 30 у себя в башке

И все эти 30 символов от 200 паролей хранятся в башке.

В самом надежном месте хранения. Ага.

TurboPascal79
() автор топика
Ответ на: комментарий от TurboPascal79

Почему ты мне на это отвечаешь? Это же цитата, и я как раз говорю, что это так себе идея.

CrX ★★★★★
()
Ответ на: комментарий от CrX

просто уникального сильного пароля достаточно

У вас двойка по безопасности! Жирная! Вон из профессии!

Зы. Вы в курсе, что такое «доверять браузеру или устройству»? Вы когда-нибудь логинились на сайтах с 2FA?

TurboPascal79
() автор топика
Ответ на: комментарий от TurboPascal79

Ну ещё OTP разное делать заставляют кое-где и я считаю что это пральна.

Что значит кое-где? Это сейчас везде.

Ну вот на ЛОРе нет, например. Уже не везде.

CrX ★★★★★
()
Ответ на: комментарий от TurboPascal79

У вас двойка по безопасности! Жирная!

Нет, как раз у вас. Первое правило — безопасность должна быть достаточной и соответствующей задаче. Усилия для её достижения должны быть адекватны ценности защищаемых данных.

Вы вырвали из контекста фразу, пытаясь выставить это так, будто я сказал, что всегда достаточно. А это не так. Достаточно иногда. Всё зависит от важности того, что этой самой безопасностью защищается.

Зы. Вы в курсе, что такое «доверять браузеру или устройству»?

Естественно. И оператору связи тоже. Есть ситуации, когда защищаемые данные недостаточно важны, чтобы не доверять браузеру или устройству.

Вы когда-нибудь логинились на сайтах с 2FA?

Конечно. Много где использую. И при этом много где отказался от регистрации и использования из-за навязывания 2FA там, где оно не надо.

CrX ★★★★★
()
Последнее исправление: CrX (всего исправлений: 2)

Это что за контора такая, которая хранит пароли своих пользователей в открытом виде, что их можно украсть? Почему не в виде солёных хэшей?

Feonis ★★★
()
Ответ на: комментарий от TurboPascal79

У вас двойка по безопасности

А объяснение почему недостаточно будет? Или предлагается уверовать? Двойку пока попридержи у себя.

Clayman ★★
()
Ответ на: комментарий от TurboPascal79

Посоветую сделать то же самое именно вам. А если уже проходили, и там вам не объяснили, что усилия по безопасности должны быть адекватны защищаемым данным, пройдите какой-нибудь другой — этот плохой был.

CrX ★★★★★
()
Ответ на: комментарий от Clayman

То есть вы сейчас ставите под сомнение всю систему безопасности к которой шли десятилетиями, которую внедрили уже все.

А вам, видите ли, лень вводить циферки и вставлять ключ безопасности.

Зы. Вы бы еще поставили под сомнение правила дорожного движения. Переходить только на зелёный свет - это же не круто.

TurboPascal79
() автор топика
Ответ на: комментарий от TurboPascal79

И чтоб совсем добить, я больше скажу. Только заранее сядьте и помните, это всего лишь интернет, а то боюсь, вас удар хватит:

Я на сайтах с регистрацией на выборос (чтобы скачать что-то. Надо будет через 5 лет скачать ещё что-то — заново зарегаюсь) вообще регистрируюсь с неуникальным паролем, причём недалёким от Password12345.

А когда сервер создаю в каком-нибудь Hedgewars, чтоб сыграть партейку-другую с друзьями, вообще пароль вроде 666abc ставлю. Потому что если кто-то левый даже вдруг забрутфорсит и зайдёт, его можно тупо кикнуть, а друзьям меньше париться со вводом.

Понимаю, это, наверное, серьёзное потрясение. Сделайте глубокий вдох, приведите пульс в порядок, а потом расскажите мне, как же сильно я неправ и виноват перед всем миром, ничего не понимаю в безопасности, и как именно меня из-за этого вот поимеют хакеры. Жду.

CrX ★★★★★
()
Последнее исправление: CrX (всего исправлений: 1)
Ответ на: комментарий от TurboPascal79

Я ничего не ставлю под сомнение, я прошу подтвердить свои слова аргументами) А то от тебя только «пройдите курс» слышно. Аргумент к авторитету - не аргумент.

А вам, видите ли, лень вводить циферки и вставлять ключ безопасности.

Вставь ключ безопасности у меня на роутере, умник.

Clayman ★★
()
Последнее исправление: Clayman (всего исправлений: 1)
Ответ на: комментарий от TurboPascal79

Зы. Вы бы еще поставили под сомнение правила дорожного движения. Переходить только на зелёный свет - это же не круто.

Аналогии пошли. Хорошо, давайте играть по правилам аналогий: вас не смущает существование нерегулируемых переходов на дорогах, где за час хорошо если две машины проедут? Там везде надо поставить светофоры и переходить только на зелёный?

CrX ★★★★★
()
Ответ на: комментарий от Tigger

Там большая(?) часть не сгенерированных, а вполне «осмысленных». Именно они с наибольшей вероятностью неуникальны, а соответственно использование такое базы для брутфорса может быть вполне плодотворным.

CrX ★★★★★
()
Ответ на: комментарий от Clayman

Итак, то есть для тебя правило двухфактороной безопасности при переходе через дорогу на пешеходном переходе со светофором — пустой звук?

То есть сначала нужно посмотреть по сторонам, нет ли машин. А потом посмотреть на светофор — убедиться, действительно ли горит там зеленый свет.

Эти правила должна тебе мама рассказывать во втором классе.

И на уроках ПДД в школе.

Эти правила не нуждаются в аргументации. Они написаны жизнями миллионов людей.

Для тебя труп или взломанный аккаунт является аргументацией?

TurboPascal79
() автор топика
Ответ на: комментарий от hobbit

Это пожатое. Внутри 145 ГБ, так что всё же непожатых данных ощутимо больше ;)

CrX ★★★★★
()
Ответ на: комментарий от CrX

Прочитал первое слово, понял, что это из Лукьяненко.

hobbit ★★★★★
()
Ответ на: комментарий от TurboPascal79

при переходе через дорогу

Никто не говорит про ПДД, мы обсуждаем ИБ.

Эти правила не нуждаются в аргументации

Ты просто плохо прошел курс от Хачатуряна. Пройди ещё разок.

Для тебя труп или взломанный аккаунт является аргументацией?

Гениальный аргумент. Если я скажу нет - что ты будешь делать?

Clayman ★★
()
Ответ на: комментарий от sparks

...архив почти 46Гб

А я, прикинь, когда-то давно всем этим занимался. Ну, там, вёл архивы утечек, вирусов. Общался в этом вашем даркнете и ты.ды.

Теперь всё в прошлом.

sparkie ★★★★★
()
Ответ на: комментарий от sparkie

утечки я тоже собирал, там под терабайт халма уже набралось, всё надеюсь что однажды сяду и создам мега супер базу, но чёт уже года два жду этого момента

sparks ★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.