Livejournal не уследил за данными

Блогеры, выборочно опрошенные «Ведомостями», подтвердили, что их данные, опубликованные в интернете, в 2014 г. были вполне актуальными. «Я проверял базу, мой пароль совпал, все верно», — отметил Александр Попов (ведет блог russos.livejournal.com). 10 мая на своей странице в Facebook он написал, что получил от администрации ЖЖ письмо с рекомендацией изменить пароль на ресурсе в течение пяти дней: объясняется это изменениями требований блог-сервиса к паролям. Такие письма действительно рассылаются, подтвердил технический директор компании Qrator Labs Артем Гавриченков.

ЖЖ с 2016 г. принадлежит Rambler Group. По данным компании, сервисом ежемесячно пользуется 52 млн человек. Представитель холдинга так комментирует ситуацию: «Мы не признаем достоверность информации об утечке, так как заявленный массив состоит из неактуальных и сфальсифицированных данных. В 2011–2012 гг. мы сталкивались с инцидентами подбора паролей наших пользователей, но уже свыше шести лет мы используем систему защиты от подозрительных авторизаций и усовершенствовали механизм хранения паролей. Сейчас в группе риска могли оказаться именно те пользователи, которые не меняли пароли с того времени, — их пароли будут принудительно сброшены. Мы постоянно проводим мониторинг рисков по всем нашим продуктам и делаем всё для того, чтобы пользователи чувствовали себя максимально защищенными. Мы регулярно информируем наших пользователей о необходимости смены пароля и сделали это и в настоящий момент. Информация, распространяемая в сети о якобы «массовой утечке» данных пользователей ЖЖ, не соответствует действительности — это одна из кликбейтных новостей, задача которой привлечь интерес к третьей стороне в данном вопросе».

Специалисты DeviceLock проверили уникальность базы ЖЖ по базе из 5 млрд утекших паролей, утверждает Оганесян. Почти 69% пар почта — пароль оказались уникальными и никогда раньше не встречались в других утечках, более чем в 795 000 строк пароль был не указан, констатирует он: утечка показала, что пароли от аккаунтов ЖЖ хранились в открытом виде и это свидетельствует об уязвимости, заложенной еще при проектировании системы.

База действительно старая и большинство паролей уже не подходят к соответствующим аккаунтам, считает Гавриченков, но ЖЖ не сбросил пароли автоматически в 2014 г., когда стало известно о проблеме. Даже если аккаунты в ЖЖ уже не используются, эти пароли могут все еще быть актуальными для других сервисов и почтовых ящиков его пользователей, предупреждает он. Только сейчас ЖЖ начал рассылать письма с напоминаниями, что пользователи давно не меняли пароль, знает представитель Qrator Labs.

Адрес электронной почты и привычный пароль многие могли использовать в связке логин — пароль на других сервисах — это делает их учетные записи уязвимыми, объясняет другой специалист по информационной безопасности.

Даже если пароль уже устарел, злоумышленники могут попытаться шантажировать жертву, отправляя на e-mail письмо с информацией о пароле и требованием выкупа, опасается старший антивирусный эксперт «Лаборатории Касперского» Денис Легезо.

sporaw, 09.05.2020, «Vedomosti.ru тоже взламывали (не знаю когда)»: Не знаю доступна ли публично эта информация и как давно (не буду я это искать), но могу подтвердить, что взлом их был. И так же могу сказать, что пароли они хранят (или хранили на момент взлома) (придурки!) plain-text’ом. Пароли работают до сих пор (то ли они не знают о взломе, то ли им как и lj плевать). В спам-вымогательной рассылке нашел пароль и от них. (Он абсолютно уникальный, random). — Врезка К.ру

***

Оригинал этого материала

© sporaw, 09.05.2020

База livejournal 2012 года (May/2012) ушла в паблик (33.7M записей)

[TL;TR] Поведение LJ по отношению к пользователям крайне некорректное. Огромное число людей остаются в полном неведении и не знают (и не могут узнать) о глубине проблемы (33М+ пользователей — это не шутки, пароли в plain-text с привязкой к e-mail и профилям).

Сама база числится как 2017 год, но реально она — май 2012 (включительно); есть подозрения, что она 2014 года. Добавлю к этому (люди вот сообщают): зарегистрированные в Feb/2016 аккаунты в базе отсутствуют (т.е. это точно не 2017 год). Вот еще поковыряли вместе. Последние идентификаторы в базе:
50015220 lunort (журнал живой) — создан 30 мая 2012
..
50015262 ext_1235203 — создан 31 мая 2012
.. (т.е. в базе нет данных свежее 31 мая 2012 года)
50015268 lubanau (журнал дохлый) [это самая последняя запись в слитой базе]
Справочно из Google пример записи, которой уже нет в слитой базе по идентификатору:
50016914 hey-bl — тоже 31 мая 2012 года

(Добавлено 10.05.2020 21:50) Человек, которого я не мог найти в базе (писал ниже), переименовал свой lj в начале марта 2013 (у него есть точные факты, по которым это удалось установить). В утекшей базе же его lj назван по-старому (поэтому я вначале и не мог найти, т.к. искал не по id). Т.е. эта база не может быть не то, что 2017-ым годом, а даже и 2014. И оценка по последнему userid (выше) наиболее вероятная и корректна — 31 мая 2012 года утечка (т.е. это не «кража старого бэкапа», и не «маскировка свежего взлома» путем урезания данных в базе; эта база в промежутке 31.05.2012 — 02.03.2013; с вероятностью 95% — 31.05.2012).

Никто не помнит, в каком году выдолбили Rambler и его почту?

LiveJournal «классически» хранил пароли в plain-text.

Интересно, сколько еще таких проектов с plain-text хранением существует до сих пор?

Должен отметить еще отдельно: LJ знал об этой утечке минимум несколько раз за весь этот большой срок (2014-2020) (т.е. информация об утечке попадала в паблик, но без данных, либо можно было проверить наличие себя в базе), при этом насколько я вижу — никаких принудительных сбросов/смен паролей со стороны LJ произведено не было за 6 лет (!). Вот этот момент куда интереснее самого исходного факта.

У меня дикий бугурт.

P.S. Достаточно скептически относился к практике периодической смены паролей. Но, похоже, с учетом кривизны чужих сервисов — это вполне серьезный способ избегания сюрпризов.

Добавлено 10.05 02:35 (самая актуальная информация): Администрация LJ до сих пор не сообщила об утечке паролей в plain-text. Это просто жесть. Т.е. большинство пользователей, которые как раз и будут простыми пострадавшими, у кого пароли на разных ресурсах одинаковые или очень похожие, не знают, что все данные за 15+ лет (!) (т.е. пароли, выставленные еще в начале 2000-х годов) утекли в текстовом виде, с привязкой к е-мейлам. Более того, из профилей можно вытащить и кучу другой информации. У многих людей пароли на разных ресурсах (включая почту) одинаковые. LJ просто позорники. На каждом шагу. Начиная от сохранения в плейне, продолжая игнорированием инфорамции о сливе на протяжении нескольких лет, и заканчивая позорным тихушничеством, которое они развели сейчас, когда все это вскрылость.

Добавлено 09.05 20:30 (старая информация): Среди своих знакомых нашел аккаунт, которого нет в этой базе. Аккаунт 2003 года. Интересно. Оказалось, что есть, просто username был изменен позже. Надо было по id искать.

Добавлено 09.05 16:48 (более старая информация): До $@* только что дошло. Только что прислали письмо (!) (при том, что пароль изменен давно уже). Сброс паролей они, похоже, делать жестко так и не планируют (!). Но с учетом того, как они подходят к ситуации (что рассылают вот так даже тем, у кого пароль менялся), я бы ожидал, что если они сброс сделают, то тоже всем, даже кому не нужно :)). Собственно, фактически в этом письме прямым текстом это же и написано. Через 5 дней все пароли будут сброшены. А пока что 5 дней (и 4 года до этого) — творите что хотите.

А еще дико бесит заголовок: «Повторное напоминание об устаревшем пароле». Что?! Повторное?! Что за наглое вранье?

Уважаемый пользователь %User%,

Мы заметили, что вы очень давно не меняли пароль своего аккаунта в Живом Журнале. В целях безопасности мы настоятельно рекомендуем изменять пароль регулярно.

Вы можете изменить пароль прямо сейчас на странице https://www.livejournal.com/changepassword.bml. Подробнее о процедуре смены пароля рассказано в разделе Справки по адресу https://www.livejournal.com/support/faq/18.html.

Поскольку требования Живого Журнала к паролю изменились с тех пор, как вы установили ваш текущий пароль, пароль станет недействительным, если он не будет изменен в течение пяти дней. В таком случае для входа в аккаунт вам необходимо будет установить новый пароль, выполнив шаги, описанные в разделе Справки по адресу https://www.livejournal.com/support/faq/17.html#forgotpassword.

С любовью,

Команда Живого Журнала

@vatfor, 10.05.2020 01:15: Слухи о том, что некая база паролей уплыла от них и продаётся на рынке, ходили уже пару лет. И вот вчера, наконец, эта самая база оказалась в открытом доступе, немало удивив исследователей. Судя по охвату (33 миллиона аккаунтов; знакомые Ватфору аккаунты там есть решительно все, кроме, разве что, Дианы Михайловой) и содержанию — e-mail, логин в ЖЖ, пароль — это не какая-то там синтетическая база, собранная из разных источников, а самая что ни на есть база ЖЖ, по состоянию приблизительно на 2017 год.

Это означает, что либо сервис сам хранил все пароли в открытом виде, либо где-то внутри их серверного кода стояла закладка, старательно собиравшая и отправлявшая их налево. И то, и другое — совершенно за гранью добра и зла. Равно как и сегодняшняя реакция ЖЖ, который где-то в середине дня начал рассылать пользователям вежливые письма в духе «вы давно не меняли пароль, но мы беспокоимся о вашей безопасности и рекомендуем сменить». Обратили, короче, позорный недуг в подвиг.

Но мы не об этом. Действуя в своём профессиональном интересе, ваш автор построил из базы словарь паролей и отсортировал их по встречаемости. И оказалось, что помимо типичных qwe123 в TOP 100 базы входят пароли, которые явно принадлежат огромным ботофермам. Ближайшее рассмотрение подтвердило — все эти аккаунты были зарегистрированы либо на один мэйл, либо на мэйлы в одном домене. Из сотни топовых паролей таких, принадлежащих массовым регистрациям, — около 30. Самая крупная ферма (и по совместительству самый часто встречающийся пароль в ЖЖ — Million2) владела 143 тысячами аккаунтов. Из владельцев ферм сходу удалось обнаружить некую компанию black pr studio, присваивавшую своим ботам пароль Mega_Pizdetz666 (13 тысяч аккаунтов) и фрилансера Костика из города Гомель, который увековечил в пароле своё имя (4500 аккаунтов). Костик, кстати, творчески генерировал имена своим ботам, подделываясь под существующих пользователей. Так среди первых же зарегистрированных им логинов были drufoi, frugoi, odessist и т.п. — Врезка К.ру

***

Утечка разоблачила ботов в «ЖЖ»

Оригинал этого материала

© @dataleak, 12.05.2020 11:09

Решили немного посмотреть на статистику паролей в утекшей базе «LiveJournal».

Данные по уникальности пар логин/пароль мы приводили вчера. 👍

Всего анализировалось 32,930,036 паролей (в базе 33,726,800 строк, но скажем 795,402 записи не имеют паролей вообще, а остальные строки можно отнести к «битым»). 👇

В скобках указывается место записи в топ-100 из нашего анализа 5 млрд утекших паролей (читать тут).

20 самых популярных паролей из этой базы:

1 Million2
2 jacket025
3 123456789 (2)
4 Iloveyou (34)
5 ohmnamah23
6 Qwerty (3)
7 qqww1122
8 6655321
9 jakcgt333
10 abc123 (17)
11 Sample123
12 Mega_Pizdetz666
13 111nice
14 qwerf12
15 09121962q
16 Asdfghjkl (58)
17 target123
18 1234567890 (10)
19 121324810z
20 Qwertyuiop (14)

Что сразу бросается в глаза, это наличие в топе, на верхних позициях, довольно странных и относительно сложных (для того, чтобы быть наверху) паролей.

Большинство этих паролей мы относим к массовым автоматическим регистрациям (когда учетные записи создаются ботами). Например:

🌵 Million2 — практически все (только 155 на mail.ru) профили имеют адреса эл. почты в доменной зоне .cc (taksiki.co.cc, post.pitermail.co.cc, users.pitermail.co.cc и др.)

🌵 ohmnamah23 — много профилей имеют адреса на доменах с mp3, music и movie в названии.

🌵 jacket025 — все адреса на доменах szef.cn, siteposter.net, mx8168.net

🌵 jakcgt333 — все адреса на szef.cn (явная связь с предыдущим паролем)

🌵 Mega_Pizdetz666 — все адреса на odal.ru

Всего к ботам мы отнесли 2,058,329 профилей (6% от всей базы ЖЖ). 🌵