Публичный список утечек паролей что это значит
Величайшая утечка паролей: как себя обезопасить, как проверить свои данные в базе
Слив двух миллиардов логинов/паролей коснулся каждого третьего человека в мире
Слив двух миллиардов логинов/паролей коснулся каждого третьего человека в мире.
На файлообменнике MEGA 17 января 2019 года в свободном доступе обнаружили архив, содержащий логины и пароли практически 773 миллионов пользователей. Базу весом 87 гигабайт назвали «Коллекция №1» и дали статус самой масштабной утечки данных пользователей за всё время. Но спустя две недели история приняла новый оборот.
Что произошло?
29 января в интернете появилась информация о более масштабных утечках, которые получили название «Коллекции №2-5». Представьте эти цифры. 845 Гигабайт! 25 миллиардов логинов и паролей! 2,2 миллиарда пар логин-пароль! По информации издания Forbes, во всех пяти коллекциях есть данные каждого третьего человека.
Интернет насчитывает около 130 копий этих коллекций и их количество продолжает расти. Из этого следует, что из общего доступа эти сведения не изъять.
Есть ли повод для беспокойства?
Есть. Сведения 2,2 миллиардов пар конечно не означают, что треть планеты под угрозой, но вероятнее всего, данные ваших аккаунтов с популярных сервисов есть в «коллекциях».
Какие данные находятся в «коллекциях»?
Сложный вопрос. Скорее всего это огромный архив, копившийся от разных утечек, и информация в нем может быть устаревшей. Но невозможно сказать наверняка.
Как проверить свои данные?
Есть несколько сайтов, на которых можно проверить адреса e-mail и пароли.
1. haveibeenpwned.com — здесь можно проверить наличие вашего почтового адреса в «коллекциях».
2. haveibeenpwned.com/Passwords — здесь же можно проверить наличие в базах ваших паролей.
В целях дополнительной безопасности старайтесь проверять свои данные таким образом, чтобы логин и пароль нельзя было связать между собой, например, с разных устройств, через разные подключения к интернету и прочее. Но даже и это не даст стопроцентной гарантии безопасности, так как на этих сайтах содержится лишь информация из первой коллекции.
Так же есть сайт, в котором содержатся данные всех пяти коллекций sec.hpi.de/ilc/search. Там необходимо ввести свой почтовый адрес для проверки, на который и придёт ответ.
Как обезопасить себя?
Сменить пароли во всех популярных сервисах. Так как опытные взломщики могут угнать вашу почту через забытый, но содержащийся в коллекциях аккаунт на myspace. И даже если ваших данных не оказалось ни в одной из коллекций и ни на одном из проверочных сайтов, помните, что в них могут содержаться устаревшие данные, и куда могли утечь ваши пароли после этого, не известно никому.
Необходимо использовать сложные пароли, и это не «Romashka», сложный состоит из 15-20 знаков и содержит не только буквы и цифры, но ещё и символы.
Конечно, это трудно, конечно, это раздражает, но вряд ли вы помните, когда и где регистрировались и какие персональные данные вводили. А если вы для всего используете один пароль, то узнать данные вашей банковской карты и даже трехзначный защитный код для покупок через интернет, на обратной стороне, не составит труда.
В качестве дополнительной защиты можно использовать менеджеры паролей, коих множество в AppStore и Google Play, а также в магазинах расширений для браузеров.
7 сервисов для проверки аккаунтов на утечки и взломы
Чтобы в этом убедиться воспользуйтесь специальными сервисами. Быть может ваш сложный и уникальный пароль уже стал достоянием общественности.
Have I been pwned?
Одним из самых известных сервисов для проверки аккаунтов на утечки является Have I Been Pwned. Сайт был создан после одной из крупнейших утечек клиентских аккаунтов в истории – в октябре 2013 года были украдены данные 153 миллионов учетных записей Adobe. Have I been pwned представляет собой реверсивную поисковую систему, которая проверяет наличие вашей электронной почты или пароли в огромной базе данных взломанных паролей. Просто введите свой адрес почты или пароли, и сервис покажет, фигурировали ли ваши данные в известных утечках.
Firefox Monitor
В 2018 году организация Mozilla запустила свой собственный сервис Firefox Monitor для проверки учетных данных на утечки. Вы можете просто использовать поиск по базе данных взломанных паролей или зарегистрироваться, чтобы получать предупреждения при появлении информации о новой утечки. Нарушения конфиденциальности данных происходят, когда личная информация раскрывается, перехватывается или копируется без вашего разрешения. Подобные инциденты безопасности могут быть результатом кибератак на сайты, сервисы и приложения, которые хранят пользовательские данные.
DeHashed
DeHashed – сервис поиска по базе взломанных и украденных персональных данных, который создан для экспертов по безопасности, журналистов, технологических компаний, а также для обычных пользователей, которые хотят защитить свои аккаунты и своевременно узнавать об утечках.
В DeHashed вы можете выполнять поиск по IP-адресам, адресам электронной почты, логинам, телефонным номерам, VIN номерам, домашним адресам др. Сервис предлагает реверсивный поиск по паролями, хеш-суммам и другим типам данных.
GhostProject
GhostProject.fr – бесплатный поиск по базе из 1,4 миллионах скомпрометированных учетных данных. База постоянно обновляется и пополняется новыми данными. Чтобы защитить себя, сервис рекомендует отказаться от повторяющихся паролей и использовать только сложные пароли для различных аккаунтов. По возможности следует использовать специализированные приложения, такие как KeePass и включить двухфакторную аутентификацию.
Password Checkup от Google
В феврале 2019 года компания Google выпустила расширение под названием Password Checkup. Оно уведомляло пользователей о том, что их учетные данные от какого-либо сайта фигурировали в инцидентах со взломом или утечкой данных. Логины и пароли проверялись в базе данных из 4 миллионов известных взломанных учетных данных. В октябре Google представила инструмент Проверка паролей для аккаунтов Google. Начиная с Chrome 79 данный функционал встроен непосредственно в браузере, что делает расширение неактуальным.
Теперь, при входе в свою учетную запись на сайте, Chrome будет отправлять хешированную по SHA256 копию учетных данных в Google. Данные будут зашифрованы с использованием секретного ключа (даже Google не сможет просматривать ваши логины и пароли). Google будет использовать несколько уровней шифрования с помощью техники Private Set Intersection (PSI) для сравнения вашего логина и пароля со взломанными учетными данными, которые в свою очередь хранятся в зашифрованном виде. Если пароль или логин были украдены, то Chrome предложит изменить пароль.
Включить или отключить данную функцию можно в настройках Chrome в разделе Конфиденциальность и безопасность > Безопасность ( chrome://settings/security ) с помощью переключателя Сообщать, если пароли были раскрыты в результате утечки данных.
BreachAlarm
BreachAlarm является одним из главных конкурентов Have I Been Pwned. Сервис позволяет проверять электронную почту на утечки бесплатно, а на платной основе вы можете подключить автоматическое оповещение об утечках и дополнительные услуги.
Цена в 30 долларов в год будет адекватной для владельцев коммерческих аккаунтов, малого бизнеса или большой семьи. Никаких ограничений на проверку данных для подписчиков не предусмотрено.
Sucuri Security Scanner
Sucuri Security Scanner использует свои собственный подход – сервис позволяет проверять целые сайты на различные уязвимости, наличие в черных списках и на хакерские атаки. Это идеальный инструмент для блогеров и онлайн-бизнеса. Его лучше использовать совместно с другими сайтами по проверки аккаунтов на утечки.
Как работают подобные сайты
Сервисы поиска взломанных логинов и паролей, как правило, обрабатывают информацию из других источников, которые используются для обмена украденной информацией. В качестве таких источников выступают Pastebin, специализированные форумы, ресурсы в Даркнете и другие популярные среди хакеров площадки. Сервисы проверки используют эту информацию в благородных целях – чтобы предупредить пользователя об утечках и порекомендовать ему изменить логин и пароль.
К сожалению, в сети можно найти несколько мошеннических сайтов, которые просто собирают вашу электронную почту и пароли для будущих попыток взломов. Используя непроверенный инструмент, вы подвергаете свои данные дополнительным рискам, что может привести еще к более серьезным нарушениям данных.
К примеру, в мае 2016 года завершил существование сервис PwnedList, который предлагал проверить наличие своих данных в огромной базе скомпрометированных данных, насчитывающей сведения о более 866 миллионах аккаунтов. Как оказалось, сервис имел серьезные уязвимости, позволяющие киберпреступниками выполнять мониторинг новых утечек для любого домена.
Что делать, если кто-то и правда украл 1,2 МИЛЛИАРДА паролей?
Утечки данных становятся обыденным делом. Обокрасть могут любой сайт, на котором у вас есть учетная запись. Предотвратить это невозможно, но можно минимизировать ущерб.
Вчера в газете New York Times появилась статья о группе преступников, которые якобы украли более миллиарда паролей и имен пользователей/e-mail с различных веб-сайтов. По описанию это похоже на ограбление половины Интернета, но при этом конкретные данные по краже не были приведены, что породило скептицизм среди экспертов по безопасности. Во-первых, общественности не сообщили, какие сайты были взломаны. Технических подробностей тоже неизвестно: например, каждый специалист хотел бы знать, были ли пароли хэшированы. Впрочем, обычным пользователям по-настоящему важно знать всего одну вещь — нужно ли действовать прямо сейчас и как именно.
Пока от крупнейших сайтов не приходят оповещения о необходимости сменить пароль. Это может означать, что сайты не затронуты взломом или что их администрация не ожидает сколько-нибудь массового «угона» пользовательских аккаунтов. Впрочем, компания Hold Security, которая обнаружила вышеупомянутую группу, заявляет, что затронуто много небольших сайтов. У подобных сайтов часто нет отработанных процедур безопасности, и их пользователи вряд ли получат какое-либо оповещение, даже если взлом реально был.
Поэтому, хотя конкретики по взлому нет, он является хорошим поводом для того, чтобы перейти от пользования единственным паролем к более безопасному и систематическому подходу.
«Как потребитель, вы не имеете реального контроля над тем, что происходит у вашего онлайн-провайдера, особенно в случае взлома. Но можно минимизировать свой ущерб, пользуясь уникальным паролем для каждого своего аккаунта», — сказал Дэвид Эмм, старший эксперт «Лаборатории Касперского» в Великобритании.
Проще говоря, нужно сменить свои пароли на всех сайтах, создав уникальный пароль на каждом из них. Тогда в случае любой кражи вы можете потерять доступ к чему-то одному, а не ко всему сразу. Последнее весьма вероятно, поскольку злоумышленники первым делом пробуют любой украденный пароль в сочетании с e-mail на таких сайтах, как Facebook и PayPal.
Разумеется, держать в голове длинный список паролей трудно, поэтому можно упростить себе жизнь, воспользовавшись менеджером паролей. Кроме того, каждый из паролей должен быть достаточно сложным, иначе он ненадежен. Проверить надежность пароля можно на нашем бесплатном сервисе.
Меняете пароли после новостей об утечке? Начните пользоваться менеджером паролей и проверьте их надежность.
Для важных аккаунтов (онлайн-банк, Gmail и так далее) очень рекомендуется дополнительная защита. Подобные сайты обычно оснащены системой двухэтапной проверки (двухфакторной аутентификации), которая делает пароль сам по себе бесполезным для воров.
Кто-нибудь сталкивался с таким письмом от гугла — «Смените раскрытые пароли»?
Если ваши пароли простые, то они не ваши, а значит утекли в сеть задолго до того, как вы начали их использовать.
Если ваши пароли сложные и уникальные, то возможен вариант, когда ваши пароли утекли именно от вас. Например, троян попал на ваш комп и украл пароли. Либо сайт, которым вы пользовались, взломали и украли ваш пароль.
Когда пароли попали в сеть, их могут продать в даркнете. Естественно, не конкретно ваш личный пароль, а большую базу паролей, в которую попал и ваш пароль каким-то образом.
Гугл эту базу паролей тоже может купить. Далее Гугл сравнивает базу паролей со вашими паролями, которые условно хранятся на сервере гугла (если вы пользуетесь возможностью сохранять пароли в хроме).
Ну и при наличии совпадений вам приходит письмо (и не только).
Дальше думайте сами, решайте сами, что с этим делать.
Лично мне такое письмо приходило, я его проигнорировал, ибо многие мои пароли простые, и они точно должны быть в базах, но связка логин-пароль вряд ли есть.
P.S. Папа ещё с детства всегда поправлял маму, указывая на то, что под незнакомой ссылкой имеется в виду незнакомый домен, а не вообще любая ссылка в письме/чате.
P.S. Папа ещё с детства всегда поправлял маму, указывая на то, что под незнакомой ссылкой имеется в виду незнакомый домен, а не вообще любая ссылка в письме/чате.
Просто наслышан, что адрес отправителя тоже как-то подделать можно, вот и перестраховываюсь.
Просто наслышан, что адрес отправителя тоже как-то подделать можно, вот и перестраховываюсь.
Но всё же мы в 2021 году и это гугл. Я очень сомневаюсь, что они на своих же серверах не блокируют возможность рассылать спам от их имени.
В сеть утекли 25 000 000 000 паролей.
Исследователи по безопасности обнаружили в открытом доступе базу данных объёмом 845 ГБ, включающую 25 миллиардов учётных записей и паролей к ним из самых разных сервисов и сайтов. Это крупнейшая в истории интернета утечка подобного рода. Данные уже разлетелись по сети и были скачаны более тысячи раз, так что миллионы пользователей по всему миру сейчас находятся под угрозой кражи аккаунтов.
«Это самая большая коллекция взломов, которые мы когда-либо видели», — заявил Крис Роланд, исследователь кибербезопасности и основатель фирмы по безопасности интернета вещей Phosphorus.io.
Вся база данных украденных данных получила название «Коллекции #2–5». Она почти в 10 раз больше «Коллекции #1», обнаруженной 17 января этого года. Последняя была объёмом 87 ГБ и включала логины и пароли от 773 миллионов профилей. Аналитики из Института имени Хассо Платтнера в Потсдаме, Германия, проанализировали все пять архивов на наличие дубликатов и обнаружили 2,2 миллиарда уникальных пар логин-пароль. По оценкам Forbes, эта утечка затрагивает каждого третьего жителя Земли.
После анализа данных из всех пяти «коллекций» выяснилось, что бо́льшая часть украденных пар логин/пароль перекочевали прямиком из более старых утечек, когда хакеры взламывали Yahoo, LinkedIn, Dropbox и другие популярные ресурсы. Некоторым из них уже несколько лет, и они давно не актуальны. Впрочем, остаётся огромное число рабочих паролей. Кроме того, многие пользователи имеют привычку со временем повторно применять старые логины и пароли при регистрации в сервисах и на сайтах.
По просьбе портала Wired Крис Роланд проверил более десятка адресов электронной почты из утечки. Как оказалось, только для двух адресов не было обнаружено ни одного пароля, который бы люди использовали для авторизации в сервисе, взломанном за последние несколько лет. Кроме того, исследователи из Института Хассо Платтнера обнаружили, что 750 миллионов учётных данных ранее не фигурировали в их базе утечек.
Крис Роланд сейчас сотрудничает с компаниями и сервисами, чьи данные были украдены. Он готов поделится утечкой с любым главой по информационной безопасности, который свяжется с ним, чтобы помочь защитить сотрудников или пользователей.
Есть ли угроза для вас и что делать?
Масштабы всей утечки пока сложно оценить, но с большой долей вероятности ваши данные также могут оказаться в «коллекциях». Проверить это можно с помощью специального инструмента от разработчиков института Хассо Платтнера. В нём необходимо указать адрес электронной почты и дождаться письма со списком сайтов, ваши логины и пароли к которым попали в открытый доступ. После этого необходимо изменить пароль на более сложный и по возможности включить двухфакторную аутентификацию.
Аналогичный онлайн-инструмент по проверке аккаунта на факт кражи создал эксперт по веб-безопасности Трой Хант. Правда, он ищет совпадения только по самой первой «коллекции», но в скором времени ожидаются обновлённые базы с внесением данных из «Коллекций #2–5».