Livejournal не заметил утечки 2014 года
Данными 33 млн пользователей "Живого журнала" с адресами электронной почты и паролями торговали в даркнете
Оригинал этого материала© Ведомости.ру, 11.05.2020, База авторов "Живого журнала" оказалась в открытом доступе, Иллюстрация: @dataleak
Екатерина Кинякина
Данные более чем 33,7 млн пользователей «Живого журнала» (ЖЖ) оказались в открытом доступе, сообщил у себя в телеграм-канале основатель и технический директор компании DeviceLock Ашот Оганесян. База содержит идентификатор пользователя, адрес электронной почты, ссылку на профиль пользователя и пароль от его блога.
Утечка произошла еще в 2014 г., но до сих пор не была достоянием широкой общественности, утверждает Оганесян. Данные продавались на специализированных форумах в даркнете. Оганесян сообщил, что нашел в базе данные о своем блоге и блогах своих друзей. В начале мая, продолжает он, пользователь с именем Винни Тройя (совпадает с именем известного американского исследователя в области кибербезопасности, который обнаружил утечку данных 1,2 млрд пользователей Facebook, Twitter, LinkedIn и сервиса Github в 2019 г.) выложил базу в бесплатный доступ.
ЖЖ с 2016 г. принадлежит Rambler Group. По данным компании, сервисом ежемесячно пользуется 52 млн человек. Представитель холдинга так комментирует ситуацию: «Мы не признаем достоверность информации об утечке, так как заявленный массив состоит из неактуальных и сфальсифицированных данных. В 2011–2012 гг. мы сталкивались с инцидентами подбора паролей наших пользователей, но уже свыше шести лет мы используем систему защиты от подозрительных авторизаций и усовершенствовали механизм хранения паролей. Сейчас в группе риска могли оказаться именно те пользователи, которые не меняли пароли с того времени, — их пароли будут принудительно сброшены. Мы постоянно проводим мониторинг рисков по всем нашим продуктам и делаем всё для того, чтобы пользователи чувствовали себя максимально защищенными. Мы регулярно информируем наших пользователей о необходимости смены пароля и сделали это и в настоящий момент. Информация, распространяемая в сети о якобы «массовой утечке» данных пользователей ЖЖ, не соответствует действительности — это одна из кликбейтных новостей, задача которой привлечь интерес к третьей стороне в данном вопросе».
Специалисты DeviceLock проверили уникальность базы ЖЖ по базе из 5 млрд утекших паролей, утверждает Оганесян. Почти 69% пар почта — пароль оказались уникальными и никогда раньше не встречались в других утечках, более чем в 795 000 строк пароль был не указан, констатирует он: утечка показала, что пароли от аккаунтов ЖЖ хранились в открытом виде и это свидетельствует об уязвимости, заложенной еще при проектировании системы.
База действительно старая и большинство паролей уже не подходят к соответствующим аккаунтам, считает Гавриченков, но ЖЖ не сбросил пароли автоматически в 2014 г., когда стало известно о проблеме. Даже если аккаунты в ЖЖ уже не используются, эти пароли могут все еще быть актуальными для других сервисов и почтовых ящиков его пользователей, предупреждает он. Только сейчас ЖЖ начал рассылать письма с напоминаниями, что пользователи давно не меняли пароль, знает представитель Qrator Labs.
Адрес электронной почты и привычный пароль многие могли использовать в связке логин — пароль на других сервисах — это делает их учетные записи уязвимыми, объясняет другой специалист по информационной безопасности.
Даже если пароль уже устарел, злоумышленники могут попытаться шантажировать жертву, отправляя на e-mail письмо с информацией о пароле и требованием выкупа, опасается старший антивирусный эксперт «Лаборатории Касперского» Денис Легезо.
sporaw, 09.05.2020, "Vedomosti.ru тоже взламывали (не знаю когда)": Не знаю доступна ли публично эта информация и как давно (не буду я это искать), но могу подтвердить, что взлом их был. И так же могу сказать, что пароли они хранят (или хранили на момент взлома) (придурки!) plain-text'ом. Пароли работают до сих пор (то ли они не знают о взломе, то ли им как и lj плевать). В спам-вымогательной рассылке нашел пароль и от них. (Он абсолютно уникальный, random). — Врезка К.ру
© sporaw, 09.05.2020
База livejournal 2012 года (May/2012) ушла в паблик (33.7M записей)
[TL;TR] Поведение LJ по отношению к пользователям крайне некорректное. Огромное число людей остаются в полном неведении и не знают (и не могут узнать) о глубине проблемы (33М+ пользователей — это не шутки, пароли в plain-text с привязкой к e-mail и профилям).
Сама база числится как 2017 год, но реально она — май 2012 (включительно); есть подозрения, что она 2014 года. Добавлю к этому (люди вот сообщают): зарегистрированные в Feb/2016 аккаунты в базе отсутствуют (т.е. это точно не 2017 год). Вот еще поковыряли вместе. Последние идентификаторы в базе:
50015220 lunort (журнал живой) — создан 30 мая 2012
..
50015262 ext_1235203 — создан 31 мая 2012
.. (т.е. в базе нет данных свежее 31 мая 2012 года)
50015268 lubanau (журнал дохлый) [это самая последняя запись в слитой базе]
Справочно из Google пример записи, которой уже нет в слитой базе по идентификатору:
50016914 hey-bl — тоже 31 мая 2012 года
(Добавлено 10.05.2020 21:50) Человек, которого я не мог найти в базе (писал ниже), переименовал свой lj в начале марта 2013 (у него есть точные факты, по которым это удалось установить). В утекшей базе же его lj назван по-старому (поэтому я вначале и не мог найти, т.к. искал не по id). Т.е. эта база не может быть не то, что 2017-ым годом, а даже и 2014. И оценка по последнему userid (выше) наиболее вероятная и корректна — 31 мая 2012 года утечка (т.е. это не "кража старого бэкапа", и не "маскировка свежего взлома" путем урезания данных в базе; эта база в промежутке 31.05.2012 — 02.03.2013; с вероятностью 95% — 31.05.2012).
Никто не помнит, в каком году выдолбили Rambler и его почту?
LiveJournal "классически" хранил пароли в plain-text.
Интересно, сколько еще таких проектов с plain-text хранением существует до сих пор?
Должен отметить еще отдельно: LJ знал об этой утечке минимум несколько раз за весь этот большой срок (2014-2020) (т.е. информация об утечке попадала в паблик, но без данных, либо можно было проверить наличие себя в базе), при этом насколько я вижу — никаких принудительных сбросов/смен паролей со стороны LJ произведено не было за 6 лет (!). Вот этот момент куда интереснее самого исходного факта.
У меня дикий бугурт.
P.S. Достаточно скептически относился к практике периодической смены паролей. Но, похоже, с учетом кривизны чужих сервисов — это вполне серьезный способ избегания сюрпризов.
Добавлено 10.05 02:35 (самая актуальная информация): Администрация LJ до сих пор не сообщила об утечке паролей в plain-text. Это просто жесть. Т.е. большинство пользователей, которые как раз и будут простыми пострадавшими, у кого пароли на разных ресурсах одинаковые или очень похожие, не знают, что все данные за 15+ лет (!) (т.е. пароли, выставленные еще в начале 2000-х годов) утекли в текстовом виде, с привязкой к е-мейлам. Более того, из профилей можно вытащить и кучу другой информации. У многих людей пароли на разных ресурсах (включая почту) одинаковые. LJ просто позорники. На каждом шагу. Начиная от сохранения в плейне, продолжая игнорированием инфорамции о сливе на протяжении нескольких лет, и заканчивая позорным тихушничеством, которое они развели сейчас, когда все это вскрылость.
Добавлено 09.05 20:30 (старая информация): Среди своих знакомых нашел аккаунт, которого нет в этой базе. Аккаунт 2003 года. Интересно. Оказалось, что есть, просто username был изменен позже. Надо было по id искать.
Добавлено 09.05 16:48 (более старая информация): До $@* только что дошло. Только что прислали письмо (!) (при том, что пароль изменен давно уже). Сброс паролей они, похоже, делать жестко так и не планируют (!). Но с учетом того, как они подходят к ситуации (что рассылают вот так даже тем, у кого пароль менялся), я бы ожидал, что если они сброс сделают, то тоже всем, даже кому не нужно :)). Собственно, фактически в этом письме прямым текстом это же и написано. Через 5 дней все пароли будут сброшены. А пока что 5 дней (и 4 года до этого) — творите что хотите.
А еще дико бесит заголовок: "Повторное напоминание об устаревшем пароле". Что?! Повторное?! Что за наглое вранье?
Уважаемый пользователь %User%,
Мы заметили, что вы очень давно не меняли пароль своего аккаунта в Живом Журнале. В целях безопасности мы настоятельно рекомендуем изменять пароль регулярно.
Вы можете изменить пароль прямо сейчас на странице https://www.livejournal.com/changepassword.bml. Подробнее о процедуре смены пароля рассказано в разделе Справки по адресу https://www.livejournal.com/support/faq/18.html.
Поскольку требования Живого Журнала к паролю изменились с тех пор, как вы установили ваш текущий пароль, пароль станет недействительным, если он не будет изменен в течение пяти дней. В таком случае для входа в аккаунт вам необходимо будет установить новый пароль, выполнив шаги, описанные в разделе Справки по адресу https://www.livejournal.com/support/faq/17.html#forgotpassword.
С любовью,
Команда Живого Журнала
@vatfor, 10.05.2020 01:15: Слухи о том, что некая база паролей уплыла от них и продаётся на рынке, ходили уже пару лет. И вот вчера, наконец, эта самая база оказалась в открытом доступе, немало удивив исследователей. Судя по охвату (33 миллиона аккаунтов; знакомые Ватфору аккаунты там есть решительно все, кроме, разве что, Дианы Михайловой) и содержанию — e-mail, логин в ЖЖ, пароль — это не какая-то там синтетическая база, собранная из разных источников, а самая что ни на есть база ЖЖ, по состоянию приблизительно на 2017 год.
Это означает, что либо сервис сам хранил все пароли в открытом виде, либо где-то внутри их серверного кода стояла закладка, старательно собиравшая и отправлявшая их налево. И то, и другое — совершенно за гранью добра и зла. Равно как и сегодняшняя реакция ЖЖ, который где-то в середине дня начал рассылать пользователям вежливые письма в духе "вы давно не меняли пароль, но мы беспокоимся о вашей безопасности и рекомендуем сменить". Обратили, короче, позорный недуг в подвиг.
Но мы не об этом. Действуя в своём профессиональном интересе, ваш автор построил из базы словарь паролей и отсортировал их по встречаемости. И оказалось, что помимо типичных qwe123 в TOP 100 базы входят пароли, которые явно принадлежат огромным ботофермам. Ближайшее рассмотрение подтвердило — все эти аккаунты были зарегистрированы либо на один мэйл, либо на мэйлы в одном домене. Из сотни топовых паролей таких, принадлежащих массовым регистрациям, — около 30. Самая крупная ферма (и по совместительству самый часто встречающийся пароль в ЖЖ — Million2) владела 143 тысячами аккаунтов. Из владельцев ферм сходу удалось обнаружить некую компанию black pr studio, присваивавшую своим ботам пароль Mega_Pizdetz666 (13 тысяч аккаунтов) и фрилансера Костика из города Гомель, который увековечил в пароле своё имя (4500 аккаунтов). Костик, кстати, творчески генерировал имена своим ботам, подделываясь под существующих пользователей. Так среди первых же зарегистрированных им логинов были drufoi, frugoi, odessist и т.п. — Врезка К.ру
Утечка разоблачила ботов в "ЖЖ"
Оригинал этого материала© @dataleak, 12.05.2020 11:09
Решили немного посмотреть на статистику паролей в утекшей базе «LiveJournal».
Данные по уникальности пар логин/пароль мы приводили вчера. 👍
Всего анализировалось 32,930,036 паролей (в базе 33,726,800 строк, но скажем 795,402 записи не имеют паролей вообще, а остальные строки можно отнести к "битым"). 👇
В скобках указывается место записи в топ-100 из нашего анализа 5 млрд утекших паролей (читать тут).
20 самых популярных паролей из этой базы:
1 Million2
2 jacket025
3 123456789 (2)
4 Iloveyou (34)
5 ohmnamah23
6 Qwerty (3)
7 qqww1122
8 6655321
9 jakcgt333
10 abc123 (17)
11 Sample123
12 Mega_Pizdetz666
13 111nice
14 qwerf12
15 09121962q
16 Asdfghjkl (58)
17 target123
18 1234567890 (10)
19 121324810z
20 Qwertyuiop (14)
Что сразу бросается в глаза, это наличие в топе, на верхних позициях, довольно странных и относительно сложных (для того, чтобы быть наверху) паролей.
Большинство этих паролей мы относим к массовым автоматическим регистрациям (когда учетные записи создаются ботами). Например:
🌵 Million2 — практически все (только 155 на mail.ru) профили имеют адреса эл. почты в доменной зоне .cc (taksiki.co.cc, post.pitermail.co.cc, users.pitermail.co.cc и др.)
🌵 ohmnamah23 — много профилей имеют адреса на доменах с mp3, music и movie в названии.
🌵 jacket025 — все адреса на доменах szef.cn, siteposter.net, mx8168.net
🌵 jakcgt333 — все адреса на szef.cn (явная связь с предыдущим паролем)
🌵 Mega_Pizdetz666 — все адреса на odal.ru
Всего к ботам мы отнесли 2,058,329 профилей (6% от всей базы ЖЖ). 🌵