Взлом исторического масштаба: хакеры выложили в сеть 793 млн адресов почты и 21 млн паролей

18.01.2019      9985

Первым утечку обнаружил австралийский специалист по кибербезопасности Трой Хант. База данных с адресами электронных почт и паролями от них состоит из 12 тыс. файлов и «весит» 87 Гб.

Этот архив стал самым большим из тех, что когда-либо выкладывали открытый доступ. Его назвали «Коллекция №1». База данных появилась на сервисе MEGA.

Источники утечки

Хант отметил, что часть коллекции хакеры позаимствовали из других баз данных. Папки архива называются Games, BTC, Mail Access, что может указывать на возможный источник утечки. Тем не менее, в «Коллекции» 140 млн адресов электронной почты, которые не выкладывались публично.

Этот архив злоумышленники могут использовать, чтобы перебрать комбинации адресов электронной почты и паролей и получить доступ к аккаунтам пользователей. В «Лаборатории Касперского» уже прокомментировали ситуацию:

«Эта огромная база данных собиралась долгое время, – отметил антивирусный эксперт Сергей Ложкин. – В нее добавлялись учетные записи и пароли, в том числе российских пользователей, которые становились публичными после крупных утечек, поэтому некоторые учетные данные, вероятнее всего, уже устарели».

Но и здесь есть свои нюансы: некоторые пользователи подолгу не меняют или используют одни и те же пароли для аккаунтов на разных сайтах.

А ваш адрес есть в «Коллекции»?

Трой Хант поддерживает сайт Have I Been Pwned с данными о миллионах украденных аккаунтов. Достаточно ввести в строку поиска свой email, чтобы проверить его на предмет утечки. Красное поле свидетельствует о том, что аккаунт взломан, и пароль к нему лучше поменять, зеленое – вам повезло, и хакеры до вашей почты еще не добрались.

 

 

Специалисты «Лаборатории Касперского» напомнили пользователям о двухфакторной аутентификации. Этот метод обеспечивает двухслойную защиту аккаунта от злоумышленников. Пользователь дважды подтверждает свою личность: сначала вводит логин и пароль, а затем получает специальный код в SMS-сообщении или по электронной почте. Часто вторым слоем защиты становятся USB-ключ или биометрические данные пользователей.

Позаботиться о двухфакторной аутентификации рекомендуют на следующих ресурсах:

  • интернет-банкинг;
  • аккаунты в социальных сетях;
  • учетная запись в iCloud;
  • почтовые ящики;
  • служебные учетные записи.

Панацеей такой способ защиты не назовешь, но он сводит к минимуму недостатки парольной защиты и усложняет задачу злоумышленникам. Ведь если пароль к аккаунту удалось подобрать, то для преодоления второго барьера хакеру придется раздобыть телефон жертвы или ее почтовый ящик.


Автор:
Дарья Расина Редактор


Пользуетесь ли вы двухфакторной аутентификацией?


Да, везде, где это возможно (23.64%, 13 голосов)
23.64%
Да, но не везде, только на важных мне ресурсах (49.09%, 27 голосов)
49.09%
Ничего важного в интернете не держу, мне достаточно пароля (27.27%, 15 голосов)
27.27%
Свой вариант (в комментариях) (0%, 0 голосов)
0%

Комментарии
В избранное Подписаться на ответы Сортировка: Древо развёрнутое
Свернуть все
1. starik-2005 2521 18.01.19 12:50 Сейчас в теме
Как всегда отсутствует вариант: "кладу болт". Под него подходит только свой вариант в комментах, но не очень.
Vafla; alalsl; wowik; Bukaska; Octopus; +5 1 Ответить
2. My_ 18.01.19 12:55 Сейчас в теме
(1)
всегда отсутствует вариант: "кладу болт". Под него подходит только

еще один Вариант "Кладут болт пока не случиться нечто..."
Как говориться кто то учиться делать бекапы на чужих ошибках, кто то на своих )
Kochergov; george_nail; +2 Ответить
3. starik-2005 2521 18.01.19 13:01 Сейчас в теме
(2) любая зависимость - это ограничение. Есть ограничения, без которых невозможно жить. Есть те, с которыми жить можно (например, зависимость от табака и алкоголя - без этого всего можно отлично жить). Безопасность в Интернете - это очень условная величина. Двухфакторная аутентификация может и не спасти. Поэтому я время пользования ресурсами с возможностью управлять финансами через Интернет или приложение максимально сокращаю, если вдруг это необходимо.
4. echo77 1448 18.01.19 13:36 Сейчас в теме
(3) Наверняка, в онлайн банкинге, что вы используете двухфакторная аутентификация. Во всех онлайн банкингах, которыми я пользовался была двухфакторная аутентификация.
My_; Kochergov; +2 Ответить
6. AlX0id 18.01.19 14:07 Сейчас в теме
(2) И вариант: Кладут болт на правило "тся/ться" - до тех пор пока не придет гаммар-наци с большой битой..
12. rusia 18.01.19 15:54 Сейчас в теме
(6) а хто ентот гаммарь-наци? Он в нациков гамаеть большой битой? )))
15. AlX0id 18.01.19 16:14 Сейчас в теме
(12)
Шлепает по попе тех плохих мальчиков и девочек, которые не учили русский язык в школе.
My_; Kochergov; +2 Ответить
5. capitan 2124 18.01.19 13:51 Сейчас в теме
Красное поле свидетельствует о том, что аккаунт взломан, и пароль к нему лучше поменять
- это несколько вольная интерпретация исходной информации
Е -майл на принтскрине - найден на 68 взломанных сайтах и 57 раз в pastebin, но это не значит что он взломан
sergathome; +1 Ответить
7. oleg-x 17 18.01.19 14:25 Сейчас в теме
Просто огромная база данных адресов, от каких то еще есть пароли.
sergathome; +1 Ответить
8. capitan 2124 18.01.19 14:27 Сейчас в теме
Вспоминается...
Семья готовится баиньки.
Муж: Пойду почту проверю
Жена, ждет, ждет, потом думает да ну его нафиг и спать
Утром встает. Муж сидит руки держит на клавиатуре и ногой пытается выдернуть шнур из розетки
- в чем дело?
- Запустил я почту, пришло письмо с офигенной блондинкой. Хочешь увидеть меня голой -нажми одновременно 10 клавиш. Ну я нажал, а она в ответ: уберешь руки - отформатирую жесткий диск.


Как бы это ни заунывно звучало - Чисто там где не сорят.
Если обычный пользователь не злоупотребляет взрослыми видео, то особо бояться нечего.
И наоборот, двухфакторная аутентификация это чаще обманчивая иллюзия защиты, чем таковая есть.
Почитайте историю APT37 и ее атаки на SWIFT, получше бондианы будет.
Я думаю в SWIFT была двухфакторная аутентификация)
23. webester 35 20.01.19 15:22 Сейчас в теме
(8)На текущий момент двухфакторная авторизация это панацея. Если говорить о защите в контексте проблемы про которую рассказывает статья. Если ты пользуешься какими-то ключевыми ресурсами с инфицированноо компьютера, то тут не поможет ничего да. Но к теме обсуждения повторюсь это не имеет никакого отношения. Что подразумевается: твой компьютер был заражен и дальше два варианта: 1. Вирус собрал какие смог пароли и личные данные и слил их хакеру. 2. Вирус подменяет страницы, вмешивается в активность, выводит деньги и тд и тд. Первый вариант самый простой и самый вероятный. Двухфактроная аутентификация здесь как раз таки панацея, так как одного пароля для доступа к аккаунта. Второй вариант очень сложный и дорогой. Нет никакого смысла, заморачиваться если на кону не стоят миллионы. А вот атаки на банки, наверное в том, числе и описанная вами совершенно другое дело. Так, что в данном контексте двухфакторная аутентификация это как раз панацея. Хотелось бы прояснить пару моментов:
это чаще обманчивая иллюзия защиты, чем таковая есть.
Пруфы?
Почитайте историю APT37 и ее атаки на SWIFT, получше бондианы будет.
не могу найти увлекательных историй. Везде просто кратко в виде новости: "Был взлом деньги вывели", можно ссылку?
Если обычный пользователь не злоупотребляет взрослыми видео, то особо бояться нечего.

И даже если злоупотребляешь, но не выключаешь при этом мозг, то тоже особо бояться нечего.
26. capitan 2124 20.01.19 20:12 Сейчас в теме
(23)Забываете простую вещь - если ломают смартфон, то вся двухфакторная авторизация накрывается медным тазом
34. webester 35 22.01.19 02:46 Сейчас в теме
(26)Не знаю как с андроидом. Но айфоны пока ломать не научились. Предполагаю, что не рутованный андроид тоже обеспечивает достаточную безопасность.
38. capitan 2124 22.01.19 12:45 Сейчас в теме
(34)Ломают даже сотовую связь. Все дело с сумме.
27. capitan 2124 20.01.19 20:14 Сейчас в теме
35. webester 35 22.01.19 02:47 Сейчас в теме
(27)Доступна только треть от статьи,если не 1/8.Нашел целиком
29. CSiER 32 21.01.19 07:28 Сейчас в теме
(23) Многое зависит от того, как именно проверяется второй фактор - достаточно часто в качестве транспорта используется смс. Positive Technologies ещё году в 2013 объясняли, как можно получить смс для любого номера (гуглите по ss7) - на тот момент уже цена была не космос (если память не изменяет, около 1000$). Если хотите нормальную двухфакторку - про смс лучше забыть и использовать hardware-решения.
33. webester 35 22.01.19 02:43 Сейчас в теме
(29)Дьявол кроется в деталях как всегда. Первое это для того, что бы реализовать подобную атаку одного оборудования недостаточно, то есть цена там далеко не 1000$. Второе: Я помню, что использование 3g или затрудняло работу или делало взлом невозможным. Но пруфов нет. могу ошибаться. Третье: все серьезные банки запоминают идентификатор сим. У меня после смены симки были проблемы с получением смс от сбера где-то год, два назад, как сейчас не знаю.Четвертое бывает, что сервис использует пуши вместо смс. И да имея ввиду двухфакторную аутентификацию, я имел ввиду что-то такое а не смс, хотя смс тоже можно считать двухфакторной аутентификацией. И там есть не только описанная вами уязвимость.
36. CSiER 32 22.01.19 02:58 Сейчас в теме
(33) Вам банк отправит смс на Вашу симку, но придёт это сообщение конкретна на Ваш телефон немного позже (или не дойдёт вообще) - https://xakep.ru/2017/09/19/ss7-flaws-poc/, https://keddr.com/2016/07/ekspertyi-schitayut-metod-dvuhetapnoy-autentifikatsii-ustarevshim/. Push уведомления - "яйца в одну корзину", IMHO.
(33)
Дьявол кроется в деталях как всегда
- да, именно это и хотел сказать )
37. webester 35 22.01.19 07:23 Сейчас в теме
(36)
Вам банк отправит смс на Вашу симку, но придёт это сообщение конкретна на Ваш телефон немного позже (или не дойдёт вообще)

Еще раз сообщение не придет никуда кроме SIM с зарегестрированным ID. Не помню как его зовут точно. То есть мошеннику нужна твоя симка.
(36)
Push уведомления - "яйца в одну корзину"

Согласен. Но в этом случае, какая разница, что приходит, пуш или смс? За исключением того, что пуш не так просто перехватить.
39. CSiER 32 22.01.19 17:35 Сейчас в теме
(37)
Еще раз сообщение не придет никуда кроме SIM с зарегестрированным ID
- там проблема в самом протоколе SS7. Как конкретная sim решает проблему протокола мне без более подробного описания понять будет сложно - не встречал подобной инфы. Я Вам написал не спора ради.
(37)
Но в этом случае, какая разница, что приходит, пуш или смс?
- никакой.
9. PowerBoy 3123 18.01.19 14:40 Сейчас в теме
Pwned - как переводится? Яндекс не знает, Гугл говорит что - "Косоглазый".
10. le0nid 18.01.19 14:54 Сейчас в теме
(9) Pwned - это искажение от английского слова "owned", означает "отыметь".
Kochergov; +1 Ответить
11. wbazil 130 18.01.19 15:40 Сейчас в теме
интересный сервис, напоминает "... введите для поверки полные данные своей кредитной карты для проверки её в БД хакеров."
13. m_aster 100 18.01.19 15:57 Сейчас в теме
(11)Первая мысль похожей), что за сервис еще такой неизвестно.
14. m_aster 100 18.01.19 16:03 Сейчас в теме
https://hitech.newsru.com/article/09Dec2013/haveibeenpwned,
В интернете открылся ресурс haveibeenpwned.com, на котором каждый пользователь сети может проверить, не взламывали ли злоумышленники его учетные записи на тех или иных сайтах. Сервис создал один из разработчиков компании Microsoft Трой Хант.
Kochergov; +1 Ответить
16. Vovan1975 13 18.01.19 17:49 Сейчас в теме
Докажи что не лох - отправь смс с текстом "я не лох" на номер...
17. MaxS 2328 18.01.19 17:55 Сейчас в теме
Чтобы пополнить базу адресов и паролей, хакеры создали сайт для проверки наличия адреса и пароля в базе. ;) "Спасибо за информацию! Ваших данных ещё нет в базе!"
My_; Brawler; +2 Ответить
18. 3vs 19.01.19 07:49 Сейчас в теме
Директор, видимо прочитал где-то про эту новость, прислал ссылку на haveibeenpwned.com.
Попробовал несколько адресов все в красном.
Интригует "проверка ваших паролей".

В принципе, ничего удивительного, на мэйл и яндексе свои спецы сидят, могут слить по мере надобности информацию, в Штатах свои, нет уже никакой тайны, если только у вас нет телефона и компьютера!
19. ResAndDev 20.01.19 05:39 Сейчас в теме
Все время казалось, что все эти взломы где-то "там", далеко ... Но когда взломали мою почту и увели аккаунт в танчиках - сразу везде включил двухэтапную проверку, и поставил пароль из 25 символов...

В танки давно уже не играю, но привычку сохранил. Мораль - пока тебя, да да, ЛИЧНО ТЕБЯ не коснется, все эти резервные копии и сложные пароли будут казаться чем то "далеким" и не "твоим"...
20. alfakorea 20.01.19 10:23 Сейчас в теме
ломали через rdp комп и запаролили важные файлы. пришлось все снести и инвентаризаию делать. потом стал бэкапить каждый день, потом раз в неделю, потом раз в месяц... забылось уже каково это быть взломанным
21. nvv1970 20.01.19 11:30 Сейчас в теме
Три ящика с mail.ru - горят красным (
Остальные сервисы - норм.

То, что ящик в базе не говорит о том, что пароль в базе верный.
24. webester 35 20.01.19 15:30 Сейчас в теме
(21)Больше того это даже не всегда говорит о том, что пароль в базе от ящика. Вполне может быть это пароль от взломанного сервиса, где был аккаунт с таким ящиком.
25. nvv1970 20.01.19 15:34 Сейчас в теме
(24) Совершенно верно. Для тысяч мусорных регистраций использую именно майлру.
Очевидно, что объектом утечек становятся именно незащищенные сайты, а не сам почтовик.
22. Xershi 1266 20.01.19 12:06 Сейчас в теме
Написал что Рамблер и ВК ломали. На всякий случай сменю пароль 16 значный))
28. madonov 156 21.01.19 02:56 Сейчас в теме
(22) ящик на рамблере ещё можно понять (хоть на дворе и 2019, а не 2004), но как вы умудрились создать почту в ВК?
30. Petrosyanc 7 21.01.19 08:52 Сейчас в теме
(28) видимо не вк, а бк.ру он же майл.ру
у меня кстати на майле тож ящик красным горит. И у жены тоже красным майловский ящик подсвечен. Похоже майл.ру сервис себя скомпрометировал?
31. Xershi 1266 21.01.19 09:48 Сейчас в теме
(28) сервис похоже работает по принципу такому:
Взломали бд.
Скачали список почт.
Почта появилась в сервисе.

Взломали ли ящик не факт, но перестраховаться стоит!
32. Painted 40 21.01.19 11:39 Сейчас в теме
Все мои российские ящики показывает красным, а гугловские нет )))
Совпадение?
40. MaxS 2328 24.01.19 15:54 Сейчас в теме
Давно уже думаю поставить симку, куда приходят смс-ки от банка, авторизации и т.п. поставить на простой кнопочный телефон, а в смартфон симку для интернета.
Оставьте свое сообщение

См. также

Специальный алгоритм очистит данные переписи населения

Новость Искусственный интеллект ИТ-новость

В России завершился первый этап Всероссийской переписи населения. Росстат будет в автоматическом режиме очищать собранные данные от продублированных записей при помощи российской BI-системы.

вчера в 10:13    3541    VKuser24342747    0       

В офисах Google появились универсальные роботы

Новость Автоматизация ИТ-новость Новости компаний

Офисы Google в Маунтин Вью, штат Калифорния, теперь станут гораздо чище. К уборке привлекли универсальных роботов, разработанных X Company, которая, как и поисковый гигант, входит в состав холдинга Alphabet.

25.11.2021    4140    user1015646    2       

Вышло крупное обновление для TypeScript с автодополнением кода

Новость ИТ-новость Языки программирования

Команда разработки TypeScript представила версию языка под номером 4.5. В ней улучшена производительность технологии, расширены возможности автодополнения и упрощено переподключение библиотек.

24.11.2021    5623    VKuser24342747    4       

GitHub назвал три ключевых тренда в разработке за 2021 год

Новость GitHub Аналитика ИТ-новость

GitHub провел традиционное ежегодное исследование Octoverse, чтобы определить основные направления развития ИТ-индустрии. В 2021 году актуальными стали вопросы быстрого написания кода и подготовки документации.

24.11.2021    5017    VKuser24342747    0       

Рособрнадзор прекратит использовать Windows при проведении ЕГЭ

Новость Импортозамещение ИТ-новость

Единый государственный экзамен к концу 2024 года будет проходить без использования ОС Windows во всех местах, где можно сдать тестирование. Вместо нее будет установлена российская система.

23.11.2021    4019    VKuser24342747    5       

Google выпустил версию браузера Chrome 96

Новость Интернет ИТ-новость Новости компаний

Новая актуальная версия Google Chrome 96 получила расширение инструментов для веб-разработчиков и экспериментальные функции в мобильной версии.

23.11.2021    3913    VKuser24342747    1       

Через Госуслуги компании подтвердили 13,3 млн корпоративных SIM-карт

Новость Безопасность ИТ-новость Телекоммуникации

Министерство цифрового развития сообщило, что компании соблюдают новые требования закона «О связи» и уже зарегистрировали на портале госуслуг 13,3 млн рабочих SIM-карт.

22.11.2021    4619    VKuser24342747    1       

Visual Studio 2022 и .NET 6: что нового

Новость ИТ-новость Новости компаний Языки программирования

Microsoft выпустила свежий релиз одной из самых популярных сред разработки. Вместе с Visual Studio 2022 представили обновленную платформу .NET 6.

22.11.2021    5118    user1015646    0       

Программист разработал поисковую систему без слежки за пользователями

Новость Безопасность Интернет ИТ-новость

Бывший разработчик из компании Salesforce Ричард Сокер открыл публичный доступ к своему поисковому сервису You. В нем нет никаких трекеров личных данных и рекламных материалов.

18.11.2021    4065    VKuser24342747    3       

«Сбер» обучил нейросеть ruGPT-3 генерировать программный код

Новость Искусственный интеллект ИТ-новость Новости компаний

Новая функция самой большой генеративной AI-модели для русского языка получила название JARVIS. Сейчас сервис способен работать с языками программирования Java, Python и JavaScript.

18.11.2021    4309    VKuser24342747    2       

Университет Иннополис создал уникальный российский индустриальный блокчейн

Новость Блокчейн ИТ-новость

В России разработан блокчейн InnoChain, который предназначен для использования в закрытых сетях. С его помощью можно подписывать договоры и планировать объемы продаж.

17.11.2021    5277    VKuser24342747    0       

В Dropbox появились «автоматизированные папки» и новая система тегов

Новость ИТ-новость Облачные технологии

Dropbox добавил в свой облачный сервис функции, которые позволят автоматизировать работу с общими папками и файлами. К ним относятся автоматизированные папки, автоматизированная панель инструментов, соглашения об именах и многофайловая организация.

17.11.2021    4067    SKravchenko    1       

Microsoft выпустит платформу Defender for Business

Новость ИТ-новость Новости компаний

Microsoft Defender for Business станет частью комплексного решения Microsoft 365 Business Premium, которое объединяет Microsoft Teams и Office 365 с основными инструментами безопасности для малого и среднего бизнеса.

16.11.2021    2399    SKravchenko    0       

Adobe Photoshop и Illustrator стали доступны онлайн

Новость

У популярных графических редакторов появились веб-версии. Они позволяют редактировать фото, не устанавливая требовательные к ресурсам приложения на компьютер или смартфон, и включают достаточно широкий набор инструментов.

11.11.2021    3533    user1015646    0       

Что нового в SQL Server 2022

Новость СУБД MS SQL ИТ-новость Новости компаний

Microsoft на ежегодной конференции Microsoft Ignite анонсировала предварительную версию SQL Server 2022 – теперь СУБД включает интеграцию с базой Azure SQL, службой аналитики Azure Synapse Analytics и платформой управления данными Azure Purview.

11.11.2021    7264    SKravchenko    0       

«Сбер» представил нейросеть для генерации картинок по описанию

Новость Искусственный интеллект ИТ-новость

Сервис ruDALL-E способен генерировать изображения с нуля по текстовому описанию на русском языке. Авторы полагают, что модель будет полезна для создания рекламного, архитектурного и промышленного дизайна.

11.11.2021    4804    VKuser24342747    10       

Правительство собирается определить главный российский процессор

Новость Импортозамещение ИТ-новость

Минцифры и Минпромторг намерены выбрать приоритетную российскую микропроцессорную платформу. Разработчики отечественного ПО будут обязаны поддерживать ее.

10.11.2021    4694    VKuser24342747    4       

Первая стабильная версия Microsoft Edge стала доступна для Linux

Новость Linux Интернет ИТ-новость

В репозиториях Linux на портале Microsoft появилась стабильная версия браузера Edge. Пакет под названием microsoft-edge-stable_95 доступен для пользователей Ubuntu, Debian, Fedora и openSUSE.

10.11.2021    5006    VKuser24342747    0       

Microsoft выпустит версию Windows 11 для слабых компьютеров

Новость Windows ИТ-новость

Microsoft намерена представить ОС Windows 11 SE для устройств начального уровня. Для работы операционной системы будет достаточно ноутбука на базе процессора Intel Celeron.

08.11.2021    4113    VKuser24342747    3       

Нейросеть GitHub Copilot стала доступна в Neovim и разработках JetBrains

Новость GitHub Искусственный интеллект ИТ-новость

Ассистент программиста GitHub Copilot, генерирующий код при помощи ИИ, включен в последние версии редактора кода Neovim, а также в IDE IntelliJ и PyCharm от компании JetBrains.

08.11.2021    7302    VKuser24342747    1       

Правительство совместно с ИТ-компаниями подготовили кодекс этики в сфере ИИ

Новость Искусственный интеллект ИТ-новость

Правительство, «Сбер», «Яндекс», VK и другие российские компании подготовили документ, который содержит рекомендации для бизнеса по морально-этическим вопросам использования ИИ.

03.11.2021    4819    VKuser24342747    8       

Аналитики Gartner назвали 12 наиболее перспективных технологий в 2022 году

Новость Аналитика ИТ-новость

Компания Gartner составила список технологий и стратегий, которые уже будут применяться в 2022 году и окажут наиболее существенное влияние на бизнес-среду в ближайшие несколько лет.

03.11.2021    4950    VKuser24342747    2       

Российская компания создала технологию для борьбы с поддельными QR-кодами

Новость Безопасность ИТ-новость

Разработчики из Pro Control создали некопируемый QR-код, поддерживающий двухфакторную систему проверки. Он содержит внутреннюю матрицу, которую нельзя размножить.

02.11.2021    5712    VKuser24342747    0       

Минцифры создаст приложение для чиновников с мессенджером и облачным хранилищем

Новость Безопасность ИТ-новость Мессенджеры Минкомсвязь Мобильные приложения Облачные технологии Цифровая экономика

Минцифры намерено разработать для госслужащих суперприложение, в котором будет доступен набор защищенных инструментов связи. Стоимость реализации проекта – чуть менее 500 млн рублей.

29.10.2021    5236    VKuser24342747    1       

Энтузиаст нашел способ установить Google Play на Windows 11

Новость Windows Android ИТ-новость Мобильные приложения

Пользователь ADeltaX сумел обойти ограничения предварительной версии Windows 11 и установить на устройство магазин Google Play, который позволил запускать любые Android-приложения на ПК.

29.10.2021    8178    VKuser24342747    0