22 февраля 2012 в 18:07

Утечка логинов, паролей и почты пользователей чата Youporn перевод

На оригинальном ресурсе обсуждается проблема обнаруженная на широко известном в узких кругах сайте youporn.com. Поскольку ссылку подкинул коллега из Швеции, то оригинал на Шведском, я перевел только самую суть.

По адресу «chat.youporn.com/tmp/» доступны логи, которые содержат незашифрованные пароли, имена пользователей заходивших на сайт и их адреса электронной почты.

На самом Youporn.com доступность логов проверить не удается, а вот на WayBack machine эти данные сохранены и доступны для просмотра тут.

+33

gustav19

Maximuzzz 11,5

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.

комментарии (76)

sneep39, 22 февраля 2012 в 18:10 #

Это прискорбно…

Chesnovich, 22 февраля 2012 в 18:14 #

Yoporn.com подправьте

Maximuzzz, 22 февраля 2012 в 18:17 #

↵

↑

В данном случае именно youporn.com

+24

enchantner, 22 февраля 2012 в 19:17 #

палево палево

Chesnovich, 22 февраля 2012 в 19:51 #

чё ж меня минусовать? если автор ошибся

Haoose, 22 февраля 2012 в 20:42 #

1. Автор не ошибся.
2. Такие сообщения (об ошибках) отправляются в личку, а не в комментариях.

+22

dymonix, 22 февраля 2012 в 21:48 #

Ну опечатка же в последнем абзаце, разве нет?

Kuuuzya, 23 февраля 2012 в 00:44 #

Букву «u» эту увидеть должен ты

Chesnovich, 23 февраля 2012 в 09:01 #

1. Автор ошибся
2. А какая разница? важно чтобы автор исправил ошибку, которую до сих пор не исправил. При переходе на которую мы попадаем на какойто конкурс с крышками для iPhone

Maximuzzz, 23 февраля 2012 в 11:09 #

Да, действительно ошибся, не внимательность это мой конек. Исправил, спасибо!

–4

Duha666, 22 февраля 2012 в 18:18 #

Как-то жаль этих людей. Уже третий пароль подошел к почте.

+41

xReaper, 22 февраля 2012 в 18:21 #

не трож.

Maximuzzz, 22 февраля 2012 в 18:23 #

Сначала сомневался, стоит ли писать об этом, подумав именно о людях, но с другой стороны информация уже «поползла» по миру и единственное, что может им помочь, своевременная реакция администраторов сайта и собственно «голова на плечах» самих пользователей, если она у них есть — быстрее узнают о проблеме — быстрее сменят свои пароли на почте и прочих ресурсах.

Duha666, 22 февраля 2012 в 18:24 #

Стоит учесть, что дата последнего лога — 2010-ый год. У них явно было время.

Maximuzzz, 22 февраля 2012 в 18:35 #

Значит «головы» нет, хотя с другой стороны, пока гром не грянет — мужик не перекрестится.

snowytoxa, 22 февраля 2012 в 18:43 #

2010 только на wayback machine, а вот в торрентах и 2012 есть.

warlog, 22 февраля 2012 в 19:51 #

где торрент? трб молчит

fuzzy, 22 февраля 2012 в 20:09 #

bitsnoop.com/tmp-q34779123.html — вроде похоже оно…

warlog, 22 февраля 2012 в 20:13 #

Благодарю.

shrikus, 22 февраля 2012 в 20:24 #

Спасибо.

snowytoxa, 22 февраля 2012 в 20:42 #

а вот и он

shrikus, 22 февраля 2012 в 20:04 #

Да. Хотелось бы узнать про торрент поподробнее…

snowytoxa, 22 февраля 2012 в 20:43 #

см. мой комент выше

L3n1n, 23 февраля 2012 в 05:37 #

Можно конечно сделать рассылку что бы сменили пароли. Но такое количество писем нужно рассылать не один день…

Chesnovich, 22 февраля 2012 в 18:20 #

Рай для порно-спамеров

–2

korjik, 22 февраля 2012 в 18:41 #

Уже впоймали хабраэффект?

+42

drfisher, 22 февраля 2012 в 18:41 #

Опять пароль менять :(

+10

DeadFine, 22 февраля 2012 в 18:46 #

А нафига там регаться?

stopmosk, 22 февраля 2012 в 19:06 #

чтобы избранное держать, вестимо

+13

areht, 22 февраля 2012 в 20:39 #

Там же ссылочки на скачку есть. Мне говорили…

+28

Spavvn, 22 февраля 2012 в 20:41 #

Знакомый рассказывал, ага ;)

areht, 22 февраля 2012 в 20:42 #

/оглядываясь/ кто здесь??

Alexeyco, 22 февраля 2012 в 22:55 #

У каждого есть такой знакомый, который такое рассказывает…

vasechka, 23 февраля 2012 в 02:12 #

Ага, и это один и тот же знакомый на весь интернет.

+21

Duha666, 22 февраля 2012 в 18:49 #

Судя по размеру логов, под Новый год шанс, что вам дадут выше на 25%

VMAtm, 22 февраля 2012 в 19:01 #

С сервера уже не доступно.
Но Гугл услужливо предлагает кэшированную версию.

de1337ed, 22 февраля 2012 в 19:02 #

Как хорошо в контекст вписывается слово «утечка»

Shark, 22 февраля 2012 в 19:24 #

А ведь они недавно на Redis перешли. Интересно, это связано?

Shark, 22 февраля 2012 в 19:25 #

А нет, видимо просто руки кривые.

snizovtsev, 22 февраля 2012 в 19:26 #

Фух, вроде пронесло.

delph, 22 февраля 2012 в 19:51 #

Наверно они просмотривая у себя траффик с хабра подумают, вот уж эти горячие русские головы и горячие русские программисткие ладони нами заинтересовались :)

hudson, 22 февраля 2012 в 21:25 #

Ладони эта пять )

pentarh, 22 февраля 2012 в 20:12 #

Смертные грехи программистов пункт 3

До 5 минут терморектального наказания.

hudson, 22 февраля 2012 в 21:18 #

Youporn не так давно перешёл с Catalyst на Symfony2 (пруф groups.google.com/group/symfony-devs/browse_thread/thread/586328a113e39846/d1b80a6dcf047a43). Интересно, чат тоже?

stfalcon, 23 февраля 2012 в 00:38 #

все. сейчас PHP обвинят во всех смертных грехах :)

hudson, 23 февраля 2012 в 13:26 #

Не факт что чат мигрировали )

zim32, 22 февраля 2012 в 21:33 #

Ну сколько можно хранить пароли в открытую? Добавить 2 строчки кода и все. Один вывод — это делается намеренно.

trijin, 22 февраля 2012 в 23:09 #

А вы смотрели логи? там просто дамп POST параметров.
Если уж додуматься вставить две строчки шифрования или хеширования, то можно и догадаться не сохранять логи в таком виде.

–6

AbnormalHead, 22 февраля 2012 в 21:35 #

История один в один похожа на историю кэширования мегафоновских смс яндексом.

Разница только в пикантности прохешированных данных.

Ну и то, что wayback archive целый год имел доступ к явно служебной папке совсем не красит админов сайта.

L3n1n, 22 февраля 2012 в 22:14 #

Из торрента кто то точно чекает все пароли. Штуки 3 попробовал и на всех капча, а hotmail выдает что превышен лимит неправильно введенного пароля

ITcheburashka, 22 февраля 2012 в 22:23 #

Это форменное безобразие. Я негодую.

–1

nick4fake, 23 февраля 2012 в 00:04 #

Да вообще, Tor еле работает

ilovepeople, 22 февраля 2012 в 22:32 #

на основе логов собрать словарик паролей,
написать парсер для email= password=, не составляет труда

Alexeyco, 22 февраля 2012 в 22:56 #

А интересный сайтик… автор, спасибо за ссылку

trijin, 22 февраля 2012 в 23:10 #

Интересовались бы Redis — узнали бы о ссылке чуть раньше )

Xlab, 22 февраля 2012 в 23:25 #

Для любителей редиски, так сказать

Alexeyco, 23 февраля 2012 в 17:56 #

Видимо, я не очень сильно интересовался… но сейчас я хочу изучить все нюансы

FSA, 23 февраля 2012 в 21:12 #

Я уже тут подумываю тут сайт этот раскручивают. Уже второй раз вижу. Первый именно редиска была.

hazg, 23 февраля 2012 в 01:04 #

«а вот на WayBack machine эти данные сохранены» — хабр против порева

/irony

L3n1n, 23 февраля 2012 в 02:23 #

Уже 1млн уникальных mail и парсинг все еще идет. Совсем не утечка :-D

L3n1n, 23 февраля 2012 в 04:07 #

1383080 ящиков!

Darbin, 23 февраля 2012 в 04:20 #

Быстрый у тебя скрипт — у меня пока 500K, но я знаю к чему стремится :)

L3n1n, 23 февраля 2012 в 04:25 #

Это у тебя что то слишком медленный ). Я сделал глупость добавить поле в БД во время инсертов. Все встало на 1 час…

Ierixon, 23 февраля 2012 в 04:54 #

чет много вышло, там ~500к будет, это если без проверки на валидность, т.е. blabla@blabla тоже войдут в эту кучу.

L3n1n, 23 февраля 2012 в 04:28 #

А вот и первая статистика самых популярных паролей:

pass cnt
123456 34097
123456789 8782
12345 5655
password 4034
1234 3892
qwerty 2874
12345678 2728
1234567 2457
111111 2086
123123 1940
123 1840
youporn 1839
000000 1778
1234567890 1526
pussy 1108
654321 1075
sex 1043
666666 971
ficken 967
fuckyou 953
abc123 933
fuckme 903
iloveyou 866
azerty 824
liverpool 820
1111 695
121212 694
football 680
fuck 669
123321 665

putnik, 23 февраля 2012 в 04:50 #

Именно «ficken»? Немцы?

L3n1n, 23 февраля 2012 в 05:05 #

Именно так как выше.
Мне показались более странными пароли liverpool и football.
Выводы не стану озвучивать :)

shortcaster, 23 февраля 2012 в 22:49 #

azerty — французы)

Omni, 23 февраля 2012 в 10:48 #

паролей fuckme больше, чем iloveyou — логично! :-)

openkazan, 23 февраля 2012 в 08:23 #

странно что нет в TOP-е 123qwe )

SoLRoN, 23 февраля 2012 в 08:39 #

А ведь только совсем недавно писали что они перешли на redis. Ведь про них?

RulleZ, 23 февраля 2012 в 14:17 #

pron`их

iSeiryu, 23 февраля 2012 в 11:11 #

Некоторые логины/пароли к почтовым ящикам подходят. Открыл два, а там сплошной спам, что в Отправленных, что во Входящих. Даже в почтовом чате все контакты — боты.

dohlik, 23 февраля 2012 в 13:08 #

«коллега из Швеции» — звучит несколько двусмысленно в данном контексте ;)

Maximuzzz, 23 февраля 2012 в 16:24 #

Ну уж какие есть )

С праздником!

woopler, 23 февраля 2012 в 20:54 #

в почте у посетителей порно намного круче