В сеть утекли пароли Yahoo

    Хакерская команда D33Ds Company выложила в сети более 453 тысяч паролей пользователей сервисов Yahoo.
    Известно, что взлом произвели через union-based sql injection.
    А самое интересное, что пароли хранились в незашифрованном виде.
    Под катом, линк на файл с паролями.

    https://d33ds.co/archive/yahoo-disclosure.txt
    UPD:
    Перезалил файл на мэил
    http://files.mail.ru/9SHZ0Q
    Метки:
    Поделиться публикацией
    Реклама помогает поддерживать и развивать наши сервисы

    Подробнее
    Реклама
    Комментарии 105
    • +2
      Комментов нет, а уже линк недоступен от хабрэффекта
      • +1
        Хабра-ли? :) линк доступен, но не каждый раз.
        • 0
          Все заняты поиском своего пароля в базе. Тут не до комментов.
        • +13
          Оказывается, «пока гром не грянет-мужик не перекрестится»- не только русская пословица. Сегодня даже технически подкованный школьник знает, что хранение паролей в открытом виде- зло. Не думал, что остались компании, тем более такие крупные, хранящие пароли открыто.
          • –4
            ну рутрекер тоже похоже хранит в открытом, ибо в письме после регистрации присылается пароль)
            • +6
              Прислать пароль после регистрации в незашифрованном виде очень легко. Позвольте на баше изобразить, суть должна быть понятна:
              read p
              echo «Ваш пароль — $p» | mail -s root@somewhere
              echo -n $p | md5sum > somewhile

              • –17
                1.Вы не правильно понимаете суть этого скрипта
                2. md5 хэш математически нельзя привести к исходному паролю
                • –6
                  или это на правах шутки? Сначала послать, потом шифровать :-)
                  • +8
                    на правах адекватного поведения =)
                  • +5
                    я думаю, человек просто хотел сказать, что можно сначала отправить пароль, а потом в зашифрованном виде положить его в базу. рутрекер не отправляет же вам ваш пароль по запросу о забытом пароле.
                    • +8
                      Послали в открытом виде, в базу записали в зашифрованном. Чего тут не понимать-то )?
                      • –1
                        >2. md5 хэш математически нельзя привести к исходному паролю
                        вы не поверите, но это и не нужно, для логина достаточно совпадения md5 введенной строки с md5 из базы
                        • –1
                          Речь о возможности прислать исходный пароль по почте после шифрования, а не об авторизации.
                  • 0
                    Тем более это доступ как минимум разработчиков к твоему паролю, который, вероятно, используется не только на yahoo.
                    • –1
                      Я не согласен, что хранение не шифрованного пароля, — зло. Очень юзерфрендли получить свой пароль, когда ты его забыл на мыло. А не выполнять 100500 действий, что б объяснить кто ты, указать новый, который не совпадает с 10 предыдущими. А если у вас увели бд юзеров, то у вас есть куда более важные проблемы:)
                      • +1
                        Существует принцип разумной достаточности. В сфере информационной безопасности любой специалист пытается его соблюдать, проводя анализ рисков и другие мероприятия, позволяющие спрогнозировать актуальные угрозы и способы их экранирования.
                        В современных условиях у вас есть 2 выхода, чтобы сохранить свои данные- либо шифровать всё и вся, либо использовать уникальные пароли для каждого ресурса (желательно вообще т.н. одноразовый блокнот).
                        В случае с гигантской корпорацией, ИМХО, шифрование необходимо.
                        • –1
                          Все верно. И безопасность должна эволюционировать вместе с проектом. Для развивающегося проекта не нужны хеши и соли лучше быть более юзер френдли. А когда уже стал жирным проектом никто не мешает перехешировать все пароли. Наглядный пример gmail, когда он только появился прокатывали любые пароли и регистрация была максимально простая. Сейчас гуглакаунт это большче, чем просто логин и пароль от почты, Соответсвено и степень защиты у них возрасла и усложнилась намного.
                    • +7
                      по ссылке не открывается, вот альтернативная yahoo-disclosure.txt.bz2 http://www.mediafire.com/?769gk65ix183vbd
                      • +1
                        А вот торрент.
                        • +4
                          И зеркало.

                          Кстати, взломали не Yahoo, а один из их сервисов, Yahoo Voice.
                          • +1
                            Т.е. если у меня почта на yahoo.com, то беспокоиться пока не о чём? Особенно, если я скачал файлик с базой и не нашёл там своего мыла.

                            И как быть, если я нашёл там мыла на gmail.com и другие? Я не знаком с сервисами yahoo, скажите, они просто используют почтовый адрес как логин, пароль при этом может быть любым? Стоит ли включать режим параноика сейчас или можно отложить пока?
                            • 0
                              Логин может быть любой почтой, пароль произвольный. Режим параноика нужно включать только если вы используете один пароль на разных сайтах.
                              Хотя для безопасности было бы неплохо указать номер телефона и/или email для восстановления, т. к. гугл при доступе из другой страны будет подозревать тогда во взломе, и спрашивать номер телефона, и тогда логина и пароля будет недостаточно. Ну и совсем безопасно — включить двухфакторную авторизацию.
                      • +8
                        Жесть, заходишь под чужим аккаунтом, говорит «мы советуем вам поменять пароль», ну прям второй шаг визарда по уводу почтового ящика :) Хотя как иначе делать — не понятно, если сами поменяют — куда слать-то?
                        А вообще кретины знатные — не захэшировать после волны взломов 2012.
                        • 0
                          Да и люди после волны взломов не очень зашевелились- большинство паролей вполне осмысленны, некоторые-комбинации имени и цифр, или даже просто цифры, одним словом-простые. Хотя в данном случае им бы и сильный пароль не помог. Удивительная беспечность корпорации.
                          • +7
                            Кстати, от нечего делать сделал частотный анализ паролей на предмет вхождения разных популярных слов.
                            В плане пошлостей как обычно лидирует Sex- 1118 вхождений, за ним следуют F*ck — 768 вхождений, D*ck — 373, и B*tch — 269 вхождений.
                            Любвеобильные пользователи также использовали пароль, скомбинированный из слов Love -7400 вхождений, Family -710 вхождений и Friend -390 вхождений.
                            Не мог обойти сферу IT- слово Computer встречается 305 раз, hacker 133 раза, а password -1501,passw0rd -83, p@ssword — 11, p@$$w0rd -6. Слово cat входит в пароли 4362 раза, а dog 2863.
                            • +12
                              F*ck — 768 вхождений, D*ck — 373


                              Первая мысль:«С каких это пор Duck — пошлость ?!»
                              • –5
                                Вы всегда вместо звёздочек, букву U подставляете? Dick, а не Duck.
                                • +2
                                  У кого-то в подсознании всплывают Duck Tules и DarkWind Duck, а кто-то вырос не на мультиках…
                              • 0
                                Все фигня

                                $sml=Select-String -Path yahoo-disclosure.txt -Pattern ":123456"
                                $sml.Count

                                2607
                                • +1
                                  Прошу прощения — 1667 паролей 123456, предыдущее включило в себя более длинные пароли.
                          • +10
                            Опять в незашифрованном виде???!!!
                            Кого берут на работу в такие корпорации?!
                            Вот придумываешь себе хитрый пароль с символами, числами, чтоб обязательно был не менее 8 знаков, а они хранятся без хеша и соли.
                            • +1
                              Видимо систему проектировали в далекие бородатые года, когда хешировать было «не модно». Ну а потом забыли об этом, если работает, зачем трогать?
                              • +1
                                мм… по-моему, здесь не впороса «модно» быть не должно. это недостаток самой архитектуры (если она вообще в данном случае может быть).
                                это эквивалентно, если бы клент-банк работал без шифрования.

                                >Ну а потом забыли об этом, если работает, зачем трогать?
                                я бы не сказал что это именно тот случай gold code. здесь идет прямо-таки сокрытие дефекта.
                                • +1
                                  если работает, зачем трогать?

                                  Вот в этом контексте это плохо. А с другой стороны — «Не лезь в работающий механизм» совсем не плохой совет. Где-то есть грань, но как ее найти?
                                  Задним умом оно понятно, что «надо было», а как понять, что надо будет?
                                  • 0
                                    Просто. Всё что несекьюрно надо чинить до того как писать что-либо ещё.
                                    • 0
                                      А несекьюрно это как? Вот md5 с солью это уже несекьюрно? А что секьюрно? Это же не постоянная величина, не абсолют. Есть более безопасные вещи, есть мене безопасные. Абсолютно безопасных нет, это вопрос времени, так как его измерять?
                                      • +1
                                        «секьюрно» — когда процесс получения пароля составляет минимум O(N), а не O(1) — как в данном случае.
                                • 0
                                  8? Я давно уже ругаюсь на сервисы у которых есть всякие глупые ограничения вида «Аааа… Да вы что, пароля больше 20 символов не бывает!». Выставил в Keepass генерацию 40 символьников.
                                  • 0
                                    просто хоть 40, хоть 140 символов, без шифрования — не поможет) обычно 6 символов через брутфорс на gpu можно за 2-е суток подобрать, но вот 8 и более — становится сложно.
                                    • 0
                                      Ну если мне без разницы, то почему бы не держать пароли по 40 символов, уникальные для каждого сервиса. Анноит запускать генератор с другими параметрами, просто.
                                      • 0
                                        Моя относительно устаревшая GeForce 9800 GTX+ молотит 600 миллионов md5 в секунду, мой старый стандартный 8-значник (перебирались только восьмизначные цифры + буквы) нашёлся за полтора часа (на самом деле меньше, полтора часа был прогноз на все варианты). Ну, часа 4 выйдет перебрать все варианты цифробуквенных от 1 символа. А вот топовые ATI молотят уже 3.6 МИЛЛИАРДА/b> md5 в секунду! В 6 раз быстрее. Проверял у друга. Делайте выводы.
                                        P.S. Использовался HashCat.
                                  • +11
                                    И опять пол миллиона паролей. У хакеров видимо лимит :)
                                    • +29
                                      Наконец вспомню, какой пароль был у меня на yahoo.
                                      • +6
                                        Нашел свой аккаунт в списке, заодно вспомнил пароль от yahoo :)
                                        • НЛО прилетело и опубликовало эту надпись здесь
                                          • 0
                                            Что странного? Их утекло всего 500 000, да и то от сервиса Yahoo Voice. Вам просто повезло, что ваш пароль не попал в эти 500к.
                                        • 0
                                          Жесть, у них пароли не только от yahoo, но и от gmail (как я понимаю те кто используют одинаковые пароли под угрозой)
                                          • +3
                                            Хм… а че-то не подходит ничего
                                            • +1
                                              ага, и мне не везет
                                              • 0
                                                удалось войти в два аккаунта из 20 (примерно) — чертова капча. один из акков был деактивирован, второй, видимо, давно не посещается, ибо over 7500 непрочитаных спамов… вот такой улов
                                            • +2
                                              вернул свой старый аккаунт на яху, круто
                                              • +10
                                                Если такие огромные компании не хешируют пароли, капец!
                                                • 0
                                                  gmail.com, aim.com, umn.edu, charter.net, comcast.net, pemtel.net, gmx.de и другие. Помимо личных данных — данные различных предприятий. Как такое могло попасть в паблик, и что теперь будет ребятам с D33D?
                                                  • +5
                                                    Одних admin@*.* — 666 штук.
                                                    • 0
                                                      *Перекрестился*
                                                      • +3
                                                        Походу вам линукс с его чмодом противопоказан — рука устанет :)
                                                        • +1
                                                          Отчего же, будет пользоваться мнемоникой.
                                                          chmod =rw-rw-rw- file
                                                          
                                                    • +1
                                                      А кто сказал, что пароли хранились в открытом виде? Я не вижу в базе очень сложных паролей типа 20-значных случайных наборов. Возможно, то что есть в файле это то, что удалось расшифровать?
                                                      Кстати в базе есть заголовок «user_id: user_name: clear_passwd: passwd» в то время как 4-я колонка отсутствует, возможно там были хеши до расшифровки.
                                                      • 0
                                                        хм… мысль не лишена резона
                                                        • +2
                                                          Посмотрите на юзера под номером 55372.
                                                          Вряд ли такой расшифровали.
                                                          А так мало сложных паролей, потому что основная масса их не использует.
                                                          • +2
                                                            Или вот такой например: Beans4Ness'slunch
                                                            22 символа, буквы (lower & upper case), цифры, спец. символы…
                                                            • 0
                                                              Упс, хабрапарсер съел htmk-код апострофа
                                                      • –1
                                                        Что-то не один логин-пароль не подходит, попробовал штук 10 разных
                                                        • 0
                                                          а я нашел даже рабочий с паролем 123456
                                                          • +1
                                                            потом долго искал кнопку logout…
                                                        • +4
                                                          не нашёл своего логина/пароля от яху, весьма негодую по этому поводу
                                                          • +1
                                                            Присоединяюсь, хотел восстановить аккаунт, но что-то не повезло.
                                                          • +4
                                                            ТОП-30
                                                            123456 — 1667
                                                            password — 780
                                                            welcome — 437
                                                            ninja — 333
                                                            abc123 — 250
                                                            123456789 — 222
                                                            12345678 — 208
                                                            sunshine — 205
                                                            princess — 202
                                                            qwerty — 172
                                                            writer — 164
                                                            monkey — 162
                                                            freedom — 161
                                                            111111 — 160
                                                            michael — 160
                                                            iloveyou — 140
                                                            password1 — 139
                                                            shadow — 134
                                                            baseball — 133
                                                            tigger — 132
                                                            1a1a1a1b — 131
                                                            success — 126
                                                            blackhatworld — 121
                                                            jordan — 111
                                                            whatever — 110
                                                            michelle — 109
                                                            dragon — 107
                                                            1234567 — 106
                                                            superman — 106
                                                            • 0
                                                              1a1a1a1b — 131
                                                              Старкрафтеры
                                                            • 0
                                                              Самое печальное, что это логин-пароль подходят не только для взломанного Yahoo сервиса, а и к собственно почте.
                                                              Взял три попавшихся случайных акка — два из них подошли и к почте
                                                            • 0
                                                              Ну что за невезуха, уже который большой взлом, а в списке нет моего логина или почты.
                                                              Закрадываются подозрения, что это все фейковые аккаунты, созданные самими хакерами.
                                                              • 0
                                                                2012 год — год отркытых паролей.

                                                                п.с. скоро получим и от яндекса, только со вкусом банана.
                                                                • +4
                                                                  Не, ну так же нельзя. Люди выкладывают 17-ти метровые текстовые файлы в Интернет незаархивировав, а потом сами же небойсь удивляются чего программы занимают так много места на диске/в памяти или требуют мощных процессоров :)

                                                                  Архивом: rghost.net/39169203
                                                                  • 0
                                                                    Вам не приходило в голову, что это было сделано намеренно и представляет из себя открытый список паролей.
                                                                    Те кто жалуются — явно не из этой переписки и вряд ли знают именно об этом файле.
                                                                    • +1
                                                                      Просто я не привык зря тратить ресурсы любого типа, поэтому предложил архивировать данные, выкладываемые для скачивания, и особенно, если эти данные хорошо сжимаются.

                                                                      Состояние заархивированости на открытость сильно не повлияет, мало у кого нету архиваторов (я тут использовал bz2, но тот же zip скорее всего могли бы открыть все). И что-то мне подсказывает, что большинство людей будут именно скачивать файл и смотреть в редакторе, а не дожидаться его загрузки в браузере и использовать его встроенный поиск, что бы найти свой email.

                                                                      В крайнем случае можно было выложить и архивом и просто файл.
                                                                      • 0
                                                                        Если что, выше уже есть и архивом и так — за долго до вашего комментария.
                                                                        С учетом этого и был дан вам мой ответ.
                                                                        • 0
                                                                          Черт, тогда извиняюсь за повтор, тот комментарий читал, но расширение bz2 не заметил.
                                                                          • 0
                                                                            Вы все-равно молодец, дополнительный источник загрузки лишним не будет.
                                                                  • 0
                                                                    Моего аккаунта там почему-то нет. Создавал его года 2 назад, чтобы пользоваться шарингом файлов в flickr на телефоне Nokia N900.
                                                                    Возможно, утекли аккаунты только какой-нибудь ноды.
                                                                  • 0
                                                                    Эхх… Вроде бы компании с большой буквы…
                                                                    У них что-то вроде
                                                                    «SELECT * FROM TBL T WHERE T.A = „+$a+ “ AND T.B = „+$b;
                                                                    вместо
                                                                    “SELECT * FROM TBL T WHERE T.A =? AND T.B = ?»;
                                                                    Написано наверняка было? Я, к сожалению, не большой эксперт в SQL Инъекциях…
                                                                    • 0
                                                                      Получается, что единственная защита от подобных фейлов для конечного пользователя — разные пароли для всех сервисов по какому-нибудь шаблону?
                                                                      Ещё лучше рандомные, но запоминать их дело весёлое: )
                                                                      Кстати, интересно, сколько ещё сервисов должны взломать и выложить акки в сеть, чтобы все крупные сервисы начали шифровать пароли с солью?
                                                                      • +1
                                                                        Апофеозом всего этого безобразия должны стать утекшие пароли от аккаунтов Google.
                                                                        • +1
                                                                          Как давний (и недовольный) пользователь Yahoo Mail, абсолютно не удивлён. Ублюдочная компания с дерьмовым качеством сервисов.
                                                                          • +1
                                                                            Я не пользовался и требую пояснений.
                                                                            • 0
                                                                              Ну, от кошмарного интерфейса ещё никто не умирал. Убогий спамфильтр — ладно, люди ведь даже мейлру пользуются. Постоянно стучащиеся в проклятый неубираемый яхумессенджер спамботы — даже такое можно потерпеть. Но когда меня при отправке письма человеку, с которым я уже неоднократно переписывался, банят на моей собственной почте на час за «спам» (кириллица, видать, насторожила) — это уже непростительно, за такое в приличной компании морду бьют. А попытавшись уйти с этой говнопочты, я обнаружил, что пересылка возможна только за деньги. Так и приходится кактус жрать.
                                                                              • +1
                                                                                У Yahoo есть IMAP4. Перекачайте всю почто на тот же Gmail через IMAP4, отошлите всем адресатам адресной книги новую почту, периодически проверяйте Yahoo почту через Thunderbird/Outlook.

                                                                                IMAP server: imap-ssl.mail.yahoo.com SSL/993
                                                                                SMTP server: smtp.mail.yahoo.com SSL/465
                                                                                user name: your full Yahoo email address (xxxxxxxxxxxxx@yahoo.com)

                                                                                Крoме этого, в некоторых случаях можно сделать бесплатный форвардинг (или POP3 access, что практически одно и то же — через POP3 можно собирать почту). Вот инструкция (работает далеко не во всех случаях и только со старыми аккаунтами):

                                                                                dimus.livejournal.com/13689.html
                                                                                • 0
                                                                                  Спасибо!
                                                                                  Способ по ссылке, к сожалению, уже не работает, но, по крайней мере, сграбить письма с яхупочты в Apple Mail удалось. Форвардинг это не заменит, но уже хлеб.
                                                                                  • +1
                                                                                    Toлько что проверил — инструкция по вышеуказанному линку не работает (Yahoo прикрыл дыру).
                                                                                  • +1
                                                                                    Moжно и так:

                                                                                    Устанавливаешь Ypops: ypopsemail.com/
                                                                                    Получаешь POP3 доступ через email client
                                                                                    Создаешь фильтр: for each incoming message received on xxxxxx@yahoo.com account forward to xxxxxx@gmail.com

                                                                                    Вроде все
                                                                                    • 0
                                                                                      Спасибо!
                                                                                      Увы, версии под Mac и Linux давно заброшены.
                                                                                      • +1
                                                                                        Сoчувствую. Я в свое время успел воспользоваться дырой в Yahoo и смог определить себе Pop3/Forwarding

                                                                                        Попробой webmail.mozdev.org — webmail плагин для Thinderbird
                                                                                    • +1
                                                                                      Попробуй в настройках поставить страну Сингапур. Должна появиться возможность бесплатной пересылки почты. Если не прикрыли, конечно
                                                                                • –1


                                                                                  Перевел диаграмку из статьи с анализом по данной теме —
                                                                                  «Что общего между Sony и Yahoo? Пароли!» (на английском).
                                                                                  • +1
                                                                                    Приехали. После такого Яху должен совершить харакири.
                                                                                    • 0
                                                                                      У меня вопрос. Если будут украдены «соленые» пароли, сама соль и алгоритм ее работы, насколько легко будет получить пароли?
                                                                                      • +1
                                                                                        Опять же, все зависит от самих паролей (с простыми- просто). В классической криптографии, в асимметричном шифровании, существует постулат, что нахождение зашифрованного параметра- вычислительно легко, а вот обратные преобразования без известных секретных данных- вычислительно сложны. Таким образом, гораздо проще будет атаковать ящик, используя такую уязвимость как коллизии в хэшах, чем вычислять сам пароль.
                                                                                      • 0
                                                                                        Любопытно, а возможно ли создать психологический портрет людей на основе данной информации, чтобы составить пароль (хотя бы приблизительно) для другого подобного имени (логина), но на других сайтах…
                                                                                      • 0
                                                                                        Ох, кому-то отбиваться предстоит…

                                                                                        webmaster@thatsastar.com
                                                                                        admin@crtfox.com
                                                                                        admin@healthyuprising.com

                                                                                        и пр. пр. пр.

                                                                                        Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.