LINUX.ORG.RU

RockYou2024 — крупнейшая утечка данных: опубликованы почти 10 миллиардов паролей

 ,


1

1

Исследователи из Cybernews обнаружили на одном из популярных хакерских форумов крупнейшую на сегодняшний день базу утекших данных. Файл «rockyou2024.txt» содержит 9 948 575 739 уникальных паролей, включая как старые, так и новые. Ответственность за утечку взял на себя хакер под ником ObamaCare, ранее публиковавший данные сотрудников юридической фирмы Simmons & Simmons, онлайн-казино AskGamblers и студентов колледжа Роуэн.

База может использоваться для атаки методом перебора (brute force). Доступность столь крупной базы данных значительно увеличивает успешность атак, особенно против пользователей, повторно использующих пароли на различных ресурсах.

Прецеденты: Утечка RockYou2021 содержала 8,4 миллиарда паролей, что на 15% меньше текущей утечки, указывая на устойчивую тенденцию увеличения масштабов подобных инцидентов.

Почти 10 миллиардов паролей в свободном доступе ставят под угрозу безопасность миллионов пользователей. Пренебрежение мерами безопасности и использование слабых паролей лишь усугубляют ситуацию. В ближайшее время можно ожидать резкого увеличения числа атак и случаев компрометации данных, что требует незамедлительных действий со стороны всех пользователей и организаций.

Оригинальная новость на cybernews.com

>>> Подробности (audit-it.ru)



Проверено: hobbit ()
Последнее исправление: unfo (всего исправлений: 5)
Ответ на: комментарий от Nurmukh

Никто не мешает взять файлы с репозитория NitroKey, SoloKeys, заказать платы и компоненты, самостоятельно спаять их.

О том и речь. 2FA с генераторами ключей сама по себе никакую безопасность не может гарантировать в принципе. Точно так же как покупка кисточки и красок вообще ни разу не гарантирует создание гениальных картин. Безопасность обеспечивает только правильное использование этой технологии.

Я так и поступил, заказал платы, заказал компоненты, знакомый работник ремонта телефонов спаял мне все вместе, залил прошивку и пользуюсь ими.

Вот это и есть настоящая забота о собственной безопасности, а не тупая вера в маркетинг корпораций добра.

Stanson ★★★★★
()
Ответ на: комментарий от Stanson

Там где ты купил свой отдельный девайс для OTP и Yubikey остались не только твои персональные данные, но и серийники и пр. проданных тебе девайсов. Так что ты не только слил свою приватную инфу третьим лицам, но и добровольно таскаешь с собой дополнительный способ тебя однозначно идентифицировать и взять в оборот третьим лицам

Ты сейчас пытаешься намекнуть, что TOTP ключи генерируются с привязкой к серийнику устройства? Мне кажется, недалек тот день, когда от тебя появится пост про то, как соседи слушают твой вайфай через микроволновку.

leave ★★★★★
()
Ответ на: комментарий от leave

Ты сейчас пытаешься намекнуть, что TOTP ключи генерируются с привязкой к серийнику устройства?

Нет никаких технических проблем это сделать. Кроме того, можно в генерируемые ключи закладывать легко извлекаемый серийник, что позволит тербующему 2FA сервису однозначно связать тебя с твоими приватными данными засвеченными при покупке девайса. С точки зрения безопасности и приватности ты просто обязан априори предполагать что корпорация производящая эти ключи именно так и делает, и это она должна доказывать, что это не так. И нет, не маркетинговыми высерами, а, например, публикацией схем и сырцов своих юбикеев, с возможностью самостоятельно реплицировать юбикей и сравнить его поведение с купленным. Но в данном случае я совсем не об этом.

Покупка тобой криптодевайса с серийником делает тебя промаркированной целью. Использование тобой криптодевайса с серийником легко становится 100% доказательством против тебя в случае чего. Это как ещё один паспорт с номером и всеми твоими данными, только выданный какой-то частной конторой который ты хранишь при себе, и при этом известно что он тебе выдан. Действия совершаемые тобой с использованием 2FA раскрывают тебя полностью для третьих лиц.

Например - ты на удалёнке работаешь программистом на какую-нибудь около-оборонку (или около-финансы, или около-ядерку), где дебилы решили что для доступа к каким-то внутренним удалённым сервисам нужна 2FA с использованием юбикея. Соостветственно, третье лицо с доступом к списку покупателей юбикея и какому-то промежуточному узлу сети через который ходит трафик между тобой и около-оборонкой/финансами/ядеркой, может легко идентифицировать всех сотрудников этой конторы со всеми вытекающими. От возможности ликвидации, до возможности шантажа или покупки.

Прям охеренная приватность и безопасность получается, ага. И никакие прокси-туннели не помогут скрыть факт покупки тобой юбикея который понадобился тебе для работы с конкретной организацией.

Stanson ★★★★★
()
Ответ на: комментарий от Stanson

Прости, но ты несешь параноидальную херню

https://en.wikipedia.org/w/index.php?title=Time-based_one-time_password&useskin=vector#Algorithm

https://en.wikipedia.org/w/index.php?title=HMAC-based_one-time_password&useskin=vector#Algorithm

Секрет тебе передает сервер во время первоначального связывания с клиентом.

Не вообще никакой разницы между юбиком, freeotp и каким-нибудь, прости господи, microsoft authenticator.

Единственное, где используется серийник юбика, это YubiOTP, но 1) даже там можно изменить стартовую последовательность с SN на свою произвольную; 2) он в дикой природе вроде только у LastPass есть.

leave ★★★★★
()
Ответ на: комментарий от leave

Единственное, где используется серийник юбика, это YubiOTP

Это тебе юбик сказал, или ты сам реверснул ключик и на 100% убедился в этом?

Но даже если серийник юбика не используется при генерации, что мешает производителю юбика хранить базёнку где серийники привязаны к тому что используется?

Да и как я уже сказал, сам по себе юбик это идентификатор тебя, не хуже паспорта, только данные у производителя юбика и у перепродавцов. По серийнику юбика тебя можно легко вычислить третьим лицам.

Да и самый главный вопрос - а нахрена юбикам вообще серийник? Вот зачем? Выпускали бы без серийника, да и всё. Все юбики идентичны, различить невозможно, Seed и функцию задаёт только юзер. Никто не знает кто и когда какой юбик купил, всё замечательно. Но почему-то серийник присутствует, да и ещё куча идентификаторов унутре, и на кристаллах микрух, и на плате и может даже на пластике корпуса внутри. Зачем? Это же специально надо делать, доп. расходы и всё такое.

Stanson ★★★★★
()
Ответ на: комментарий от Stanson

Да и самый главный вопрос - а нахрена юбикам вообще серийник? Вот зачем? Выпускали бы без серийника, да и всё. Все юбики идентичны, различить невозможно, Seed и функцию задаёт только юзер.

Для YubiOTP же.

Это тебе юбик сказал, или ты сам реверснул ключик и на 100% убедился в этом?

Прочитай описание алгоритмов уже, наконец. Там НЕГДЕ быть ключу.

Да и как я уже сказал, сам по себе юбик это идентификатор тебя, не хуже паспорта, только данные у производителя юбика и у перепродавцов. По серийнику юбика тебя можно легко вычислить третьим лицам.

Хз, я свой на CTF выиграл, их там орги закупили несколько десятков и раздавали людям, которые никакие свои паспортные данные никому не предоставляли.

Многие компании точно так же закупают их сотнями и выдают в руки без всяких серийников (я таковые знаю минимум две).

А ты можешь всегда за кэш или там крипту покупать, зачем светить свои персданные, раз уж так переживаешь?

leave ★★★★★
()
Ответ на: комментарий от leave

Прочитай описание алгоритмов уже, наконец. Там НЕГДЕ быть ключу.

Тогда зачем на юбикеях штампуют серийник?

Хз, я свой на CTF выиграл, их там орги закупили несколько десятков и раздавали людям, которые никакие свои паспортные данные никому не предоставляли.

Орги закупившие - известны, известны серийники партии. Известно кто в CTF участвовал, ибо участники сами о себе в социалочках всё выложили. Вопрос только у кого какой ключик, а то что он есть и он из этой партии - это уже не про безопасность.

Ты понимаешь что безопасность - это в первую очередь когда вообще никто со стороны не знает что ты вообще где-то авторизуешься и обмениваешься данными и у него нет возможности это узнать. Всё остальное - это уже попытки заклеить дырки в плотине синей изолентой.

Stanson ★★★★★
()
Ответ на: комментарий от Stanson

Ты, кажется, разучился читать. Я тебе дважды сказал, зачем серийники.

leave ★★★★★
()

Хорошая база, годная. С ее помощью можно еще одну нагенерить, уже на триллион паролей. Кто больше?

Pupkind
()
3 октября 2024 г.
Ответ на: комментарий от question4

Создавая аккаунт на тестовом сервере, мне паролем поставили мою фамилию (вариант транскрипции, который нравится отделу кадров; в правах и загранпаспорте у меня другой). На неё Хром заругался, «The password you just used was found in a data breach».

В данном файле её нет.

question4 ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.