База livejournal 2012 года (May/2012) ушла в паблик (33.7M записей)

[sporaw]

[TL;TR] Поведение LJ по отношению к пользователям крайне некорректное. Огромное число людей остаются в полном неведении и не знают (и не могут узнать) о глубине проблемы (33М+ пользователей - это не шутки, пароли в plain-text с привязкой к e-mail и профилям).

Сама база числится как 2017 год, но реально она - май 2012 (включительно); есть

Comments

[lj_frank_bot]

Здравствуйте!
Система категоризации Живого Журнала посчитала, что вашу запись можно отнести к категории: Общество.
Если вы считаете, что система ошиблась - напишите об этом в ответе на этот комментарий. Ваша обратная связь поможет сделать систему точнее.
Фрэнк,
команда ЖЖ.

[sporaw]

Разберитесь с утечкой, дегенераты. (Иначе не назовешь - с учетом plain-text + не сброса).

[anonymous]

"Oct 11, 2018": https://twitter.com/troyhunt/status/1050391317266620416

[sporaw]

Да там со всех щелей текло в паблике о факте в последние годы (очень странно, что я это как-то пропустил - прямо удивлен):
Вон, оно даже сюда позже добавлено было
https://twitter.com/weleakinfo/status/1149904387374026752

Видимо, платформа настолько заброшенная, что вообще всем по*уй. Включая и собственников, и обслуживающих IT-шников (про безопасников я молчу -- их, похоже, в lj вообще нет; мало того, что все пароли plain-text, так еще и на протяжении 6 лет не знать, что тебя взломали + полностью игнорировать публично доступную информацию хотя бы на уровне последнего года-двух -- ну, это просто полная профнепригодность; а, и да - пароли не изменены до сих пор, это в копилочку).

При этом, судя по записи, что вы скинули, этим придуркам даже писали об этом.
Просто конченые кретины.

[anonymous]

Был ещё такой пост на DW: https://dw-news.dreamwidth.org/38612.html (Oct. 4th, 2018)

"With the evidence we have at the moment, augmented by independent work other researchers have done, we're reasonably confident the breach happened on another social network site at least several years ago. ... We won't name the site yet because they haven't made a public announcement confirming the breach"

Весьма вероятно, что они тут имели в виду LJ (с кем ещё могло быть пересечение по паролям?)

[sporaw]

Да, точно о них.
Меня удивляет не то, что они не опубликовали, и даже не то, что plain-text (черт с этим, это просто практика в ИТ в очень многих крупных проектах - уже нет смысла критиковать это), а вот то, что они не сбросили пароли, не заставили их сменить хотя бы активных пользователей, хотя бы "по частям", если не хотели делать пресс-релиз.

[anonymous]

Пароли LJ были в "Collection №1".
По крайней мере мой был, который я только в LJ использовал.

[anonymous]

А моего в https://haveibeenpwned.com/Passwords нет - там же все коллекции вроде бы засосаны?

[anonymous]

напишите ваш пароль, я проверю у себя

[anonymous]

нет, этого я делать не буду )

[anonymous]

Поискал в твиттере по livejournal password и нашёл интересное https://twitter.com/Incle_Babies/status/1256811374744760321

Дал (скрепя сердце) етому avast hack check жежешное мыло, и он таки показал мне в плейнтексте жежешный пароль с пометкой "Leaked 23 May 2019"

[sporaw]

https://www.avast.com/hackcheck/

Ого, придурки из avast распространяют краденную информацию?
Нормальные же люди не пароли показывают, а факт наличия. Либо поиск обратный осуществляют (это хуже, т.к. это тоже leak)

Посмотрел - сразу не показывают, но на почту что-то шлют. Сейчас посмотрю - пока не приходит.

[anonymous]

По клику из почты показывает (там надо ещё нажать на иконку у закрытого звездочками пароля).

[sporaw]

Мне пока на почту не пришло ничего. Но верю

[sviatoy_duhh]

есть