Пользователь
0,0
рейтинг
12 июля 2012 в 12:05

Разработка → В сеть утекли пароли Yahoo

Хакерская команда D33Ds Company выложила в сети более 453 тысяч паролей пользователей сервисов Yahoo.
Известно, что взлом произвели через union-based sql injection.
А самое интересное, что пароли хранились в незашифрованном виде.
Под катом, линк на файл с паролями.

https://d33ds.co/archive/yahoo-disclosure.txt
UPD:
Перезалил файл на мэил
http://files.mail.ru/9SHZ0Q
Владимир Болиев @voff
карма
104,2
рейтинг 0,0
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Реклама

Самое читаемое Разработка

Комментарии (105)

  • +2
    Комментов нет, а уже линк недоступен от хабрэффекта
    • +1
      Хабра-ли? :) линк доступен, но не каждый раз.
    • 0
      Все заняты поиском своего пароля в базе. Тут не до комментов.
  • +13
    Оказывается, «пока гром не грянет-мужик не перекрестится»- не только русская пословица. Сегодня даже технически подкованный школьник знает, что хранение паролей в открытом виде- зло. Не думал, что остались компании, тем более такие крупные, хранящие пароли открыто.
    • –4
      ну рутрекер тоже похоже хранит в открытом, ибо в письме после регистрации присылается пароль)
      • +6
        Прислать пароль после регистрации в незашифрованном виде очень легко. Позвольте на баше изобразить, суть должна быть понятна:
        read p
        echo «Ваш пароль — $p» | mail -s root@somewhere
        echo -n $p | md5sum > somewhile

        • –17
          1.Вы не правильно понимаете суть этого скрипта
          2. md5 хэш математически нельзя привести к исходному паролю
          • –6
            или это на правах шутки? Сначала послать, потом шифровать :-)
            • +8
              на правах адекватного поведения =)
          • +5
            я думаю, человек просто хотел сказать, что можно сначала отправить пароль, а потом в зашифрованном виде положить его в базу. рутрекер не отправляет же вам ваш пароль по запросу о забытом пароле.
          • +8
            Послали в открытом виде, в базу записали в зашифрованном. Чего тут не понимать-то )?
          • –1
            >2. md5 хэш математически нельзя привести к исходному паролю
            вы не поверите, но это и не нужно, для логина достаточно совпадения md5 введенной строки с md5 из базы
            • –1
              Речь о возможности прислать исходный пароль по почте после шифрования, а не об авторизации.
    • 0
      Тем более это доступ как минимум разработчиков к твоему паролю, который, вероятно, используется не только на yahoo.
    • –1
      Я не согласен, что хранение не шифрованного пароля, — зло. Очень юзерфрендли получить свой пароль, когда ты его забыл на мыло. А не выполнять 100500 действий, что б объяснить кто ты, указать новый, который не совпадает с 10 предыдущими. А если у вас увели бд юзеров, то у вас есть куда более важные проблемы:)
      • +1
        Существует принцип разумной достаточности. В сфере информационной безопасности любой специалист пытается его соблюдать, проводя анализ рисков и другие мероприятия, позволяющие спрогнозировать актуальные угрозы и способы их экранирования.
        В современных условиях у вас есть 2 выхода, чтобы сохранить свои данные- либо шифровать всё и вся, либо использовать уникальные пароли для каждого ресурса (желательно вообще т.н. одноразовый блокнот).
        В случае с гигантской корпорацией, ИМХО, шифрование необходимо.
        • –1
          Все верно. И безопасность должна эволюционировать вместе с проектом. Для развивающегося проекта не нужны хеши и соли лучше быть более юзер френдли. А когда уже стал жирным проектом никто не мешает перехешировать все пароли. Наглядный пример gmail, когда он только появился прокатывали любые пароли и регистрация была максимально простая. Сейчас гуглакаунт это большче, чем просто логин и пароль от почты, Соответсвено и степень защиты у них возрасла и усложнилась намного.
  • +7
    по ссылке не открывается, вот альтернативная yahoo-disclosure.txt.bz2 http://www.mediafire.com/?769gk65ix183vbd
    • +1
      А вот торрент.
      • +4
        И зеркало.

        Кстати, взломали не Yahoo, а один из их сервисов, Yahoo Voice.
        • +1
          Т.е. если у меня почта на yahoo.com, то беспокоиться пока не о чём? Особенно, если я скачал файлик с базой и не нашёл там своего мыла.

          И как быть, если я нашёл там мыла на gmail.com и другие? Я не знаком с сервисами yahoo, скажите, они просто используют почтовый адрес как логин, пароль при этом может быть любым? Стоит ли включать режим параноика сейчас или можно отложить пока?
          • 0
            Логин может быть любой почтой, пароль произвольный. Режим параноика нужно включать только если вы используете один пароль на разных сайтах.
            Хотя для безопасности было бы неплохо указать номер телефона и/или email для восстановления, т. к. гугл при доступе из другой страны будет подозревать тогда во взломе, и спрашивать номер телефона, и тогда логина и пароля будет недостаточно. Ну и совсем безопасно — включить двухфакторную авторизацию.
  • +8
    Жесть, заходишь под чужим аккаунтом, говорит «мы советуем вам поменять пароль», ну прям второй шаг визарда по уводу почтового ящика :) Хотя как иначе делать — не понятно, если сами поменяют — куда слать-то?
    А вообще кретины знатные — не захэшировать после волны взломов 2012.
    • 0
      Да и люди после волны взломов не очень зашевелились- большинство паролей вполне осмысленны, некоторые-комбинации имени и цифр, или даже просто цифры, одним словом-простые. Хотя в данном случае им бы и сильный пароль не помог. Удивительная беспечность корпорации.
      • +7
        Кстати, от нечего делать сделал частотный анализ паролей на предмет вхождения разных популярных слов.
        В плане пошлостей как обычно лидирует Sex- 1118 вхождений, за ним следуют F*ck — 768 вхождений, D*ck — 373, и B*tch — 269 вхождений.
        Любвеобильные пользователи также использовали пароль, скомбинированный из слов Love -7400 вхождений, Family -710 вхождений и Friend -390 вхождений.
        Не мог обойти сферу IT- слово Computer встречается 305 раз, hacker 133 раза, а password -1501,passw0rd -83, p@ssword — 11, p@$$w0rd -6. Слово cat входит в пароли 4362 раза, а dog 2863.
        • +12
          F*ck — 768 вхождений, D*ck — 373


          Первая мысль:«С каких это пор Duck — пошлость ?!»
          • –5
            Вы всегда вместо звёздочек, букву U подставляете? Dick, а не Duck.
            • +2
              У кого-то в подсознании всплывают Duck Tules и DarkWind Duck, а кто-то вырос не на мультиках…
        • 0
          Все фигня

          $sml=Select-String -Path yahoo-disclosure.txt -Pattern ":123456"
          $sml.Count

          2607
          • +1
            Прошу прощения — 1667 паролей 123456, предыдущее включило в себя более длинные пароли.
  • +10
    Опять в незашифрованном виде???!!!
    Кого берут на работу в такие корпорации?!
    Вот придумываешь себе хитрый пароль с символами, числами, чтоб обязательно был не менее 8 знаков, а они хранятся без хеша и соли.
    • +1
      Видимо систему проектировали в далекие бородатые года, когда хешировать было «не модно». Ну а потом забыли об этом, если работает, зачем трогать?
      • +1
        мм… по-моему, здесь не впороса «модно» быть не должно. это недостаток самой архитектуры (если она вообще в данном случае может быть).
        это эквивалентно, если бы клент-банк работал без шифрования.

        >Ну а потом забыли об этом, если работает, зачем трогать?
        я бы не сказал что это именно тот случай gold code. здесь идет прямо-таки сокрытие дефекта.
      • +1
        если работает, зачем трогать?

        Вот в этом контексте это плохо. А с другой стороны — «Не лезь в работающий механизм» совсем не плохой совет. Где-то есть грань, но как ее найти?
        Задним умом оно понятно, что «надо было», а как понять, что надо будет?
        • 0
          Просто. Всё что несекьюрно надо чинить до того как писать что-либо ещё.
          • 0
            А несекьюрно это как? Вот md5 с солью это уже несекьюрно? А что секьюрно? Это же не постоянная величина, не абсолют. Есть более безопасные вещи, есть мене безопасные. Абсолютно безопасных нет, это вопрос времени, так как его измерять?
            • +1
              «секьюрно» — когда процесс получения пароля составляет минимум O(N), а не O(1) — как в данном случае.
    • 0
      8? Я давно уже ругаюсь на сервисы у которых есть всякие глупые ограничения вида «Аааа… Да вы что, пароля больше 20 символов не бывает!». Выставил в Keepass генерацию 40 символьников.
      • 0
        просто хоть 40, хоть 140 символов, без шифрования — не поможет) обычно 6 символов через брутфорс на gpu можно за 2-е суток подобрать, но вот 8 и более — становится сложно.
        • 0
          Ну если мне без разницы, то почему бы не держать пароли по 40 символов, уникальные для каждого сервиса. Анноит запускать генератор с другими параметрами, просто.
        • 0
          Моя относительно устаревшая GeForce 9800 GTX+ молотит 600 миллионов md5 в секунду, мой старый стандартный 8-значник (перебирались только восьмизначные цифры + буквы) нашёлся за полтора часа (на самом деле меньше, полтора часа был прогноз на все варианты). Ну, часа 4 выйдет перебрать все варианты цифробуквенных от 1 символа. А вот топовые ATI молотят уже 3.6 МИЛЛИАРДА/b> md5 в секунду! В 6 раз быстрее. Проверял у друга. Делайте выводы.
          P.S. Использовался HashCat.
  • +11
    И опять пол миллиона паролей. У хакеров видимо лимит :)
  • +29
    Наконец вспомню, какой пароль был у меня на yahoo.
  • +6
    Нашел свой аккаунт в списке, заодно вспомнил пароль от yahoo :)
    • НЛО прилетело и опубликовало эту надпись здесь
      • 0
        Что странного? Их утекло всего 500 000, да и то от сервиса Yahoo Voice. Вам просто повезло, что ваш пароль не попал в эти 500к.
  • 0
    Жесть, у них пароли не только от yahoo, но и от gmail (как я понимаю те кто используют одинаковые пароли под угрозой)
  • +3
    Хм… а че-то не подходит ничего
    • +1
      ага, и мне не везет
      • 0
        удалось войти в два аккаунта из 20 (примерно) — чертова капча. один из акков был деактивирован, второй, видимо, давно не посещается, ибо over 7500 непрочитаных спамов… вот такой улов
  • +2
    вернул свой старый аккаунт на яху, круто
  • +10
    Если такие огромные компании не хешируют пароли, капец!
  • 0
    gmail.com, aim.com, umn.edu, charter.net, comcast.net, pemtel.net, gmx.de и другие. Помимо личных данных — данные различных предприятий. Как такое могло попасть в паблик, и что теперь будет ребятам с D33D?
  • +5
    Одних admin@*.* — 666 штук.
    • 0
      *Перекрестился*
      • +3
        Походу вам линукс с его чмодом противопоказан — рука устанет :)
        • +1
          Отчего же, будет пользоваться мнемоникой.
          chmod =rw-rw-rw- file
          
  • +1
    А кто сказал, что пароли хранились в открытом виде? Я не вижу в базе очень сложных паролей типа 20-значных случайных наборов. Возможно, то что есть в файле это то, что удалось расшифровать?
    Кстати в базе есть заголовок «user_id: user_name: clear_passwd: passwd» в то время как 4-я колонка отсутствует, возможно там были хеши до расшифровки.
    • 0
      хм… мысль не лишена резона
      • +2
        Посмотрите на юзера под номером 55372.
        Вряд ли такой расшифровали.
        А так мало сложных паролей, потому что основная масса их не использует.
        • +2
          Или вот такой например: Beans4Ness'slunch
          22 символа, буквы (lower & upper case), цифры, спец. символы…
          • 0
            Упс, хабрапарсер съел htmk-код апострофа
  • –1
    Что-то не один логин-пароль не подходит, попробовал штук 10 разных
    • 0
      а я нашел даже рабочий с паролем 123456
      • +1
        потом долго искал кнопку logout…
  • +4
    не нашёл своего логина/пароля от яху, весьма негодую по этому поводу
    • +1
      Присоединяюсь, хотел восстановить аккаунт, но что-то не повезло.
  • +4
    ТОП-30
    123456 — 1667
    password — 780
    welcome — 437
    ninja — 333
    abc123 — 250
    123456789 — 222
    12345678 — 208
    sunshine — 205
    princess — 202
    qwerty — 172
    writer — 164
    monkey — 162
    freedom — 161
    111111 — 160
    michael — 160
    iloveyou — 140
    password1 — 139
    shadow — 134
    baseball — 133
    tigger — 132
    1a1a1a1b — 131
    success — 126
    blackhatworld — 121
    jordan — 111
    whatever — 110
    michelle — 109
    dragon — 107
    1234567 — 106
    superman — 106
    • 0
      1a1a1a1b — 131
      Старкрафтеры
  • 0
    Самое печальное, что это логин-пароль подходят не только для взломанного Yahoo сервиса, а и к собственно почте.
    Взял три попавшихся случайных акка — два из них подошли и к почте
  • 0
    Ну что за невезуха, уже который большой взлом, а в списке нет моего логина или почты.
    Закрадываются подозрения, что это все фейковые аккаунты, созданные самими хакерами.
  • 0
    2012 год — год отркытых паролей.

    п.с. скоро получим и от яндекса, только со вкусом банана.
  • +4
    Не, ну так же нельзя. Люди выкладывают 17-ти метровые текстовые файлы в Интернет незаархивировав, а потом сами же небойсь удивляются чего программы занимают так много места на диске/в памяти или требуют мощных процессоров :)

    Архивом: rghost.net/39169203
    • 0
      Вам не приходило в голову, что это было сделано намеренно и представляет из себя открытый список паролей.
      Те кто жалуются — явно не из этой переписки и вряд ли знают именно об этом файле.
      • +1
        Просто я не привык зря тратить ресурсы любого типа, поэтому предложил архивировать данные, выкладываемые для скачивания, и особенно, если эти данные хорошо сжимаются.

        Состояние заархивированости на открытость сильно не повлияет, мало у кого нету архиваторов (я тут использовал bz2, но тот же zip скорее всего могли бы открыть все). И что-то мне подсказывает, что большинство людей будут именно скачивать файл и смотреть в редакторе, а не дожидаться его загрузки в браузере и использовать его встроенный поиск, что бы найти свой email.

        В крайнем случае можно было выложить и архивом и просто файл.
        • 0
          Если что, выше уже есть и архивом и так — за долго до вашего комментария.
          С учетом этого и был дан вам мой ответ.
          • 0
            Черт, тогда извиняюсь за повтор, тот комментарий читал, но расширение bz2 не заметил.
            • 0
              Вы все-равно молодец, дополнительный источник загрузки лишним не будет.
  • 0
    Моего аккаунта там почему-то нет. Создавал его года 2 назад, чтобы пользоваться шарингом файлов в flickr на телефоне Nokia N900.
    Возможно, утекли аккаунты только какой-нибудь ноды.
    • +1
      Говорят, что взломали VOICE — вы там были зареганы?
      • 0
        не, не был
    • 0
      Моих два тоже нет.
  • 0
    Эхх… Вроде бы компании с большой буквы…
    У них что-то вроде
    «SELECT * FROM TBL T WHERE T.A = „+$a+ “ AND T.B = „+$b;
    вместо
    “SELECT * FROM TBL T WHERE T.A =? AND T.B = ?»;
    Написано наверняка было? Я, к сожалению, не большой эксперт в SQL Инъекциях…
  • 0
    Получается, что единственная защита от подобных фейлов для конечного пользователя — разные пароли для всех сервисов по какому-нибудь шаблону?
    Ещё лучше рандомные, но запоминать их дело весёлое: )
    Кстати, интересно, сколько ещё сервисов должны взломать и выложить акки в сеть, чтобы все крупные сервисы начали шифровать пароли с солью?
  • +1
    Апофеозом всего этого безобразия должны стать утекшие пароли от аккаунтов Google.
  • +1
    Как давний (и недовольный) пользователь Yahoo Mail, абсолютно не удивлён. Ублюдочная компания с дерьмовым качеством сервисов.
    • +1
      Я не пользовался и требую пояснений.
      • 0
        Ну, от кошмарного интерфейса ещё никто не умирал. Убогий спамфильтр — ладно, люди ведь даже мейлру пользуются. Постоянно стучащиеся в проклятый неубираемый яхумессенджер спамботы — даже такое можно потерпеть. Но когда меня при отправке письма человеку, с которым я уже неоднократно переписывался, банят на моей собственной почте на час за «спам» (кириллица, видать, насторожила) — это уже непростительно, за такое в приличной компании морду бьют. А попытавшись уйти с этой говнопочты, я обнаружил, что пересылка возможна только за деньги. Так и приходится кактус жрать.
        • +1
          У Yahoo есть IMAP4. Перекачайте всю почто на тот же Gmail через IMAP4, отошлите всем адресатам адресной книги новую почту, периодически проверяйте Yahoo почту через Thunderbird/Outlook.

          IMAP server: imap-ssl.mail.yahoo.com SSL/993
          SMTP server: smtp.mail.yahoo.com SSL/465
          user name: your full Yahoo email address (xxxxxxxxxxxxx@yahoo.com)

          Крoме этого, в некоторых случаях можно сделать бесплатный форвардинг (или POP3 access, что практически одно и то же — через POP3 можно собирать почту). Вот инструкция (работает далеко не во всех случаях и только со старыми аккаунтами):

          dimus.livejournal.com/13689.html
          • 0
            Спасибо!
            Способ по ссылке, к сожалению, уже не работает, но, по крайней мере, сграбить письма с яхупочты в Apple Mail удалось. Форвардинг это не заменит, но уже хлеб.
          • +1
            Toлько что проверил — инструкция по вышеуказанному линку не работает (Yahoo прикрыл дыру).
        • +1
          Moжно и так:

          Устанавливаешь Ypops: ypopsemail.com/
          Получаешь POP3 доступ через email client
          Создаешь фильтр: for each incoming message received on xxxxxx@yahoo.com account forward to xxxxxx@gmail.com

          Вроде все
          • 0
            Спасибо!
            Увы, версии под Mac и Linux давно заброшены.
            • +1
              Сoчувствую. Я в свое время успел воспользоваться дырой в Yahoo и смог определить себе Pop3/Forwarding

              Попробой webmail.mozdev.org — webmail плагин для Thinderbird
        • +1
          Попробуй в настройках поставить страну Сингапур. Должна появиться возможность бесплатной пересылки почты. Если не прикрыли, конечно
  • –1


    Перевел диаграмку из статьи с анализом по данной теме —
    «Что общего между Sony и Yahoo? Пароли!» (на английском).
  • +1
    Приехали. После такого Яху должен совершить харакири.
  • 0
    У меня вопрос. Если будут украдены «соленые» пароли, сама соль и алгоритм ее работы, насколько легко будет получить пароли?
    • +1
      Опять же, все зависит от самих паролей (с простыми- просто). В классической криптографии, в асимметричном шифровании, существует постулат, что нахождение зашифрованного параметра- вычислительно легко, а вот обратные преобразования без известных секретных данных- вычислительно сложны. Таким образом, гораздо проще будет атаковать ящик, используя такую уязвимость как коллизии в хэшах, чем вычислять сам пароль.
  • 0
    Любопытно, а возможно ли создать психологический портрет людей на основе данной информации, чтобы составить пароль (хотя бы приблизительно) для другого подобного имени (логина), но на других сайтах…
    • +1
      Вполне возможно.
      • 0
        Да запросто
    • 0
      Сложно сказать.
  • 0
    Ох, кому-то отбиваться предстоит…

    webmaster@thatsastar.com
    admin@crtfox.com
    admin@healthyuprising.com

    и пр. пр. пр.

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.