База livejournal 2012 года (May/2012) ушла в паблик (33.7M записей)
[TL;TR] Поведение LJ по отношению к пользователям крайне некорректное. Огромное число людей остаются в полном неведении и не знают (и не могут узнать) о глубине проблемы (33М+ пользователей - это не шутки, пароли в plain-text с привязкой к e-mail и профилям).
Сама база числится как 2017 год, но реально она - май 2012 (включительно); есть подозрения, что она 2014 года. Добавлю к этому (люди вот сообщают): зарегистрированные в Feb/2016 аккаунты в базе отсутствуют (т.е. это точно не 2017 год). Вот еще поковыряли вместе. Последние идентификаторы в базе:
50015220 lunort (журнал живой) - создан 30 мая 2012
..
50015262 ext_1235203 - создан 31 мая 2012
.. (т.е. в базе нет данных свежее 31 мая 2012 года)
50015268 lubanau (журнал дохлый) [это самая последняя запись в слитой базе]
Справочно из Google пример записи, которой уже нет в слитой базе по идентификатору:
50016914 hey-bl - тоже 31 мая 2012 года
(Добавлено 10.05.2020 21:50) Человек, которого я не мог найти в базе (писал ниже), переименовал свой lj в начале марта 2013 (у него есть точные факты, по которым это удалось установить). В утекшей базе же его lj назван по-старому (поэтому я вначале и не мог найти, т.к. искал не по id). Т.е. эта база не может быть не то, что 2017-ым годом, а даже и 2014. И оценка по последнему userid (выше) наиболее вероятная и корректна - 31 мая 2012 года утечка (т.е. это не "кража старого бэкапа", и не "маскировка свежего взлома" путем урезания данных в базе; эта база в промежутке 31.05.2012 - 02.03.2013; с вероятностью 95% - 31.05.2012).
(Добавлено 13.05.2020 18:10) Еще одно подтверждение про весну 2012 года. Пользователь сменил свой пароль на новый в июле-августе 2012 года. В базе - его старый пароль.
Никто не помнит, в каком году выдолбили Rambler и его почту?
LiveJournal "классически" хранил пароли в plain-text.
Интересно, сколько еще таких проектов с plain-text хранением существует до сих пор?
Должен отметить еще отдельно: LJ знал об этой утечке минимум несколько раз за весь этот большой срок (2014-2020) (т.е. информация об утечке попадала в паблик, но без данных, либо можно было проверить наличие себя в базе), при этом насколько я вижу - никаких принудительных сбросов/смен паролей со стороны LJ произведено не было за 6 лет (!). Вот этот момент куда интереснее самого исходного факта.
У меня дикий бугурт.
P.S. Достаточно скептически относился к практике периодической смены паролей. Но, похоже, с учетом кривизны чужих сервисов - это вполне серьезный способ избегания сюрпризов.
Добавлено 12.05 15:00 (когда ты - наглый подонок): «Информация, распространяемая в сети о якобы "массовой утечке" данных пользователей ЖЖ, не соответствует действительности - это одна из кликбейтных новостей, задача которой - привлечь интерес к третьей стороне в данном вопросе», - сообщил представитель холдинга Rambler Group, которому принадлежит LJ с 2016 года. © (такой степень наглости и вранья давненько не встречал, гуглить картинку "в нашей семье растет политик").
Добавлено 10.05 02:35 (самая актуальная информация): Администрация LJ до сих пор не сообщила об утечке паролей в plain-text. Это просто жесть. Т.е. большинство пользователей, которые как раз и будут простыми пострадавшими, у кого пароли на разных ресурсах одинаковые или очень похожие, не знают, что все данные за 15+ лет (!) (т.е. пароли, выставленные еще в начале 2000-х годов) утекли в текстовом виде, с привязкой к е-мейлам. Более того, из профилей можно вытащить и кучу другой информации. У многих людей пароли на разных ресурсах (включая почту) одинаковую. LJ просто позорники. На каждом шагу. Начиная от сохранения в плейне, продолжая игнорированием инфорамции о сливе на протяжении нескольких лет, и заканчивая позорным тихушничеством, которое они развели сейчас, когда все это вскрылость.
Добавлено 09.05 20:30 (старая информация): Среди своих знакомых нашел аккаунт, которого нет в этой базе. Аккаунт 2003 года. Интересно. Оказалось, что есть, просто username был изменен позже. Надо было по id искать.
Добавлено 09.05 16:48 (более старая информация): До $@* только что дошло. Только что прислали письмо (!) (при том, что пароль изменен давно уже). Сброс паролей они, похоже, делать жестко так и не планируют (!). Но с учетом того, как они подходят к ситуации (что рассылают вот так даже тем, у кого пароль менялся), я бы ожидал, что если они сброс сделают, то тоже всем, даже кому не нужно :)). Собственно, фактически в этом письме прямым текстом это же и написано. Через 5 дней все пароли будут сброшены. А пока что 5 дней (и 4 года до этого) - творите что хотите.
А еще дико бесит заголовок: "Повторное напоминание об устаревшем пароле". Что?! Повторное?! Что за наглое вранье?
Уважаемый пользователь %User%,
Мы заметили, что вы очень давно не меняли пароль своего аккаунта в Живом Журнале. В целях безопасности мы настоятельно рекомендуем изменять пароль регулярно.
Вы можете изменить пароль прямо сейчас на странице https://www.livejournal.com/changepassword.bml. Подробнее о процедуре смены пароля рассказано в разделе Справки по адресу https://www.livejournal.com/support/faq/18.html.
Поскольку требования Живого Журнала к паролю изменились с тех пор, как вы установили ваш текущий пароль, пароль станет недействительным, если он не будет изменен в течение пяти дней. В таком случае для входа в аккаунт вам необходимо будет установить новый пароль, выполнив шаги, описанные в разделе Справки по адресу https://www.livejournal.com/support/faq/17.html#forgotpassword.
С любовью,
Команда Живого Журнала
Сама база числится как 2017 год, но реально она - май 2012 (включительно); есть подозрения, что она 2014 года. Добавлю к этому (люди вот сообщают): зарегистрированные в Feb/2016 аккаунты в базе отсутствуют (т.е. это точно не 2017 год). Вот еще поковыряли вместе. Последние идентификаторы в базе:
50015220 lunort (журнал живой) - создан 30 мая 2012
..
50015262 ext_1235203 - создан 31 мая 2012
.. (т.е. в базе нет данных свежее 31 мая 2012 года)
50015268 lubanau (журнал дохлый) [это самая последняя запись в слитой базе]
Справочно из Google пример записи, которой уже нет в слитой базе по идентификатору:
50016914 hey-bl - тоже 31 мая 2012 года
(Добавлено 10.05.2020 21:50) Человек, которого я не мог найти в базе (писал ниже), переименовал свой lj в начале марта 2013 (у него есть точные факты, по которым это удалось установить). В утекшей базе же его lj назван по-старому (поэтому я вначале и не мог найти, т.к. искал не по id). Т.е. эта база не может быть не то, что 2017-ым годом, а даже и 2014. И оценка по последнему userid (выше) наиболее вероятная и корректна - 31 мая 2012 года утечка (т.е. это не "кража старого бэкапа", и не "маскировка свежего взлома" путем урезания данных в базе; эта база в промежутке 31.05.2012 - 02.03.2013; с вероятностью 95% - 31.05.2012).
(Добавлено 13.05.2020 18:10) Еще одно подтверждение про весну 2012 года. Пользователь сменил свой пароль на новый в июле-августе 2012 года. В базе - его старый пароль.
Никто не помнит, в каком году выдолбили Rambler и его почту?
LiveJournal "классически" хранил пароли в plain-text.
Интересно, сколько еще таких проектов с plain-text хранением существует до сих пор?
Должен отметить еще отдельно: LJ знал об этой утечке минимум несколько раз за весь этот большой срок (2014-2020) (т.е. информация об утечке попадала в паблик, но без данных, либо можно было проверить наличие себя в базе), при этом насколько я вижу - никаких принудительных сбросов/смен паролей со стороны LJ произведено не было за 6 лет (!). Вот этот момент куда интереснее самого исходного факта.
У меня дикий бугурт.
P.S. Достаточно скептически относился к практике периодической смены паролей. Но, похоже, с учетом кривизны чужих сервисов - это вполне серьезный способ избегания сюрпризов.
Добавлено 12.05 15:00 (когда ты - наглый подонок): «Информация, распространяемая в сети о якобы "массовой утечке" данных пользователей ЖЖ, не соответствует действительности - это одна из кликбейтных новостей, задача которой - привлечь интерес к третьей стороне в данном вопросе», - сообщил представитель холдинга Rambler Group, которому принадлежит LJ с 2016 года. © (такой степень наглости и вранья давненько не встречал, гуглить картинку "в нашей семье растет политик").
Добавлено 10.05 02:35 (самая актуальная информация): Администрация LJ до сих пор не сообщила об утечке паролей в plain-text. Это просто жесть. Т.е. большинство пользователей, которые как раз и будут простыми пострадавшими, у кого пароли на разных ресурсах одинаковые или очень похожие, не знают, что все данные за 15+ лет (!) (т.е. пароли, выставленные еще в начале 2000-х годов) утекли в текстовом виде, с привязкой к е-мейлам. Более того, из профилей можно вытащить и кучу другой информации. У многих людей пароли на разных ресурсах (включая почту) одинаковую. LJ просто позорники. На каждом шагу. Начиная от сохранения в плейне, продолжая игнорированием инфорамции о сливе на протяжении нескольких лет, и заканчивая позорным тихушничеством, которое они развели сейчас, когда все это вскрылость.
Добавлено 09.05 20:30 (старая информация): Среди своих знакомых нашел аккаунт, которого нет в этой базе. Аккаунт 2003 года. Интересно. Оказалось, что есть, просто username был изменен позже. Надо было по id искать.
Добавлено 09.05 16:48 (более старая информация): До $@* только что дошло. Только что прислали письмо (!) (при том, что пароль изменен давно уже). Сброс паролей они, похоже, делать жестко так и не планируют (!). Но с учетом того, как они подходят к ситуации (что рассылают вот так даже тем, у кого пароль менялся), я бы ожидал, что если они сброс сделают, то тоже всем, даже кому не нужно :)). Собственно, фактически в этом письме прямым текстом это же и написано. Через 5 дней все пароли будут сброшены. А пока что 5 дней (и 4 года до этого) - творите что хотите.
А еще дико бесит заголовок: "Повторное напоминание об устаревшем пароле". Что?! Повторное?! Что за наглое вранье?
Уважаемый пользователь %User%,
Мы заметили, что вы очень давно не меняли пароль своего аккаунта в Живом Журнале. В целях безопасности мы настоятельно рекомендуем изменять пароль регулярно.
Вы можете изменить пароль прямо сейчас на странице https://www.livejournal.com/changepassword.bml. Подробнее о процедуре смены пароля рассказано в разделе Справки по адресу https://www.livejournal.com/support/faq/18.html.
Поскольку требования Живого Журнала к паролю изменились с тех пор, как вы установили ваш текущий пароль, пароль станет недействительным, если он не будет изменен в течение пяти дней. В таком случае для входа в аккаунт вам необходимо будет установить новый пароль, выполнив шаги, описанные в разделе Справки по адресу https://www.livejournal.com/support/faq/17.html#forgotpassword.
С любовью,
Команда Живого Журнала