Взлом исторического масштаба: хакеры выложили в сеть 793 млн адресов почты и 21 млн паролей

18.01.2019      11961

Первым утечку обнаружил австралийский специалист по кибербезопасности Трой Хант. База данных с адресами электронных почт и паролями от них состоит из 12 тыс. файлов и «весит» 87 Гб.

Этот архив стал самым большим из тех, что когда-либо выкладывали открытый доступ. Его назвали «Коллекция №1». База данных появилась на сервисе MEGA.

Источники утечки

Хант отметил, что часть коллекции хакеры позаимствовали из других баз данных. Папки архива называются Games, BTC, Mail Access, что может указывать на возможный источник утечки. Тем не менее, в «Коллекции» 140 млн адресов электронной почты, которые не выкладывались публично.

Этот архив злоумышленники могут использовать, чтобы перебрать комбинации адресов электронной почты и паролей и получить доступ к аккаунтам пользователей. В «Лаборатории Касперского» уже прокомментировали ситуацию:

«Эта огромная база данных собиралась долгое время, – отметил антивирусный эксперт Сергей Ложкин. – В нее добавлялись учетные записи и пароли, в том числе российских пользователей, которые становились публичными после крупных утечек, поэтому некоторые учетные данные, вероятнее всего, уже устарели».

Но и здесь есть свои нюансы: некоторые пользователи подолгу не меняют или используют одни и те же пароли для аккаунтов на разных сайтах.

А ваш адрес есть в «Коллекции»?

Трой Хант поддерживает сайт Have I Been Pwned с данными о миллионах украденных аккаунтов. Достаточно ввести в строку поиска свой email, чтобы проверить его на предмет утечки. Красное поле свидетельствует о том, что аккаунт взломан, и пароль к нему лучше поменять, зеленое – вам повезло, и хакеры до вашей почты еще не добрались.

 

 

Специалисты «Лаборатории Касперского» напомнили пользователям о двухфакторной аутентификации. Этот метод обеспечивает двухслойную защиту аккаунта от злоумышленников. Пользователь дважды подтверждает свою личность: сначала вводит логин и пароль, а затем получает специальный код в SMS-сообщении или по электронной почте. Часто вторым слоем защиты становятся USB-ключ или биометрические данные пользователей.

Позаботиться о двухфакторной аутентификации рекомендуют на следующих ресурсах:

  • интернет-банкинг;
  • аккаунты в социальных сетях;
  • учетная запись в iCloud;
  • почтовые ящики;
  • служебные учетные записи.

Панацеей такой способ защиты не назовешь, но он сводит к минимуму недостатки парольной защиты и усложняет задачу злоумышленникам. Ведь если пароль к аккаунту удалось подобрать, то для преодоления второго барьера хакеру придется раздобыть телефон жертвы или ее почтовый ящик.


Автор:
Редактор


Пользуетесь ли вы двухфакторной аутентификацией?


Да, везде, где это возможно (23.64%, 13 голосов)
23.64%
Да, но не везде, только на важных мне ресурсах (49.09%, 27 голосов)
49.09%
Ничего важного в интернете не держу, мне достаточно пароля (27.27%, 15 голосов)
27.27%
Свой вариант (в комментариях) (0%, 0 голосов)
0%

Комментарии
В избранное Подписаться на ответы Сортировка: Древо развёрнутое
Свернуть все
1. starik-2005 2772 18.01.19 12:50 Сейчас в теме
Как всегда отсутствует вариант: "кладу болт". Под него подходит только свой вариант в комментах, но не очень.
Vafla; alalsl; wowik; Bukaska; Octopus; +5 1 Ответить
2. My_ 18.01.19 12:55 Сейчас в теме
(1)
всегда отсутствует вариант: "кладу болт". Под него подходит только

еще один Вариант "Кладут болт пока не случиться нечто..."
Как говориться кто то учиться делать бекапы на чужих ошибках, кто то на своих )
Kochergov; george_nail; +2 Ответить
3. starik-2005 2772 18.01.19 13:01 Сейчас в теме
(2) любая зависимость - это ограничение. Есть ограничения, без которых невозможно жить. Есть те, с которыми жить можно (например, зависимость от табака и алкоголя - без этого всего можно отлично жить). Безопасность в Интернете - это очень условная величина. Двухфакторная аутентификация может и не спасти. Поэтому я время пользования ресурсами с возможностью управлять финансами через Интернет или приложение максимально сокращаю, если вдруг это необходимо.
4. echo77 1591 18.01.19 13:36 Сейчас в теме
(3) Наверняка, в онлайн банкинге, что вы используете двухфакторная аутентификация. Во всех онлайн банкингах, которыми я пользовался была двухфакторная аутентификация.
My_; Kochergov; +2 Ответить
6. AlX0id 18.01.19 14:07 Сейчас в теме
(2) И вариант: Кладут болт на правило "тся/ться" - до тех пор пока не придет гаммар-наци с большой битой..
12. rusia 18.01.19 15:54 Сейчас в теме
(6) а хто ентот гаммарь-наци? Он в нациков гамаеть большой битой? )))
15. AlX0id 18.01.19 16:14 Сейчас в теме
(12)
Шлепает по попе тех плохих мальчиков и девочек, которые не учили русский язык в школе.
My_; Kochergov; +2 Ответить
5. capitan 2249 18.01.19 13:51 Сейчас в теме
Красное поле свидетельствует о том, что аккаунт взломан, и пароль к нему лучше поменять
- это несколько вольная интерпретация исходной информации
Е -майл на принтскрине - найден на 68 взломанных сайтах и 57 раз в pastebin, но это не значит что он взломан
sergathome; +1 Ответить
7. oleg-x 24 18.01.19 14:25 Сейчас в теме
Просто огромная база данных адресов, от каких то еще есть пароли.
sergathome; +1 Ответить
8. capitan 2249 18.01.19 14:27 Сейчас в теме
Вспоминается...
Семья готовится баиньки.
Муж: Пойду почту проверю
Жена, ждет, ждет, потом думает да ну его нафиг и спать
Утром встает. Муж сидит руки держит на клавиатуре и ногой пытается выдернуть шнур из розетки
- в чем дело?
- Запустил я почту, пришло письмо с офигенной блондинкой. Хочешь увидеть меня голой -нажми одновременно 10 клавиш. Ну я нажал, а она в ответ: уберешь руки - отформатирую жесткий диск.


Как бы это ни заунывно звучало - Чисто там где не сорят.
Если обычный пользователь не злоупотребляет взрослыми видео, то особо бояться нечего.
И наоборот, двухфакторная аутентификация это чаще обманчивая иллюзия защиты, чем таковая есть.
Почитайте историю APT37 и ее атаки на SWIFT, получше бондианы будет.
Я думаю в SWIFT была двухфакторная аутентификация)
23. webester 25 20.01.19 15:22 Сейчас в теме
(8)На текущий момент двухфакторная авторизация это панацея. Если говорить о защите в контексте проблемы про которую рассказывает статья. Если ты пользуешься какими-то ключевыми ресурсами с инфицированноо компьютера, то тут не поможет ничего да. Но к теме обсуждения повторюсь это не имеет никакого отношения. Что подразумевается: твой компьютер был заражен и дальше два варианта: 1. Вирус собрал какие смог пароли и личные данные и слил их хакеру. 2. Вирус подменяет страницы, вмешивается в активность, выводит деньги и тд и тд. Первый вариант самый простой и самый вероятный. Двухфактроная аутентификация здесь как раз таки панацея, так как одного пароля для доступа к аккаунта. Второй вариант очень сложный и дорогой. Нет никакого смысла, заморачиваться если на кону не стоят миллионы. А вот атаки на банки, наверное в том, числе и описанная вами совершенно другое дело. Так, что в данном контексте двухфакторная аутентификация это как раз панацея. Хотелось бы прояснить пару моментов:
это чаще обманчивая иллюзия защиты, чем таковая есть.
Пруфы?
Почитайте историю APT37 и ее атаки на SWIFT, получше бондианы будет.
не могу найти увлекательных историй. Везде просто кратко в виде новости: "Был взлом деньги вывели", можно ссылку?
Если обычный пользователь не злоупотребляет взрослыми видео, то особо бояться нечего.

И даже если злоупотребляешь, но не выключаешь при этом мозг, то тоже особо бояться нечего.
26. capitan 2249 20.01.19 20:12 Сейчас в теме
(23)Забываете простую вещь - если ломают смартфон, то вся двухфакторная авторизация накрывается медным тазом
34. webester 25 22.01.19 02:46 Сейчас в теме
(26)Не знаю как с андроидом. Но айфоны пока ломать не научились. Предполагаю, что не рутованный андроид тоже обеспечивает достаточную безопасность.
38. capitan 2249 22.01.19 12:45 Сейчас в теме
(34)Ломают даже сотовую связь. Все дело с сумме.
27. capitan 2249 20.01.19 20:14 Сейчас в теме
35. webester 25 22.01.19 02:47 Сейчас в теме
(27)Доступна только треть от статьи,если не 1/8.Нашел целиком
29. CSiER 34 21.01.19 07:28 Сейчас в теме
(23) Многое зависит от того, как именно проверяется второй фактор - достаточно часто в качестве транспорта используется смс. Positive Technologies ещё году в 2013 объясняли, как можно получить смс для любого номера (гуглите по ss7) - на тот момент уже цена была не космос (если память не изменяет, около 1000$). Если хотите нормальную двухфакторку - про смс лучше забыть и использовать hardware-решения.
33. webester 25 22.01.19 02:43 Сейчас в теме
(29)Дьявол кроется в деталях как всегда. Первое это для того, что бы реализовать подобную атаку одного оборудования недостаточно, то есть цена там далеко не 1000$. Второе: Я помню, что использование 3g или затрудняло работу или делало взлом невозможным. Но пруфов нет. могу ошибаться. Третье: все серьезные банки запоминают идентификатор сим. У меня после смены симки были проблемы с получением смс от сбера где-то год, два назад, как сейчас не знаю.Четвертое бывает, что сервис использует пуши вместо смс. И да имея ввиду двухфакторную аутентификацию, я имел ввиду что-то такое а не смс, хотя смс тоже можно считать двухфакторной аутентификацией. И там есть не только описанная вами уязвимость.
36. CSiER 34 22.01.19 02:58 Сейчас в теме
(33) Вам банк отправит смс на Вашу симку, но придёт это сообщение конкретна на Ваш телефон немного позже (или не дойдёт вообще) - https://xakep.ru/2017/09/19/ss7-flaws-poc/, https://keddr.com/2016/07/ekspertyi-schitayut-metod-dvuhetapnoy-autentifikatsii-ustarevshim/. Push уведомления - "яйца в одну корзину", IMHO.
(33)
Дьявол кроется в деталях как всегда
- да, именно это и хотел сказать )
37. webester 25 22.01.19 07:23 Сейчас в теме
(36)
Вам банк отправит смс на Вашу симку, но придёт это сообщение конкретна на Ваш телефон немного позже (или не дойдёт вообще)

Еще раз сообщение не придет никуда кроме SIM с зарегестрированным ID. Не помню как его зовут точно. То есть мошеннику нужна твоя симка.
(36)
Push уведомления - "яйца в одну корзину"

Согласен. Но в этом случае, какая разница, что приходит, пуш или смс? За исключением того, что пуш не так просто перехватить.
39. CSiER 34 22.01.19 17:35 Сейчас в теме
(37)
Еще раз сообщение не придет никуда кроме SIM с зарегестрированным ID
- там проблема в самом протоколе SS7. Как конкретная sim решает проблему протокола мне без более подробного описания понять будет сложно - не встречал подобной инфы. Я Вам написал не спора ради.
(37)
Но в этом случае, какая разница, что приходит, пуш или смс?
- никакой.
9. PowerBoy 3218 18.01.19 14:40 Сейчас в теме
Pwned - как переводится? Яндекс не знает, Гугл говорит что - "Косоглазый".
10. le0nid 18.01.19 14:54 Сейчас в теме
(9) Pwned - это искажение от английского слова "owned", означает "отыметь".
Kochergov; +1 Ответить
11. wbazil 137 18.01.19 15:40 Сейчас в теме
интересный сервис, напоминает "... введите для поверки полные данные своей кредитной карты для проверки её в БД хакеров."
13. m_aster 100 18.01.19 15:57 Сейчас в теме
(11)Первая мысль похожей), что за сервис еще такой неизвестно.
14. m_aster 100 18.01.19 16:03 Сейчас в теме
https://hitech.newsru.com/article/09Dec2013/haveibeenpwned,
В интернете открылся ресурс haveibeenpwned.com, на котором каждый пользователь сети может проверить, не взламывали ли злоумышленники его учетные записи на тех или иных сайтах. Сервис создал один из разработчиков компании Microsoft Трой Хант.
Kochergov; +1 Ответить
16. Vovan1975 13 18.01.19 17:49 Сейчас в теме
Докажи что не лох - отправь смс с текстом "я не лох" на номер...
17. MaxS 2558 18.01.19 17:55 Сейчас в теме
Чтобы пополнить базу адресов и паролей, хакеры создали сайт для проверки наличия адреса и пароля в базе. ;) "Спасибо за информацию! Ваших данных ещё нет в базе!"
My_; Brawler; +2 Ответить
18. 3vs 19.01.19 07:49 Сейчас в теме
Директор, видимо прочитал где-то про эту новость, прислал ссылку на haveibeenpwned.com.
Попробовал несколько адресов все в красном.
Интригует "проверка ваших паролей".

В принципе, ничего удивительного, на мэйл и яндексе свои спецы сидят, могут слить по мере надобности информацию, в Штатах свои, нет уже никакой тайны, если только у вас нет телефона и компьютера!
19. ResAndDev 20.01.19 05:39 Сейчас в теме
Все время казалось, что все эти взломы где-то "там", далеко ... Но когда взломали мою почту и увели аккаунт в танчиках - сразу везде включил двухэтапную проверку, и поставил пароль из 25 символов...

В танки давно уже не играю, но привычку сохранил. Мораль - пока тебя, да да, ЛИЧНО ТЕБЯ не коснется, все эти резервные копии и сложные пароли будут казаться чем то "далеким" и не "твоим"...
20. alfakorea 20.01.19 10:23 Сейчас в теме
ломали через rdp комп и запаролили важные файлы. пришлось все снести и инвентаризаию делать. потом стал бэкапить каждый день, потом раз в неделю, потом раз в месяц... забылось уже каково это быть взломанным
21. nvv1970 20.01.19 11:30 Сейчас в теме
Три ящика с mail.ru - горят красным (
Остальные сервисы - норм.

То, что ящик в базе не говорит о том, что пароль в базе верный.
24. webester 25 20.01.19 15:30 Сейчас в теме
(21)Больше того это даже не всегда говорит о том, что пароль в базе от ящика. Вполне может быть это пароль от взломанного сервиса, где был аккаунт с таким ящиком.
25. nvv1970 20.01.19 15:34 Сейчас в теме
(24) Совершенно верно. Для тысяч мусорных регистраций использую именно майлру.
Очевидно, что объектом утечек становятся именно незащищенные сайты, а не сам почтовик.
22. Xershi 968 20.01.19 12:06 Сейчас в теме
Написал что Рамблер и ВК ломали. На всякий случай сменю пароль 16 значный))
28. madonov 164 21.01.19 02:56 Сейчас в теме
(22) ящик на рамблере ещё можно понять (хоть на дворе и 2019, а не 2004), но как вы умудрились создать почту в ВК?
30. Petrosyanc 7 21.01.19 08:52 Сейчас в теме
(28) видимо не вк, а бк.ру он же майл.ру
у меня кстати на майле тож ящик красным горит. И у жены тоже красным майловский ящик подсвечен. Похоже майл.ру сервис себя скомпрометировал?
31. Xershi 968 21.01.19 09:48 Сейчас в теме
(28) сервис похоже работает по принципу такому:
Взломали бд.
Скачали список почт.
Почта появилась в сервисе.

Взломали ли ящик не факт, но перестраховаться стоит!
32. Painted 48 21.01.19 11:39 Сейчас в теме
Все мои российские ящики показывает красным, а гугловские нет )))
Совпадение?
40. MaxS 2558 24.01.19 15:54 Сейчас в теме
Давно уже думаю поставить симку, куда приходят смс-ки от банка, авторизации и т.п. поставить на простой кнопочный телефон, а в смартфон симку для интернета.
Оставьте свое сообщение

См. также

GitHub опубликовал статистику по языкам и проектам за 2022 год

Новость ИТ-новость Языки программирования Разработка

В статистическом отчете репозитория названы самые популярные языки программирования среди пользователей платформы, а также данные об активности аудитории сервиса.

01.12.2022    1114    VKuser24342747    11       

Инспекторы смогут проводить дистанционные проверки через смартфон

Новость ИТ-новость Мобильные приложения

Минэкономразвития представило мобильное приложение, которое позволит осуществлять надзорные мероприятия бизнеса без посещения офиса. Программа работает через Госуслуги.

28.11.2022    1132    VKuser24342747    0       

«Яндекс» представил бесплатный сервис для быстрого поиска в облаке

Новость ИТ-новость Облачные технологии

Сервис Managed Service for OpenSearch от платформы Yandex Cloud предназначен для оптимизации поисковых систем и проверки стабильности и безопасности работы приложений. Услуга доступа в режиме Public Preview.

24.11.2022    1401    VKuser24342747    1       

В декабре начнут действовать новые правила регистрации доменов .RU и .РФ

Новость ИТ-новость Роскомнадзор

С 12 декабря Роскомнадзор получит право прекращать делегирование домена, если он оформлен нелегально, или на сайте содержится запрещенная в России информация.

23.11.2022    1152    VKuser24342747    1       

Stack Overflow запустил проект для оффлайн-доступа к форуму

Новость ИТ-новость Разработка

Проект под названием Overflow Offline позволяет скачать актуальную версию архива вопросов и ответов по разработке ПО. По объему данных база форума уступает только «Википедии».

02.11.2022    1151    VKuser24342747    1       

Минцифры запустило магазин российского ПО из реестра ИТ-решений

Новость Импортозамещение ИТ-новость

Маркетплейс «Руссофт» стал доступен для всех пользователей. С его помощью можно подобрать программы от отечественных разработчиков для решения корпоративных задач бизнеса.

21.10.2022    1631    VKuser24342747    4       

В ноябре начнется создание российского государственного аналога GitHub

Новость ИТ-новость

Правительство озвучило дату запуска эксперимента по разработке отечественного репозитория ПО. Исходники программ, в том числе разработанных для госорганов, будут публиковаться в нем под открытой лицензией.

19.10.2022    2373    VKuser24342747    14       

OpenAI опубликовала код системы распознавания речи Whisper

Новость Искусственный интеллект ИТ-новость

OpenAI открыла исходный код эталонной реализации на базе фреймворка PyTorch и набор уже обученных моделей для использования под лицензией MIT. Нейросеть используется для перевода речи в текст.

28.09.2022    2618    VKuser24342747    0       

Вторая версия среды разработки для плат Arduino вышла из бета-теста

Новость ИТ-новость Микроэлектроника

Arduino IDE 2.0 получила стабильную версию, в которой появилась поддержка автодополнения кода и темная тема. Разработка заняла несколько лет. Программа распространяется бесплатно.

23.09.2022    2643    VKuser24342747    0       

Основатель движения свободного ПО выпустил руководство по языку C

Новость Linux ИТ-новость Языки программирования

Ричард Мэттью Столлман, основатель Фонда свободного программного обеспечения, представил руководство по языку C и расширениям GNU. Пособие доступно всем желающим и предназначено как для опытных, так и начинающих программистов.

19.09.2022    2197    VKuser24342747    0       

«Ростелеком» предложил создать национальную экосистему на базе «Авроры»

Новость Импортозамещение ИТ-новость Мобильные приложения

Провайдер считает, что государственная мобильная экосистема поможет обеспечить технологическую независимость и экономический подъем страны. А ОС «Аврора» наиболее перспективная разработка для достижения этих целей.

15.09.2022    2151    VKuser24342747    5       

Яндекс выложил в открытый доступ инструмент для разработки мобильных приложений

Новость ИТ-новость Мобильные приложения Яндекс

Фреймворк DivKit от Яндекса стал доступен как open source решение. Инструмент позволяет менять интерфейс приложений без скачивания обновлений и значительно ускоряет мобильную разработку.

02.09.2022    1820    VKuser24342747    0       

Группа компаний «Астра» представила собственную мобильную ОС

Новость Linux ИТ-новость Мобильные приложения

Доработанная ОС Astra Linux Special Edition может быть запущена на большом числе мобильных устройств, в том числе на планшетах и смартфонах с процессорами на архитектурах ARM, «Эльбрус» и x86-64.

25.08.2022    1498    VKuser24342747    1       

В России разработаны меры для решения проблемы нехватки ИТ-специалистов

Новость ИТ-новость

Вице-премьер Дмитрий Чернышенко сообщил, что сейчас экономике страны не хватает 1 млн ИТ-специалистов. Способы преодоления дефицита закреплены в программе нацпроекта «Цифровая экономика»

05.08.2022    1654    VKuser24342747    11       

Яндекс открыл доступ к фреймворку для создания приложений с микросервисной архитектурой

Новость GitHub ИТ-новость Яндекс

Инструмент Userver опубликован как бесплатное open source решение. Яндекс уже несколько лет эффективно его использует в своих приложениях Go, «Еда», «Лавка», «Доставка» и другие. Фреймворк находится в стадии бета – переезда на открытую разработку.

02.08.2022    2501    VKuser24342747    19       

Бизнес сможет использовать повышающий коэффициент для расходов на покупку ПО

Новость ИТ-новость

Принят закон, который позволяет компаниям учитывать расходы на отечественные программы и радиоэлектронное оборудование с коэффициентом 1,5. Решения должны быть включены в соответствующие реестры и относиться к ИИ.

26.07.2022    2268    VKuser24342747    0       

Минэкономразвития тестирует миграцию с Windows 10 на Astra Linux

Новость ИТ-новость

Министерство проводит эксперимент, в ходе которого сотрудники используют российскую ОС Astra Linux вместо Windows 10. По словам главы департамента, эксперимент проходит успешно.

11.07.2022    1827    VKuser24342747    0       

Вышла версия открытого текстового редактора Vim 9.0

Новость ИТ-новость

В приложение добавлен скриптовый язык с поддержкой компилируемых функций для создания плагинов, улучшена проверка правописания и автодополнения, предоставлен выбор цветовых схем.

07.07.2022    1996    VKuser24342747    0       

 «Яндекс» открыл доступ к SmartCaptcha и нейросети по генерации текстов 

Новость ИТ-новость Яндекс

Компания открыла доступ к алгоритму SmartCaptcha, который защищает сайт от спама и DDoS-атак, а также к проекту YaLM 100B, способному писать тексты на английском и русском языках. 

29.06.2022    2246    VKuser24342747    0       

«Яндекс» предложил разработчикам пройти диагностику технических навыков

Новость Кадровые агентства, подбор персонала ИТ-новость Яндекс

Компания запустила сервис, при помощи которого можно получить оценку своих технических навыков от специалистов «Яндекса». Тестирование включает онлайн-интервью и решение задач с реальных собеседований. 

27.06.2022    2110    VKuser24342747    1       

GitHub открыл доступ всем разработчикам к ИИ-помощнику Copilot по подписке

Новость GitHub Искусственный интеллект ИТ-новость

Github Copilot стал общедоступным, но для его использования пользователю репозитория нужно приобрести подписку. Хотя некоторые разработчики могут пользоваться инструментом бесплатно.

24.06.2022    3805    VKuser24342747    1       

В России планируют учредить Федерацию спортивного программирования

Новость ИТ-новость

Минцифры и Минспорта подписали меморандум, в котором закреплено сотрудничество ведомств по развитию в стране спортивного программирования и проведение первого официального чемпионата.

21.06.2022    2757    VKuser24342747    6       

Microsoft окончательно прекратила поддержку Internet Explorer

Новость Интернет ИТ-новость

Microsoft прекратила выпуск обновлений для своего браузера Internet Explorer, а с августа начнет удалять приложение из актуальных версий Windows. Эксперты полагают, что из-за этого пострадает много бизнес-пользователей.

17.06.2022    3254    VKuser24342747    4       

В России начал работу отечественный сервис мониторинга сбоев

Новость Импортозамещение Интернет ИТ-новость

Российская компания BrandAnalytics запустила платформу «Детектор сбоев», предназначенную для отслеживания работоспособности сайтов и сервисов, в том числе русскоязычных.

16.06.2022    2109    VKuser24342747    0       

Минцифры запустило систему отслеживания поддельных сайтов

Новость Безопасность Интернет ИТ-новость

Информационная система под названием «Антифишинг» способна обнаруживать мошеннические веб-ресурсы, которые выглядят как официальные сайты госорганов, компаний и соцсетей.

14.06.2022    2950    VKuser24342747    0