Пользователь
0,0
рейтинг
10 сентября 2014 в 02:40

Разработка → А теперь и gmail.com: в сеть выложена база на 5 000 000 адресов

Популярному почтовому сервису от Google не удалось избежать повторения ситуации с выкладыванием довольно внушительных баз с логинами и паролями, которая недавно случилась с Yandex и Mail.ru. В сети появилась база с адресами ящиков и паролями на 4929090 аккаунтов gmail.com. Актуальность базы не проверена, но сообщается о более чем 60% валидных пар почта: пароль.

В комментариях к предыдущим записям пользователи резонно замечали, что торговля подобными базами далеко не новость, и чего мол тут шум подняли. С этим трудно не согласиться, но опять же, по комментариям видно, что многие пользователи находили в этих базах свои аккаунты, зачастую с актуальными паролями, после чего меняли пароли и начинали более внимательно относиться к безопасности своих почтовых ящиков. Поэтому считаю не лишним осветить появление и этой базы в свободном доступе в сети.

Судя по тому, что появляются базы от многих сервисов, сообщения от «Яндекса» и Mail.ru верны, и это не результат утечки, а последствия фишинг атак, действия вредоносного ПО, использования слабых паролей и прочих ошибок в безопасности при работе с почтой со стороны самих пользователей. Поэтому рекомендуется в профилактических целях сменить пароли на своем почтовом ящике, даже если он не использует сервисы yandex.mail, mail.ru или gmail.

По традиции напомню существующие на данный момент сервисы для проверки своей почты на наличие в базах. Наверняка скоро они пополнятся и базой gmail адресов:

isleaked.com (yandex.ru и mail.ru, gmail.com)
yaslit.ru (yandex.ru, mail.ru, gmail.com)
yandexexpose.azurewebsites.net
games-gen.com/mails/check3.html (mail.ru, 4427521 мыло)
games-gen.com/mails/check2.html (yandex.ru, 1261809 мыл)
games-gen.com/mails/check.html (сборник разных почт, слитых в декабре 2013го, 4879197 мыл)
Тихонов Иван @polym0rph
карма
87,0
рейтинг 0,0
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Реклама

Самое читаемое Разработка

Комментарии (396)

  • +32
    Это какой-то троллинг!
    • +49
      Нет. Кто-то насобирал миллионы почтовых адресов: mail.ru, yandex, google, yahoo, hotmail и т.д. — всё, что люди используют.
      Потом сгруппировал по доменам и раз в сутки выкладывает в сеть
      • +41
        Мне кажется, это кто-то заготовил такое хитрое поздравление на день тестировщика.
        • +1
          Btsec видимо не справляется с наплывом желающих, поэтому позволю себе оставить это здесь
          • +1
            комментарии там зажигают…
          • 0
            Да, спасибо за дубль базы. Вчера вообще жесть была. Разошлось по всем СМИ, многие почему-то посчитали, что btcsec.com является первоисточником и распространяет базы с паролями.
        • +11
          Астрологи объявили неделю утекших паролей?
        • +9
          А может быть такое, что все эти акции (что акции, с воем в СМИ, сомнений нет, т.к. баз таких и раньше полно было выложено на тематических сайтах) предназначены для того, чтобы владельцы эккаунтов срочно кинулись менять пароли? При этом будет использована какая-нибудь еще не известная большинству дыра в SSL или протоколах авторизации (то, что дыры находятся, мы все прекрасно видели недавно). И вот там уже будет ловиться настоящая рыба, а это только наживка была. Идея, конечно, тупая, но вдруг…
          • +4
            Конечно, может. А ещё обновить прошивку Праксис вы можете в ближайшей клинике Limb. Не забудьте сделать это завтра.
      • +17
        Кто-то поочередно скупает и продает акции IT-компаний
      • +1
        Я параноик, но нашел для одного из своих ящиков пароль
        • 0
          Возможно, он использовался еще где-то? При анализе ситуации видно, что пароли из базы пользователи часто вводили на сторонних сайтах.
          • 0
            Нет, не использовался. Это был личный, нигде не засвеченный email.
        • +6
          Я — не параноик, но не нашел ии моего старого заброшеного ящика, ни ящиков мамы и бабушки (хотя они — целевая аудитория троянов и фишеров и сидят на XP).
          • 0
            То что вы ничего не нашли — ничего не значит.
            Одного моего ящика не было в базе, но его весной публиковали с актуальным на тот момент паролем на одном из варезников в общей пачке.
    • +18
      Давно пора в подобных топиках ввести традицию сразу прикреплять опрос «А ваш пароль оказался в этой базе?»
      • +6
        Количество уникальных паролей в базах (имена файлов изменены):

        cat Gmail.com.txt | sed -e 's/^[^:]*://g' | sort -u | tee tmp_g.txt | wc -l
        3135923

        cat Mail.ru.txt | sed -e 's/^[^:;]*[:;]//g' | sort -u | tee tmp_m.txt | wc -l
        1689092

        cat Yandex.ru.txt | sed -e 's/^[^:]*://g' | sort -u | tee tmp_y.txt | wc -l
        717203

        кол-во уникальных паролей в базе mail.ru, которых нет в базе gmail.com:
        cat tmp_g.txt tmp_g.txt tmp_m.txt | sort | uniq -cu | wc -l
        1574073

        кол-во уникальных паролей в базе yandex.ru, которых нет в базе gmail.com:
        cat tmp_g.txt tmp_g.txt tmp_y.txt | sort | uniq -cu | wc -l
        637848

        Моих аккаунтов в базах нет, но несколько используемых паролей встретилось, придется их менять.

        PS: Для ценителей классики, количество паролей «god», «sex» и «love».

        cat Gmail.com.txt Yandex.ru.txt Mail.ru.txt | sed -e «s/^M//g» | grep -e "[:;]god$" | wc -l
        22

        cat Gmail.com.txt Yandex.ru.txt Mail.ru.txt | sed -e «s/^M//g» | grep -e "[:;]sex$" | wc -l
        35

        cat Gmail.com.txt Yandex.ru.txt Mail.ru.txt | sed -e «s/^M//g» | grep -e "[:;]love$" | wc -l
        451

        • +1
          Как насчет составить ТОП паролей по всем трем базам (имею в виду не три топа, а один топ по сборнику паролей)?
          • +27
            cat Yandex.ru.txt Gmail.com.txt Mail.ru.txt | sed -e 's/^[^:;]*[:;]//g' | sort | uniq -c | sort -nr | head -n 20
             252301 qwerty
             119868 123456
              32776 123456789
              16538 111111
              13761 12345
              12930 qwertyuiop
              12377 password
              11792 12345678
              10711 1qaz2wsx
              10198 1234567890
              10190 1234567
               8744 123123
               8411 123321
               8172 qazwsx
               8046 1q2w3e4r
               6514 7777777
               6303 qwer1234
               6251 000000
               6117 123qwe
               6055 1q2w3e4r5t
            
            • +2
              можно то же самое для n=100?
            • НЛО прилетело и опубликовало эту надпись здесь
              • 0
                >Жаль что при регистрации нет кнопки «адрес мне будет не нужен через 1 неделю», я бы ее нажимал в таких случаях…

                Есть куча сервисов для этого, типа www.dispostable.com
                • +1
                  Вы дочитывайте перед комментированием.
                  Создавать ящики на специальных сервисах одноразового мыла — не вариант. Иногда форумы не пропускают мыло с этих адресов.
                  • 0
                    У меня вот часть моих доменов принимает почту по *domain.com и для всяких мусорных регистраций я юзаю несуществующий ящик spam@domain.com, во-первых сразу ясно что регистрация была мусорная, во-вторых даже если такой адрес утечет с форума, то не страшно, пусть подбирают к нему пароль сколько угодно, ящика такого по факту нет.
                  • 0
                    Чукча не читатель, чукча писатель
              • 0
                Когда-то давным-давно пользовался в таких случаях qwerty:qwerty. Где-то сам регистрировал на левые мыла, а где-то он уже был любезно предоставлен кем-то ещё.
              • +1
                Для таких случаев bugmenot.com — как раз такая коллекция расшаренных имён/паролей для всех.
          • 0
            Отметьте, что пересечение по паролям в этих базах очень небольшое, тут есть над чем подумать.
      • 0
        На всех трех сервисах есть ящик. Ни один ни оказался слит. Даже разочаровался как-то немного.
    • –1
      Это не троллинг, мой адрес и первые символы пароля обнаружились
  • +1
    А где ссылка на базу?
    • +106
      По традиции я выложил базу без паролей. Да, я вредный, мне все равно, что за это меня минусуют, я считаю, что это лучше, чем давать злоумышленникам возможность воспользоваться данными раньше, чем владельцу аккаунта обнаружить проблему и сменить пароль. Принципиально это ничего не меняет, кто хочет и умеет пользоваться гуглом — найдет полную базу без особых проблем. Но мое дело маленькое — дать шанс.
      • 0
        Интересно, каким образом понимают процентную «валидность» аккаунтов, заявленных по ссылке выше.
        • +4
          Точного ответа нет. Могу предположить, что по случайной выборке. Достаточно дернуть из рандомных мест файла на проверку 1000 аккаунтов, и должна получиться вполне репрезентативная картина.
          • 0
            Правильно ли я понимаю, что действие «Достаточно дернуть из рандомных мест файла на проверку 1000 аккаунтов» попадает под уголовную ответственность в соответствии с УК РФ?
            • +4
              Могу предположить, что да, как неправомерный доступ к компьютерной информации.
              • 0
                Судя по времени появления записей, а также по данным их редактирования, ником tvskit на Bitcoin Seсurity и ником polym0rph (Тихонов Иван) на блог-платформе Habrahabr пользуется один и тот же человек или одна группа людей (сам Иван Тихонов в разговоре с CNews опроверг свое тождество c tvskit, но подтвердил свое с ним знакомство). Им же наряду с пользовтелем Habrahabr lagudal принадлежат появившиеся в последние двое суток публикации об утечках аккаунтов «Яндекса» и Mail.ru.
                Подробнее: www.cnews.ru/top/2014/09/10/ne_otstavaya_ot_yandeksa_i_mailru_v_set_vylozheny_paroli_ot_5_millionov_yashhikov_gmail_585540
                • +2
                  Ну я написал как есть автору, но любит наш народ конспирологические теории. Пожалуйста. жалко что ли.
                  • +3
                    Аватарка Government Man способствует теориям тоже :-)
            • +2
              Если кроме подтверждения факта логина не делать ничего, то не наказуемо, так как совстава нет.
              • 0
                Зная нашу практику, я бы все равно не рекомендовал подставляться без необходимости под «неправомерный доступ».
        • 0
          Данная цифра оглашена на источнике автором раздачи. Вероятно база пробивалась им до выкладывания.
          К слову, ни своей почты, ни почт своих знакомых я в данной базе не обнаружил.
      • +1
        Было бы ещё здорово точки из них поудалять, чтобы искать было проще
        • 0
          Господа, а почему минусы? Вы несогласны? Аргументируйте
          • 0
            Господа минусующие видимо не в курсе, что гугл игнорирует точки в логинах. Мой аккаунт username@gmail.com:pass в базе может быть записан как user.name@gmail.com:pass, что усложнит его поиск для меня, но никак не отразится на возможности авторизации в гугле.
            • –1
              Господа минусующие видимо не в курсе, что гугл игнорирует точки в логинах
              Совершенно верно.
              P.S. мне на минусы всё равно, просто забавляют такие люди, которые молча ставят минус и идут дальше
      • –1
        Proof or gtfo! Гугл об этой базе ничего не знает. Нашёл один свой аккаунт с 2004 года нигде не светившийся. Похоже обыкновенная спам-база.
        • 0
          Пришлите в ЛС адрес, могу первую и последнюю букву пароля скинуть, к примеру.
          • 0
            Скинь мне, плз. Любопытно какой там пароль, старый, или новый, которому месяца два. Написал тебе в ЛС.
            • +1
              Старый пароль. Который был там где-то с августа'13 по февраль'14, примерно.
              • +1
                в моем случае там оказался вообще какой-то мега-старый пароль, явно даже не прошлого года.
                • +18
                  какой-то мега-старый пароль, явно даже не прошлого года.

                  password2010?
                • 0
                  Да, меня это тоже удивило. Такая же ситуация и у меня.
                  Если я правильно понял, то тот старый пароль был самым простым и самым первым. А было это где-то в 2007-2008 году.
          • 0
            Можно мне тоже посмотреть? Я там нашёл своё мыло (в файле из 7з-архива; по веб-сервисам не пробивается).
            • 0
              В ЛС мне скиньте адрес
      • +2
        И по традиции зачистил не всё. Правда, на этот раз только один пароль пропущен (hint: искать по \t).
      • +1
        В списке, кстати, также встречается 123 тысячи адресов yandex.ru:

        user@host:~/Downloads$ cat ./google_5000000.txt | grep "yandex.ru" | wc
         123225  123225 2719023
        
        • +1
          Да, досконально я ее не проверял. Некоторые заметные косяки вроде вычистил. Кстати, яху там тоже фигурировал.
        • +8
          Сторонние e-mail тоже можно использовать для регистрации гуглоаккаунта (для аналитики, ютуба, ватевер)
          • 0
            А вот это уже интересно. Собственно вопрос, каким образом формировались базы — остается открытым.
        • –2
          mail.yandex.ru@gmail.com, например, через такой фильтр проходит.
          '@yandex\.ru$' тогда уж…
      • 0
        Спасибо. Кстати, если убрать из каждой строчки gmail.com, то файлик похудеет почти в два раза.
      • +1
        Если форум под хабраэффектом все же ляжет, вот Hatifnatt выложил копию: rghost.ru/57937699
      • +1
        где вы их берете? :)
        • +1
          Первоисточник на руборде
      • +4
        Кто умеет пользоваться гуглом использует двухфакторную аутентификацию))
  • +2
    Кто найдет еще сервисы для проверки наличия почты в базах- пишите, добавлю в тему.
    • +9
      isleaked.com теперь ищет по gmail аккаунтам.
      А ещё можно оставить эту ссылочку для технически неподкованных людей в целях просвещения.
      • 0
        Добавлено.
      • +8
        очень классно выглядит эта форма, учитывая, что я только две минуты назад проверил там свой email:)
      • +28
        Шаг 1. Вводим свой email на каком-то сайте для проверки утечки
        Шаг 2. Вводим свой пароль на каком-то сайте для проверки надежности
        Шаг 3. Удивляемся, почему аккаунт увели
        • +8
          А вы пробовали вводить рандомные символы в поле «проверки» пароля? Нужен включенный яваскрипт. И да, страница полностью статична, исходники на виду.
          • +8
            Шаг 1. Не понимаем тонкую шутку
            Шаг 2. Шутим о том, что она толстая
            Шаг 3. Наслаждаемся общественным признанием
    • +4
      А как проверить, не собирают ли эти сервисы спам-базы?
      • +27
        Если начнёт приходить спам, значит, собирают.
      • +8
        Специально для сомневающихся на isleaked.com были введены звёздочки. Заменяете до трёх символов ими и смотрите количество почт, подходящих под этот шаблон.
        • –1
          Интересно, что Gmail не даёт заводить email, в котором меньше 6 символов до @. Но в результатах поиска "***gmail.com" — 1824 совпадения. Кто все эти люди??
          • +6
            Возможно, зарегистрировались до введения этого правила.
            • 0
              Да, возможно. Значит это _совсем_ старожилы. Я регистрировался ещё во времена Beta, лет 8 назад. И уже тогда мне не позволило сделать 5-символьный ящик.
              • –2
                Само собой, ведь трехсимвольных ящиков можно завести всего ничего ~ 3*256
                • +1
                  На всякий случай, на гугле точка «не считается», регистр тоже, поэтому буквы и цифры, итого 36 знаков. Трёхсимвольных комбинаций всего ~36^3=46656, далеко не 3*256=768. Пятисимвольных — 60 млн. Крайне маловероятно, что они могли закончиться.
                  • 0
                    Что-то я да-а-а…
              • 0
                Я регистрировался во времена Beta 10 лет назад и тогда тоже было ограничение на больше 6 символов.
                Так что, скорее всего, оно было всегда.
                • 0
                  во времена Beta

                  на всякий случай напомню, что оно как раз лет десять в бетах ходило, даже шутки были по поводу вечной беты
          • 0
            Завели до введения этого ограничения?
          • +1
            ВИП-ы…
          • 0
            Ну как кто? Ларри Пейдж, Эрик Э. Шмидт, Сергей Брин и прочие обитатели этой страницы...
  • +11
    Ждем базы паролей gosuslugi.ru. Будем штрафы смотреть.
    А никто часом пароли хостингов не собирал?
    • +1
      Собирали, собирали. Был баг в solusvm, кучу аккаунтов кучи хостеров потырили. Собственно, на indexeus.com/ есть даже мой адрес и телефон, можете наслаждаться.
  • +1
    А рамблер будет? У меня там вконтактий зареган, и… и… неонка там, внутре!
    • +62
      Вся база в три тысячи ящиков и восемь активных адресов.
      • +62
        И оба владельца — недовольны?
    • +2
      Ага а я может и восстановил бы доступ к своему ящику, а то ответ на секретный вопрос просят, а я туда билеберду пишу обычно
  • +7
    Проверился сам, проверь менее технически грамотных друзей!
    • +2
      И не забывай предохранятся!
    • 0
      Нет, не так. Поменял себе, убеди друзей поменять.
  • НЛО прилетело и опубликовало эту надпись здесь
  • +6
    Я ничего не хочу говорить плохого, но сейчас множество ресурсов обсуждают эту тему. И очень много споров на тему, правда или это все «утка».
    Яндекс, МайлРу, Гугл — это солидные компании — которые дорожат своим именем. Я думаю, что если бы утечка имела место быть — они бы разозлали письма пользователям(всем) с просьбой сменить пароль.

    А так только фишинг, вирусы и прочие нечести которые и наполнили эти базы.
    Интересно, сколько пользователей Хабра проверили свои эмайлы в этих базах? Сколько из них нашли там свой эмайл? У сколько пароль совпал?

    • +6
      У меня совпал и у 2 моих друзей совпал. И это я проверил всего лишь порядка 10 адресов.
    • 0
      Я тоже нашёл там некоторые действующие адреса
      • 0
        Отбой, оказалось просто частично совпадающее с моим мыло. Моего реального старого адреса, который где только не светил в интернете, там нет (наверное, потому что не вводил от него пароль где попало).
    • 0
      Зачем же всем? Они заблокировали ящики из списка.
      • 0
        Два мыла из списка они точно утром не заблокировали, друзья заходили, меняли пароль. Еще один мой адрес заблокировали, теперь не могу получить доступ к почте, несмотря на указанный телефонный номер. Приходит смс, ввожу дальше данные, затем пишут, «мы с вами свяжемся».
      • 0
        Ну блокировка, блокировкой. Но оповестить они должны всех. Это лишь мое мнение.
    • 0
      Проверил все свои и девушки, ни один не попал, только старый яндексовский от которого пароль ещё в 2005 забыл (или увели тк схлопотал тогда много вирусни на голову) нашелся, но что самое смешное нашелся в на одном из форумов обмена, а не в самом файле.
  • +9
    Шутка, повторённая три раза — в три раза смешнее?
    • +1
      Тут главное про сказку про мальчика и волка не забыть.
      • 0
        Ну не знаю, в моём случае, когда увидел заголовок про gmail, напряжение достигло как раз пика.
    • 0
      Ну если удалось разыграть трех разных людей — то несомненно. А если одного и того же — то вообще ;)
  • 0
    букмекеры уже наверное принимают ставки, кто будет следующим и какой объем базы получится
    • НЛО прилетело и опубликовало эту надпись здесь
  • +2
    Ждём объяснительного поста от Google.
    • +33
      Ждём отличий от объяснительных постов Яндекса и Mail, вы хотели сказать? :)
  • –1
    У меня находится только летний файл на 2.4кк, так что статистику по паролям пока не сделать
  • –5
    Я же это ванговал!
    • +16
      После повторения истории с мейлру это каждый второй ванговал ;)
  • –2
    Возникает вопрос: обязательно ли нужно выкладывать в открытый доступ базы аккаунтов, для того чтобы компании предприняли меры безопасности по смене паролей? Эти базы скорее всего продаются(раз они попали в открытый доступ). Сложно что ли найти источники продаж и выкупить их?
    • +1
      Точно, а потом сумму поделить и выставить счет всем попавшимся живым пользователям в целях укрепления мотивации к заботе о безопасности паролей.
      • 0
        Если так рассуждать, то эти сервисы вообще должны быть платными. Сколько людей там работает и получает за это зарплату. Лучше потратить побольше на информационную безопасность, тогда сократится нагрузка на службу поддержки и положительно повлияет на другие факторы, что вполне себе окупится. Базы, которые попали в паблик скорее всего проданы не одному человеку, что сокращает их стоимость. Не думаю что они очень дорогие.
        • +1
          Это, конечно, была шутка. Но вообще, то, что попало в паблик, обычно и так уже заблокировано из-за подозрительной активности. Судя по отзывам здесь, Гугл и так многое сделал для безопасности: анализ поведения и двухфакторная аутентификация затрудняют использование даже действительных пар логин/пароль.
  • +1
    Нашёл себя в базе, но с паролем 6-8 летней давности. Спасибо, polym0rph.
    • 0
      Это не почтовые аккаунты, а слитые с других источников. Просто некоторые пароли совпадают с почтовыми, по причине использования единого пароля (у таких как известно «мне нечего скрывать» ). Толку от такой базы мало, разве что для спама.
      • 0
        Я, собственно, такой вариант и выбрал для себя. Скорее всего какой-то сайт ломанули.
  • 0
    А ботов то сколько в базе по ходу — screencloud.net/v/4viR
    • 0
      Винай — фамилия. Или имя, черт знает.
    • 0
      Это не боты, а индийцы. И да, индийцев достаточно много, чтобы было столько адресов.
  • +11
    ДВУХФАКТОРНАЯ АУТЕНТИФИКАЦИЯ
    • +4
      Для меня мыло/акк ничего не стоит, а телефон я давать не хочу, вообще.
      И потом, это дискриминация — а если у меня нет телефона совсем, что делать?
      • +4
        Ну можно второй этап авторизации настроить не через смс а через приложение Google Authenticator на смартфоне, тогда номер телефона давать не придется я так понимаю.
        • +8
          <zanuda_mode>
          Во множество «нет телефона совсем» входит и отсутствие смартфона.
          </zanuda_mode>
          • +5
            Google Authenticator на Android x86 в VirtualBox?
            • 0
              Лучше пусть сразу сертификат отдельным файлом отдадут, чем я дополнительно буду со всякой хренью разбираться.
          • 0
            В гугле же вроде можно распечатать табличку кодов на бумажке?
        • –1
          Скорей всего потому что гугл в таком случае номер будет уже знать.
          • +2
            Google Authenticator может работать на устройстве, которое вообще не подключено ни к каким сетям (кроме, возможно, электрической).
        • 0
          Я не хочу ничего нигде настраивать, я один раз задал пароль, и может быть контрольный вопрос (второй пароль).
      • 0
        На гугле можно сгенерировать 10 одноразовых кодов подтверждения. Когда закончатся — генерируешь еще 10. У меня пол-года назад сгенерированный листик еще не закончился.
        • 0
          Можно и паспорт показать, вопрос в заинтересованности.
          Паспорт, в отличии от телефона есть у каждого.

          Я к тому, что сейчас просто принуждают давать свой телефон, гугль ещё нет, но мейл уже да.
    • +4
      Двухфакторная аутентификация — палка о двух концах: достаточно не пользоваться номером 3-6 мес (в зависимости от оператора) и номер уже не ваш со всеми вытекающими. Положительный баланс на симке не поможет, деньги будут списаны.
      • +1
        Как можно в современном мире не пользоваться основным номером 3-6 мес?
        • +19
          В армию сходить, например.
          • –1
            В армию не разрешают брать с собой телефон?
            • +5
              А то вы не знаете, как далеко обычно забрасывают у нас. На роуминге штаны с родителей снимутся
              • 0
                На раз в месяц «ало, мама, со мной всё в порядке» родители снимут любые штаны, поверьте.
                • 0
                  раз в месяц — это вы оптимист. Раз в день, если не десять раз.
            • +4
              Вы не служили?
              • +3
                Нет, я не служил.
                Но некоторые знакомые служили и вполне могли общаться по телефону.

                Да и «дальность заброса» у нас, как мне кажется, можно решить.
                • +2
                  Наличие в армии телефона еще не гарантирует вам возможности им пользоваться.
                  Да любой человек может внезапно попасть в больницу, тюрьму, да что угодно.
                  А если вы можете решить дальность заброса, то и можете уж сразу порешать службе вообще.
                  • 0
                    Дык у нас вроде бы довольно давно дальше соседнего региона не отправляют, за редким исключением (из Карелии в Севастополь, например)?
                    • +1
                      Все может быть. Но когда я был на распределительном пункте (это было давно), то военком решал, кому в Мурманск, а кому в Читу. И делал он это на основании оптического и фонетического анализа призывника.
                      • 0
                        Ну вот решил погуглить и нашел вот такое:
                        Разрешается ли кому-нибудь служить рядом с местом жительства?
                        Комплектование Вооруженных Сил РФ, других войск, воинских формирований и органов военнослужащими, проходящими военную службу по призыву, осуществляется в соответствии с Федеральным законом «Об обороне» на основе принципа экстерриториальности, то есть прохождения военной службы по призыву не по месту жительства.
                        Указом Президента РФ от 28 мая 1996 года № 791 «О дополнительных мерах социальной защиты военнослужащих, проходящих военную службу по призыву» сделано исключение для граждан, призываемых на военную службу и имеющих детей, а также больных и пенсионного возраста родителей. Такие призывники направляются, по возможности, для прохождения военной службы в места вблизи проживания семьи.
                        Кроме того, в соответствии с Инструкцией по подготовке и проведению мероприятий, связанных с призывом на военную службу граждан Российской Федерации, не пребывающих в запасе (приказ Министра обороны Российской Федерации от 2 октября 2007 года № 400), призывники, проживающие в районах Камчатки, Чукотки, Сахалина, побережья Охотского и Японского морей, годные по состоянию здоровья и другим требованиям для службы в ВМФ, направляются, как правило, в воинские части и на корабли Тихоокеанского флота, а проживающие в Мурманской, Архангельской и Калининградской областях – в воинские части и на корабли Северного и Балтийского флотов соответственно.
                        Полный переход на территориальный принцип комплектования войск невозможен по причине неравномерности распределения призывных ресурсов по регионам России и особенностей дислокации войск.
                        Общеизвестно, что основная часть призываемых граждан проживает в центральных районах России, в то время как большое количество войск и сил флота дислоцируется в Забайкалье, на Дальнем Востоке, Северном Кавказе и в районах Крайнего Севера.
                        Вместе с тем в целях сокращения финансовых расходов на оплату перевозок призывников значительное количество граждан направляется для прохождения военной службы в воинские части, расположенные на территории военных округов, в пределах которых они проживают.

                        (с) www.kron-sovet.ru/index.php/58-novosti/205-informatsiya-o-prizy

                        Про «правило соседнего региона» мне встречалось где-то на просторах жж год-два-три назад, не помню точно.
                        Так что, думаю, все сводится к тому, что стараются в ЦВО брать из соседних областей, а если рядом никого нет — то уже откуда придется.
                    • 0
                      Довольно давно — это сколько? Года три назад ещё через пол-страны забрасывали только так.
                    • 0
                      Друг учебку проходил на дальнем востоке, на берегу моря(крайняя восточная точка). Служил на севере, на границе с Финляндией. Живет в Новосибирске.
                      И вы говорите, соседний регион?)
                      • 0
                        Ну что тут ответить… Всякое бывает :-)
                  • +1
                    Ну и аргументы у вас.
                    В самом деле, когда человека садят в тюрьму, то основная проблема — это про привязку телефона и gmail.

                    А вообще я не понимаю о чём разговор. «Восспользоваться телефоном» — это послать sms. Вы тут всерьёз обсуждаете, что бывают ситуации, когда это невозможно за месяцы?
                    • 0
                      Вы хотите сказать, что такое невозможно?
                      Мой товарищ попал в аварию и почти год ему было не до телефона.
                      Сейчас выкарабкался, номер уже другой.
                      • –1
                        Я хочу сказать, что вы для аргументации на полном серьёзе обсуждаете кейсы про людей, лежащих в больнице год без телефона, причём видимо в коме, раз ему никто не позвонил всё это время.

                        Мне почему-то кажется, что это не совсем те типичные сценарии, которые нужно рассматривать.
            • +1
              когда едешь в армии в «отпуск» — не разрешают.
              • +1
                <чёрный юмор>
                Так вот почему они заблудились — телефонов не было, а без гуглокарт ориентироваться уже не умеет современная молодежь…
      • +2
        Можно привязать к мобильному приложению, а не к sms. Это удобнее и в поездках, когда нет связи или другая симка стоит.
        • 0
          В этом случае телефон всё равно останется резервным способом (GMail) и можно будет войти, минуя Authentificator.
      • 0
        Номер можно сменить и потом, если остались неиспользованные резервные коды.
      • 0
        Во-первых мобильное приложение, во-вторых резервные коды в контейнере truecrypt, в-третьих ваш компьютер, на котором стоит галочка «запомнить код на этом компьютере». Помоему достаточно, что бы не потерять аккаунт.
        • НЛО прилетело и опубликовало эту надпись здесь
    • НЛО прилетело и опубликовало эту надпись здесь
      • +1
        В ленте без скидочной карты цены негуманные. А правильность анкеты никто не проверяет.
  • –1
    У меня такое ощущение возникло, что выложили только yandex, а остальные уже «под шумок» решили подчистить свои Б.Д, от лишних ящиков. Я читал, что кто-то проводил небольшой эксперимент — отослали определенному количеству (не помню сколько, но там на сотни тысяч идет счет) письма с просьбой покупки прав на их «ящики» (названия ящиков выбирали по смыслу). Отклик был (если не ошибаюсь) меньше 70%.
  • –56
    Меня в списке нет, да здравствует лицензионный nod32.
  • 0
    Этого следовало ожидать. Кто-то активно сливает собранные ботами/троянцами/фишингом данные из разных источников. Потом сортирует (Не очень умело, попадаются повторения и данные с других почтовиков).
    Можно делать ставки что за база появится следующей. И сольются ли почтовики вида, например, xxx@usa.gov
  • +18
    Кстати, забавный факт:

    Скомпрометированных email'ов со словом linux нашлось 355, а со словом windows всего 125. «Хакеров» со слитыми паролями аж 922.

    Пруф
    bomba@bomba:~$ cat /media/NTFS_850/temp/google_5000000.txt | grep linux -c
    355

    cat /media/NTFS_850/temp/google_5000000.txt | grep windows -c
    125

    bomba@bomba:~$ cat /media/NTFS_850/temp/google_5000000.txt | grep hacker -c
    922
    • +4
      Видимо windows — это длинно, неоднозначно, а кому-то, может быть, и стыдно :)
      • 0
        Но все же нашлось 125 человек из 5 млн, кому не стыдно.
  • +1
    Возможно, все эти пароли были выужены, когда работала уязвимость OpenSSL. Такое предположение подтверждают некоторые комментарии; и то, что никакой рассылки от почтовых сервисов пользователям по такому, казалось бы, требующему внимания поводу не было (т.е., шум уже был, но какое-то время назад и несколько в другом ключе).

    Ждём слива аккаунтов Gmail с кастомными доменами.
    • 0
      Многие отмечают, что их аккаунт есть в базе, но пароль указан очень простой, вроде 123456 и такой пароль никогда на этом аккаунте не использовался. Такие аккаунты скорее всего результат кросс-чека, то есть слиты из баз с других сайтов и не были даже проверены. Через HeartBleed сложно сливать пароли целенаправленно, так как нельзя получить конкретную информацию, можно только получить кусочек памяти сервера. Тем более сложно вести такую атаку непрерывно в течение нескольких лет (в базе есть и очень старые, и довольно новые пароли) и не спалиться.
      • 0
        По дыре в OpenSSL могли вытащить те немногие валидные пароли; насколько я понял в принципе такое возможно. Но скорее всего, вы правы; действительно, с момента моего комментария подобных пересечений всплыло очень много.
        • 0
          Да, возможно частично данные получены и через HeartBleed в том числе.
      • 0
        Очень похоже, около моей почты в базе числится пароль «для левых сайтов».
  • –2
    Учитывая, что из 5 давних аккаунтов, которые активно (и не очень) используются на gmail, в данной базе не присутствует ни одного и точно такую же картину с предыдущими «сливами» yandex & mail.ru, а так же преимущественную локализацию данных «сенсаций» в секторе рунета можно смело расценивать и классифицировать эту «мышиную возню» как очередную не очень удачную попытку глупого вброса. Вопрос с какой целью? Возможно подготовка к «Чебурашке»?
    • +4
      Вы на основании выборки в 1 случай делаете такие экстраординарные выводы.
    • +1
      Если почитать комментарии выше, то даже у пользователей хабра есть совпадения. Если же брать шире, думаю их будет очень много. До каждого просто не достучаться. Сколько домохозяек читает хабр?
      • –1
        Регистрация на хабре автоматом дает +30 к технической подкованности? :)

        Какой % пользователей увешанных расширениями новогодних елок на chrome и firefox досконально проверяют все, что они ставят на свои браузеры?

        Недавно столкнулся с тем, что в расширение для хрома, которое стояло года полтора и давало возможность делать opera-style навигацию мышью, через некоторое время после его установки вставили баннерокрутилку. На работе и дома стоят разные антивирусы, ни один из них не почесался. А если бы оно не баннеры показывало, а отсылало логины/пароли от всего, что я ввожу?

        Вон, ace stream расширение все время что-то там пингует со страшными длинными параметрами. Поди разбери что он там кому передает.
        • +1
          Не дает. Но просто регистрация, а не инвайт, насколько я помню, не дает возможность комментировать? А это несколько ограничивает аудиторию. Ну и все-таки это тематический ресурс, не думаю, что тут будут завсегдатаями те, кому не интересны материалы формата хабра.
          • 0
            Меня никто не инвайтил. :) Ресурс, видимо, уже некоторое время работает над расширением пользовательской базы ценой ее некоторого размытия.

            Просто одно дело интересоваться, и другое дело — разбираться. Это как с автомобилем: пик аварий приходится на период, когда ты уже думаешь, что научился водить, но на самом деле еще нет.

            И есть фактор действующий с другой стороны: человек растет, меняются интересы, уменьшается время, которое человек готов тратить на то, чтобы проверять/улучшать средства защиты на своих комьютерах. Но по привычке думает, что он защищен. Ведь он когда-то «гонял метлой вирусы из командной строки». :)
    • +1
      Уж не знаю вброс или не вброс, но у меня так же — из всех «утечек» ни у одного знакомого ниодного ящика в списке не нашлось. Даже обидно как-то. :)
      • 0
        Вот и я о том же. Учитывая, что и у самого их немало.
      • 0
        Ни у меня, ни у всей семьи и друзей ни в одной из трёх баз ничего не нашлось.
        В гмыле двухфакторка стоит.
      • 0
        Мои ящики не нашлись, но в базе мэйла нашлась почта одной знакомой, со старым паролем.
    • 0
      5 ящиков (2-гмейл, 2-яндекс, 1-мейл.ру). Ни один не попал, хотя почти на всех есть регистрации на куче сторонних ресурсов.
      Мой амиго использует ящики (12 штук) на яндексе для рассылки юзерам своего сайта — больше половины есть в списке (насчет валидности их паролей не знаю). Очевидно, что пароли от них нигде не светились.
      • 0
        UPD: пароли невалидные были. Возможно, ящики были собраны из «Входящих» на одном из скомпрометированных мыл для количества…
        Зарубежные новостные ресурсы об этом молчат. Нашел только на трех, двое из которых не особо зарубежные… Что опять же наталкивает на мысль о грядущих изменениях в законодательстве.
  • 0
    Наверняка они скоро пополнятся и базой gmail адресов:

    Еще раз прокомментируйте, чью базу пополняют эти сайты?
  • 0
    Захожу на Хабр прочитать что еще взломано. Чувствую, эта неделя войдет в историю:) Интересно, что будет завтра? Контактик?
    • +6
      Спросите сами у Platinum на рубоарде. Именно он первоисточник всех 3 раздач.
      Кстати он сообщил еще в вчера 16.40 что все ящики имеют активацию в paypal.
      • 0
        Спасибо большое! Сильно сократили время поиска этого дела в инете. Будем мониторить руборд.
      • 0
        Базу Яндекса слил кто-то другой. Platinum лишь ее на руборд перевыложил.
        • 0
          Прошу линк. База в сеть ушла 2014-09-05 11:24:07, когда шумиха только через полтора дня начиналась.
    • +1
      а что то было взломано? кстати уверен есть такая же база по twitter, т.к. у меня и некоторых знакомых в аккаунт ломятся боты с валидным паролем, но двуфакторная стоит на страже.
      • +2
        Завидное спокойствие. Видишь, что кто-то (не ты) пытается войти в систему с валидным паролем — и ни один мускул не дрогнул «Надо бы поменять?», ни одна мысль не пришла «а откуда этот валидный пароль у них взялся?»
        • 0
          двухфакторная, а откуда не знаю, символы и разный регистр не помогли, с компа врядли, иначе бы утек не только пароль от твиттера.
  • 0
    Очень странная утечка, если верить сайту isleaked.com/ то в базе выложенных ящиков/паролей находится мой старый пароль, который я сменил где-то в начале года.
    • 0
      Аналогичная ситуация, да еще регистр не тот.
  • +3
    Складывается ощущение, что это компания по дискредитации почтовых сервисов. Особенно для тех, кто смотрит телевизор.
    • +11
      А по телевизору об этом говорят?
      • +11
        Да.
  • +3
    Проверил три десятка адресов, своих и знакомых. Ни одного не нашел. Так что это точно не взлом серверов, а просто тупо вирусы собирали.
    • 0
      А может и нет. Нашел в этой базе свою учетку. Пароль мой, но старый, не актуальный уже несколько месяцев. Пользуюсь исключительно линуксами. И дома и на работе. Подозрительно, но этот же пароль у меня в то же время стоял на госуслугах.
      • НЛО прилетело и опубликовало эту надпись здесь
        • +3
          Конечно. Но у меня ни один так ни разу и не скомпилировался =(
  • 0
    Очень странно.
    Пишет, что мой пароль начинается с символов, которых нет в моем пароле.
  • +3
    Базу выложите на нормальный хостинг.
  • 0
    Ни одного мыла ни меня, ни моей жены, ни других родственников не нашел. Если верить всем тем, кто нашел пароли, которые там не могут быть («зарегил давно, никогда не использовал больше») самой вероятной идеей вижу, что базы пополнялись в том числе через увод нешифрованных баз сохранения паролей броузеров. Так что юзайте мастер-пароль.
    • +1
      +1
      А массовые сливы (точнее говоря выкладывание давно протухшей базы купленной на первом хек-форуме или слитой с торрентов) наводит на мысли об очередных изменениях в законодательстве IT в РФ
  • +1
    Интересно, мое gmail мыло в базе есть, но пароль там (два символа из проверятора) явно не тот, который на ящике. Возможно это пара емыл-как-логин и пароль с другого сервиса.
  • 0
    Да, нашел свой аккаунт, но с очень старым паролем.
    • +2
      Тоже нашел свой аккаунт гугла с паролем, который менял еще лет 5 назад. В базах мэйла и яндекса меня нет
  • –1
    +1 нашел два старинных аккаунта для спама (не знал их пароли уже даже), но пароли там специальн обыли простые
  • –5
    Кстати, попробуйте загуглить свой пароль на hash-killer.com/dict/
    google -> site:http://hash-killer.com/dict/ ВАШ_ПАРОЛЬ
    Там их очень много, в том числе не словарных.
    • +14
      чтобы их там стало еще больше? :)
      • +8
        Давно пора собрать их все в одном месте!
  • +2
    нашёл себя — пароль времён создания ящика. Я был мал и неопытен :D
  • 0
    Пишут, мой пароль начинается с символов, которых никогда не было ни в одном когда-либо использованном на gmail пароле. Думаю, что часть паролей, если они действительно рабочие, в этой базе получены через инфицированные компы пользователей, остальные — простой random.
  • +4
    Похоже, думцы готовят новую инициативу по принудительному переходу всех на национальный почтовый сервис и запрету всего неблагонадежного и плохо-контролируемого.
    • 0
      Я думаю этот свой православный почтовый сервис, если дойдет до принудительного пересаживания на него, покажет результаты сильно хуже тех, что мы тут обсуждаем.
      • 0
        Более чем уверен что обсуждается не то что нужно. Явно пошарены сайты где регистрировались юзера, которые как правило куда дырявей. (Уверен что скопетанил но судя по комментам складывается впечатление что людей зацепили заголовки).
        • 0
          Сайтов с пользовательской базой такого размера в рунете не так уж и много. Можно прикинуть, какой из них слит. А учитывая, что у меня один адрес зареган «во всем что грузится» и в базе слива не присутствует, мне вообще ничего в голову не приходит.
          • +1
            Кто же говорит что это должен быть 1 сайт. Кропотливые люди собирают базы по сотням а то и более.
            • 0
              Хм, да. Дырка в джумле, вордпрессе или еще каком-то страшном слове может дать такой объем базы, согласен.
              • 0
                Я вам скажу более. Помнится был случай года 4 назад что получали доступ к форуму разработчика игрушки (всякие форумные движки вроде vBulletin). А там было где разгуляться.
  • 0
    С гмейлом все гораздо проще (для пользователя) и сложнее (для угонщика). Двухэтапная аунтификация рулит. Ну угнали пароль, ну и куй с ним. Даже менять не обязательно
  • +2
    А может быть кого-то крупного действительно скомпрометировали, и чтобы прикрыться, он выкладывает базы на всех остальных. Хоть какая-то логика появляется, а то непонятно кому это нужно.
  • 0
    Нашелся мой гмейл. Но со старым паролем 3-летней давности. Я всегда безопасно относился к своему паролю. Единственное место где он мог бы храниться — сервис lastpass. Так же еще мог быть запомнен в браузере Mozilla Firefox.
  • +2
    Акк сестры есть в файле. старый пароль уже не действует. уже привязан новый телефонный номер.

    Буду благодарен за совет что делать дальше
    • +24
      Уроки.
    • 0
      Ну от «минусаторов» я ничего толкового итак не ждал. А хорошые люди могли бы и помочь советом. Ведь в мире есть и обычные пользователи, которых тяжело убедить в том что пароль должен быть более сложный чем «qwerty123» (как пример)

      • 0
        Простите, я грешным делом подумал (как, возможно, и другие), что вы юный кулхацкер и хотите залезть на ящик сестры, а она типа уже поменяла пароль, потому и минуснул коммент. Выражайте свои мысли точнее во избежание подобных казусов.

        А по теме — вероятность вернуть акк стремится к нулю, особенно учитывая реалии техподдержки Гугла, рекомендуется отвязать все сервисы и банкинги привязанные к этой почте. Объяснить сестре необходимость сложного пароля и двухфакторной аутентификации, использования лицензионного софта (венды, антивируса и прочее, а лучше линукс), объяснить что не нужно ходить по говносайтам и по всяким сомнительным ссылкам, тем более от сомнительных личностей, что друзей иногда взламывают и они могут вести себя подозрительно, не качать и не запускать/не устанавливать различные улучшаторы и свистоперделки, не качать/не открывать содержимое сомнительных писем, научить пользоваться сервисом virustotal.com, ну и прочие правила гигиены…
        • –1
          > Объяснить…

          она **обычный** пользователь. а такой пользователь будет кивать головой но все равно делать тоже самое. и пока его не шарахнет так что будет **очень больно** или он влетит на $, никакие слова/обьяснения не помогут.
        • +1
          Простите, я грешным делом подумал (как, возможно, и другие), что вы юный кулхацкер и хотите залезть на ящик сестры, а она типа уже поменяла пароль, потому и минуснул коммент


          Ктото минуснул ктото плюсанул. какая разница. все равно кармические правила на хабре меняются быстрее чем мой акк успевает перейти с одной касты в другую
    • 0
      Посмотреть, что хранилось в ящике, в зависимости от этого, возможно, сменить пароли на сервисы, которые были подвязаны на этот емейл.
      • 0
        насколько я знаю сервисов не было подвязано вовсе (ну или почти). В ящике не было чего то ценного. Единственное — адрес очень красивый. но насколько я понял — шансов уже нет.

        в любом случае спасибо
    • 0
      Вроде ж gmail не позволяет создавать почту без запасной? Я б с того ящика написал в поддержку со ссылкой на какую-нить тему со сливом, ну и в подробностях об'яснил, и добавил бы пару адресов которым я писал/мне писали, и на профили fb/vk, если они привязаны.
  • –2
    Проверил свой ящик на GMAIL, оказался в базе! Но пароль который есть в базе стоял там примерно 4-5 лет назад:)))
    А по факту давно уже использую 2 факторную авторизацию и не знаю проблем.
  • +21
    Не нашел свой ящик в списке… Я никому не нужен... Q~Q
    • +5
      Так добавьте его туда сами…
      • +3
        Как-то неудобно занятым людям навязываться…
  • 0
    Интересно, ни одной моей почты, которые есть во всех этих сервисах, причём очень давно, не нашлось ни в одной базе. Адреса достаточно открытые, пользовался ими на многих сайтах для регистрации. Видимо, это действительно учётки, которые добыты фишингом и вредоносами.
  • –10
    Скажите, кто-то обратил внимание на то, почтовые ящики граждан какой страны находятся в базах? Если не ошибаюсь, это «русский мир», а не иностранцы. На какие соображения наводит это наблюдение?
    • +13
      На соображения о невнимательности и лени. Вот первые 20 адресов из гуглосписка:
      mp41510@gmail.com
      bukceline@gmail.com
      zarlengod@gmail.com
      sandeep.slg678@gmail.com
      noramfuller@gmail.com
      bangtoyib2@gmail.com
      andersonasantos@gmail.com
      aubreybyfield@gmail.com
      alesganz@gmail.com
      ian.mcgrenaghan@gmail.com
      sanquel21@gmail.com
      atkins618@gmail.com
      28youngpills@gmail.com
      armanddarkmoon08@gmail.com
      wood0987@gmail.com
      bloodsik@gmail.com
      naidu.sainath@gmail.com
      zara.athrun@gmail.com
      got2scrap@gmail.com
      tigervod@gmail.com

      Зара Атрун и Найду Сайнатх — типичные рязанские имена. А вот Нора Фюллер из Вологды, наверное.
      • –1
        А bangtoyib2@gmail.com — личный имейл Медведева.
        • 0
          а «ib2» что значит?
          • +2
            «Иб-ту»? Может быть, что-то вроде «ёпта» на жаргоне. Поди их, хипстеров, разбери…
        • 0
          Хм… -1… Дмитрий Анатольевич, это не ваш имейл? Ну так я извиняюсь…
          • –1
            Неужели, это имеил Самого?!.. Вот это я облажался, так облажался…
            • 0
              Ну все, сдаюсь — это их общий адрес xD
  • +2
    Еще пару «громких» взломов и наши депутаты радостно предложат обывателю новые законы по защите данных, а так же начнут с полным правом снова стучаться в я.ру и мэйл.ру с проверками и требованиями.
  • 0
    Мой ящик есть в базе, но с неправильным паролем. (Такой пароль я никогда не использовал). Однако, он напоминает первую половину моего пароля, но с некоторыми ошибками. Такое чувство, как будто пытались списать пока я набирал, стоя за спиной ))))
    • 0
      А вдруг хеши совпали и этот неправильный тоже подходит?
      • 0
        Скорее всего, я мог использовать этот пароль на каком-нибудь форуме. )
  • 0
    В базе gmail мой ящик есть. Пароль неправильный.
  • 0
    а кто проверял базу gmail?

    Я вот попробовал около 10-12 ящиков — все не подходят. Может мне так повезло, конечно) Просто лень с капчей бороться.

    Судя по всему, проверяю ту самую базу, потому как там есть ящики яндекса, как писали выше.

    4929090 записей.

    Если прошлые базы были хоть чуть валидны, то эта вообще похожа на старую и полностью отработанную.

    Кто-то нашёл рабочие адреса в ней? Мне кажется шумиха на пустом месте.

    • +1
      Я проверял. Там идет блоками — куча невалидных, потом много валидных… Но те, что валидны, все что нашел, все с двухэтапной авторизацией. (Что не может не радовать)
      • 0
        ясно… ну это лишний раз подтверждает теорию о том что база составлена из нескольких кусков.

        Что является косвенной уликой невиновности самого сервиса.
    • +1
      На какой-то адрес зашел, посмотреть. Пароль подошел, но гугл написал что я захожу из необычного места и предложил ответить на секретный вопрос или ввести город, из которого чаще всего проверяю почту.
    • 0
      Авторизация на Гугле возможна и с помощью другого почтового сервиса
  • +3
    Нашёл пару своих email-ов, но не помню, чтобы я такие пароли использовал для почты. А вот на каких-то форумах я с такими паролями регистрировался.
    • +2
      Если вспомните на каких — было бы супер.
      • 0
        К сожалению, на многих. Это были пароли для тех ресурсов, где безопасность меня не волновала.
        Сейчас я везде использую рандомные пароли, но ни один из них в список не попал.
    • 0
      тоже нашел там свой пароль, который не использовал для почты, но использовал много где как самый простой.
      Одно время, пока я не очень цели свои акки там, я использовал его на куче крупных ресурсов, так что тоже поди пойми.
  • +5
    Что я делаю не так? Почему ни в одном списке меня нету?
    • +3
      Наверное просто не регаетесь на сайтах непонятного происхождения с паролем от почты. Тоже не нашел своих в списках.
    • 0
      Forever alone :-)
    • +4
      Не участвуете в розыгрышах смартфонов за лайки?
  • 0
    Нашел только в Я базе двух своих знакомых, пароли были валидные. В списках мейл.ру и гмыла – нет. Подозреваю, что пароли с Я были валидные, а остальные подтянулись для «раздутия» новости, выложив старый «урожай».
  • +3
    Нашел свою учетку трехлетней давности, от которой я забыл пароль и ящик «вернулся домой»!
    • 0
      Блин, я свой не нашёл… обидно. Создал ящик и через 2 дня напрочь забыл пароль и секретный вопрос… хотел жеж, «чтобы никто не догадался». Теперь пользуюсь безпонтовым ящиком с циферками…
    • 0
      Ну хоть кому-то повезло :)
  • 0
    моя почта там есть, но пароль старый у них. Такой старый, года 3-4 ему, или еще больше
  • +3
    Нашёл своё мыло на гмейле. Пароль — не от мыла, и никогда не был. Это мой универсальный пароль от какого-то веб-сервиса, где я был залогинен. Например, от того же Хабра ;)
    Так что точнее было бы сказать — слили базу пользователей крупного веб-сервиса (или сервисов).
    Если пользователи настолько наивны, что ставят одинаковый пароль на почту и на сервисы — то тогда это и пароли от почт.
    • 0
      Подтверждаю. У меня пароль этот был на гмейли в самом начале, но потом я сменил его на специальный, а старый использую на многих ресурсах.
  • 0
    Как-то слабо верится:
    Да! Почта admin@gmail.com обнаружена в базе! Первые два символа пароля: ga. Немедленно смените его!
    • +2
      Похоже этот адрес зарегистрировал обычный юзер. Не верится, что админ из гугла стал бы ставить такие пароли:

      admin@gmail.com:gautam
      admin@gmail.com:12345
      admin@gmail.com:catelynn
      admin@gmail.com:lola12345
      admin@gmail.com:123123
      admin@gmail.com:melvin
      • +3
        Скорее это фейковый адрес с регистраций каких-нибудь сайтов/сервисов, откуда их, собственно, и сливали.
  • +4
    Нашли сочетание мыла + пароль, где пароль был использован всего на одном сайте и не являлся паролем от мыла, а был паролем на том сайте.
    • +6
      напишите что за сайт
      • 0
        могу предположить с каким контентом был этот сайт, учитывая, что большое количество адресов имеют после плюса приставку xtube и т.п.
        • +1
          Держите Top20 частей мэила после плюса!

          konstantinv@ubuntu:~/Downloads$ cat google.txt |grep -io +.* |sort | uniq -c | sort -nr
          
              173 +xtube@gmail.com
              130 +daz@gmail.com
              121 +1@gmail.com
               86 +filedropper@gmail.com
               64 +eharmony@gmail.com
               63 +friendster@gmail.com
               62 +daz3d@gmail.com
               61 +savage@gmail.com
               57 +spam@gmail.com
               57 +2@gmail.com
               54 +bioware@gmail.com
               51 +savage2@gmail.com
               50 +bryce@gmail.com
               39 +hon@gmail.com
               30 +freebiejeebies@gmail.com
               27 +eh@gmail.com
               27 +3@gmail.com
               23 +4@gmail.com
               18 +filesavr@gmail.com
               18 +bravenet@gmail.com
          
          • 0
            Или, если забить на цифры:
            konstantinv@ubuntu:~/Downloads$ cat google.txt |grep -io +[a-zA-Z]* |sort | uniq -c | sort -nr
               1098 +
                204 +daz
                195 +xtube
                116 +savage
                 90 +filedropper
                 66 +friendster
                 65 +eharmony
                 58 +spam
                 55 +bryce
                 55 +bioware
                 41 +hon
                 40 +paygr
                 35 +freebiejeebies
                 29 +eh
                 28 +s
                 22 +test
                 21 +filesavr
                 20 +policeauctions
                 19 +bravenet
                 18 +precyl
                 17 +freebie
                 17 +fj
                 16 +xt
                 15 +x
                 14 +usercash
                 12 +texasmonthly
                 12 +junk
                 12 +comicbookdb
                 11 +itickets
                 10 +kffl
                 10 +fd

    • +1
      Какой сайт?
    • +1
      Сливай мерзавцев!
    • 0
      Было бы тоже крайне интересно
  • 0
    нашел свой имейл, пароль вроде мой, регистр правда не совпадает. Но это было давно, мне тогда еще смс пришла от гугла что кто-то пытался сменить пароль, после этого перешел на усиленную авторизацию.
  • +1
    Нашел свой е-мейл в дампе. Пароль, которой рядом с ним указан автоматически сгенерировал мне сервис paygr.com, в далеком мае 2011 года. Предполагаю, что часть учетных записей этого дампа таки и появилась, т.е. это просто пары е-емейл/пароль с некого множества взломанных сайтов, дырявых интернет-магазинов и пр.

    Используйте уникальные и сложные пароли для важных вам учетных записей. Не вводите пароли от почты и тех ваших аккаунтов, которые так или иначе связаны с деньгами или критичной персональной информацией ни на какие другие сайты кроме тех, для которых они предназначены. Рассмотрите возможность использования двухэтапной авторизации, которая есть почти у всех крупных сервисов, таких как Гмейл, Фейсбук, Гитхаб, ЭплАйди.
    • 0
      Сайт не открывается. Там, случаем, не WHMCS был для оплаты?
      • 0
        Я им не пользовался толком, поэтому не знаю про оплату там. Ну и емейл с паролем скомпрометированы были явно не в процессе оплаты.
  • 0
    Нашел себя через isleaked.com/, первые два символа не совпадают с тем, что в действительности. Реально больше похоже на спам-базу.
  • 0
    воу, нашел свой ящик, но с неправильным паролем :D
  • 0
    Нашёл свой ящик, но со старым паролем. (кажется, года 2008).
  • 0
    Думаю неспроста началось все с русских почтовиков ) Думаю нас (хотя скорее вас) скоро будут жэстачайше защищать на государственном уровне
  • +4
    1) выкладываем базу просроченых/неактуальных логинов паролей.
    2) поднимаем ажиотаж в сети
    3) выкатываем сайты «а нет ли вас в базе»
    4) получаем базу актуальных емайлов
    5) Profit!!!(spam)
    • 0
      У мейлру базу актуальных мыл все кто хотел — давно собрал через поиск в мейл агенте.
  • +11
    Жалкая попытка Apple отвлечь внимание от утечки фотографий…
  • +1
    Перефразируя старую шутку про «Этот пароль уже используется пользователем vasyap. Введите другой пароль.», в форме регистрации на сайте пора бы делать проверку на использование пароля на других сайтах.
    • +3
      «Вы использовали этот же пароль для указанного адреса электронной почты. Выберите другой пароль.»
  • –3
    Я нашел два своих ящика на mail.ru с правильным паролем.

    За восстановление ящика mail.ru хочет мой телефон, козлы.
    Это что, кампания по сбору номеров?
    • –2
      Более того, мейл с радостью отдаст ваш мобильный любому желающему, правда не весь номер а без крайних цифр но все же.
      Достаточно попытаться восстановить пароль указав почту. Последние цифры номера отдает фейсбук.
      Я для себя это решил просто. Достал старый мобильник, в каком то торговом центре всучили симкарту одного из операторов бесплатно, выбрал тариф без абонплаты. И вот использую номер для нужд получить смс или дать объявление на досках. Телефон постоянно выключен, включаю по надобности, никаких неудобств от спама)
      • –3
        к сожалению в моем случае просто юзанный мобильник к использованию не приемлем. не спрашивайте почему :)
      • 0
        Его же отключат за неактивность, а потом вы замаетесь восстанавливать какой-нибудь привязанный к нему акк. Регистрация в сети и входящие СМС активностью, обычно, не считаются, только изменения баланса.
        • –1
          При положительном балансе и периодически входящих смс его никто никогда не отключит. Ну можно раз в год 10 руб забросить, для перестраховки. А если давать объявления на этот номер то активности будет куча.
          • +2
            Количество номеров не безгранично, операторы освобождают мертвые номера для других абонентов… Важна не активность тех кто долбится на этот номер, а периодическая активность самого номера, приводящая к списанию средств с его счета, чтобы считать его живым и обслуживать дальше…
            • +1
              Меня регулярно подмывает на следующий после дня рожденья день позвонить на свои старые, уже отданные другим людям номера и спросить: «Здравствуйте. Мне никто не звонил?»
              • +4
                Вас только подмывает, а мне добрый человек, купивший как-то номер который от меня ушел сам звонил и передавал кто позвонил на тот номер. Ему как-то позвонил обладатель действительного и того номера(ну перепутал человек, не стер недействительный номер) и тот поинтересовался нет ли другого моего номера, потом мужик сам мне перезванивал и говорил, что мне позвонили с такого-то номера и перекидывал поздравительные смски еще пару лет. Потом все кому надо узнали действующий номер и звонки от мужика прекратились. До сих пор благодарен этому человеку.
                • +4
                  Да он святой!
                  • +1
                    Не исключаю. От моих попыток предложить в благодарность бутылку коньяка или еще чего-нибудь человек отказывался.
            • –2
              Да это все понятно, но номер уже более года работает да и будет работать, значит активности хватает.
              Вообще не пойму в чем такая обеспокоенность, отключат и тд..
              Не знаю кого там самостоятельно переводят на платные тарифы, кого отключают за не активность, в Москве таких проблем нет.
              Я прямым номером мегафона пользовался на входящие звонки более года с отрицательным балансом, абонплата не списывалась так как на счету -1руб. а входящие проходят так как по закону должны. Пополнил раза три -четыре за год но 50 руб. И вот вам воспользовался тарифным планом более чем на 10000руб. всего оплатив 200руб.
              А вы тут отключат, не активность!
              • 0
                Если телефоном не пользуются полгода (использование — это совершение платной операции), номер изымается у абонента. Просто почитайте свой договор с оператором.
                • 0
                  У меня 4 года уже не используется старый номер красного оператора: не звоню, не отправляю смс, ничего не делаю, денег 5 ₷ на счёте. Только включён телефон с симкой (но были и месяцы неактивности), и приходили поздравительные смс с днём рождения полтора года назад, ну и спам. До сих пор работает.
                  • 0
                    У меня билайн и мегафон быстро уходили.
              • +2
                А у меня отключили. Но благо я, крайне недоверяю этой «двухфакторной авторизации привязанной к мобильному».
                И ещё, у нас каждый год в стране гибнет по 30 тыс. людей в дтп. Не знаю, кто там гибнет, но в Москве таких проблем нет. Я вот уже несколько лет подряд не попадал в дтп.
              • 0
                Если еще не отключили, не значит, что не отключат завтра. Опасно надеяться на такой номер. Хотя, это, конечно, зависит от важности аккаунтов, которые на него зарегистрированы.
            • 0
              странно только то, что Мегафон, например, сначала продавал карты продления, потом взял деньги за «продление договора на 100 лет», а теперь оказывается, что номер действителен три месяца, и я даже не могу узнать наверняка, когда этот срок заканчивается.
              Со старыми сроками действия, выходит, было лучше и понятнее.
          • 0
            Вроде должна быть какая-то трата со счёта, а не активность номера.
          • 0
            Отключают, если нет расходования средств в течении 3-9 месяцев (в зависимости от региона и наглости оператора).
      • +1
        Хочу вас предостеречь! С некоторой периодичностью необходимо производить действия, приводящие к списанию средств (отправка смс, звонки и тп), например, у меня на Мегафоне на тарифе без абонентской платы, если не происходит списание средств (>0) в течение 3 месяцев, то происходит автоматическое переключение на базовый тариф с абонентской платой, где каждый день списываются средства, при опустошении счета номер блокируется и еще через какое-то время ваш номер уходит другому человеку и он начинает получать все ваши уведомления и пароли…
      • НЛО прилетело и опубликовало эту надпись здесь
        • 0
          А что мешает делать один звонок раз в 3 месяца?
          Что за проблема высосанная из пальца!
          • +2
            Об этом надо строго помнить!
            • 0
              Зачем? Вставил в шлюз, в крон — скрипт, который раз в три месяца шлёт СМСку через этот шлюз. На худой конец, подключил к малинке (rasberry pi) телефон кабелем и скрипт раз в три месяца командует телефону позвонить, а через две секунды — положить трубку.
            • +2
              Пусть телефон сам помнит. SMS Scheduler
              iOS — play.google.com/store/apps/details?id=com.lylynx.smsscheduler
              Android — itunes.apple.com/ru/app/sms-scheduler/id646308617
  • 0
    Нашел свой ящик, пароль не от него (и на самом ящике такой пароль никогда не стоял).
    Впрочем, пароль у меня такой действительно был на нескольких ресурсах. И зарегистрирован я там был на этот ящик.

    • 0
      Что за ресурсы?
      • 0
        В Gameforge этот пароль точно был на части форумов и игр (аккаунты были заведены именно на тот ящик, что в базе).

        Больше всего подозрений на движок BurningBoard (ну это помимо прослушивания трафика) — в нём был прекрасный Inject, которым доставалось поле пароля из базы. Вот только я не помню, хешировались ли пароли у них (не удивлюсь, если нет). Там все форумы на нём.

        Ещё Audionews.ru, ubuntologia.ru/forum/, пачка irc-серверов наверняка. Ну и может ещё какие форумы.
  • +2
    Сливы продолжаются… Час назад на руборде выложили
    Почтовые ящики Mail, Yandex, Gmail, Hotmail, Yahoo, Rambler с паролями. 4938664 записей. Актуализация неизвестна.

    И нет, это уже не Platinum
    • 0
      Простите, а можно ссылочку в ЛС?
      • –2
        dc.ru-board.com/ (Само собой требуется регистрация)
    • +2
      Один мой знакомый обрезал пароли, отсортировал и выкинул дубликаты. rghost.net/57943315.
  • +1
    Вообще никого из контактов в базе не нашёл.
    Только несколько человек у которых точно были/есть вирусы, никаких откровений.

    Начинаю сомневаться в историях незнакомых мне людей об паролях ушедших в сеть с компов без вирусов/венды, ящиков на раз и тп и прочей мистики.
  • +1
    Все эти показательные, в массе, фейковые сливы, с подмешиванием мелкого количества реальных акков, кажутся мне подготовкой почвы для чего то другого, например принятия какого нибудь очередного закона проекта от «бешеного принтера», из серии: «Пароли должны храниться у участкового, а при изменении пароля нужно уведомлять УФМС», либо обяжут компании хранить пароли на серверах ФСБ, типа под защитой государства они будут надежнее, т.к. типа компании не справляются и пароли утекают…
  • 0
    Увы, один старый адрес gmail пробился по базе, но пароль давнишний.
    С двухфакторкой и генератором паролей спокойнее.
  • +1
    Я тоже нашёл не актуальный пароль к своему gmail-ящику (сменён более года назад). Старая база?
    Это говорит о том, что мои текущие пароли могут быть у кого-то в уже украденных, но ещё неопубликованных базах. Пожалуй, сменю в очередной раз, несмотря на двухэтапку.
  • 0
    Еще одна выгода от домена на гугле — для всех сервисов ты вроде как жмейл, а адрес не gmail
  • –2
    Да давно бы уже yandex, mail, gmail придумали бы фичу которая сама назначает сложные пароли и не было бы проблем с утечкой инфы.