Post Friends My journal
sporaw

База livejournal 2012 года (May/2012) ушла в паблик (33.7M записей)

May 09, 2020 12:48

[TL;TR] Поведение LJ по отношению к пользователям крайне некорректное. Огромное число людей остаются в полном неведении и не знают (и не могут узнать) о глубине проблемы (33М+ пользователей - это не шутки, пароли в plain-text с привязкой к e-mail и профилям).

Сама база числится как 2017 год, но реально она - май 2012 (включительно); есть Read more... )

bugs, Россия, идиоты, leak

Leave a comment

Back to all threads
anonymous May 9 2020, 12:58:12 UTC
"Oct 11, 2018": https://twitter.com/troyhunt/status/1050391317266620416

Reply

sporaw May 9 2020, 13:09:51 UTC
Да там со всех щелей текло в паблике о факте в последние годы (очень странно, что я это как-то пропустил - прямо удивлен):
Вон, оно даже сюда позже добавлено было
https://twitter.com/weleakinfo/status/1149904387374026752

Видимо, платформа настолько заброшенная, что вообще всем по*уй. Включая и собственников, и обслуживающих IT-шников (про безопасников я молчу -- их, похоже, в lj вообще нет; мало того, что все пароли plain-text, так еще и на протяжении 6 лет не знать, что тебя взломали + полностью игнорировать публично доступную информацию хотя бы на уровне последнего года-двух -- ну, это просто полная профнепригодность; а, и да - пароли не изменены до сих пор, это в копилочку).

При этом, судя по записи, что вы скинули, этим придуркам даже писали об этом.
Просто конченые кретины.

Reply

anonymous May 9 2020, 13:17:38 UTC
Был ещё такой пост на DW: https://dw-news.dreamwidth.org/38612.html (Oct. 4th, 2018)

"With the evidence we have at the moment, augmented by independent work other researchers have done, we're reasonably confident the breach happened on another social network site at least several years ago. ... We won't name the site yet because they haven't made a public announcement confirming the breach"

Весьма вероятно, что они тут имели в виду LJ (с кем ещё могло быть пересечение по паролям?)

Reply

sporaw May 9 2020, 13:25:06 UTC
Да, точно о них.
Меня удивляет не то, что они не опубликовали, и даже не то, что plain-text (черт с этим, это просто практика в ИТ в очень многих крупных проектах - уже нет смысла критиковать это), а вот то, что они не сбросили пароли, не заставили их сменить хотя бы активных пользователей, хотя бы "по частям", если не хотели делать пресс-релиз.

Reply

grey_olli May 10 2020, 13:29:13 UTC
они прислали письмо которое только могли прислать чтобы выглядеть белыми и пушистыми. Никогда не ставил одинаковые пароли на жеже и ещё что-то потому что у жеже лет 10 уже http и https появился ну может год назад, может два-три.. На жежешку не надо было ставить нормальный пароль потому что его бы всё равно отснифали. Что у них в недрах говнокода им гораздо лучше знать - может надо переписать кучу мест чтобы при смене на другой пароль оно хранилось уже в хэшах.. А так-то да - присылают текст по которому якобы пользователь виноват во всём - свинское отношение - делают "pocker face" что у них всё хорошо. У меня в блоге намеренно нет ничего непубличного - см. информацию в профиле.

Reply

sporaw May 10 2020, 13:59:38 UTC
1) https у них очень давно. Почему у тебя информация такая? Я вот даже толком не помню, когда у них был http-only и было ли вообще такое. Потому что я использую https-everywhere подход; возможно, они год назад стали принудительно редиректить на https с http, а ты раньше просто сам ходил по http?

2) Да, именно так. Ублюдочный poker face. При этом дают возможность 5 дней творить полную вакханалию. Но самое главное, что люди, у которых одинаковые пароли или похожие на разных ресурсах - продолжат страдать из-за этого слива и дальше, т.к. они не знают, что слив произошел. Не знают тоже благодаря администрации LJ. Вот это куда серьезнее.

Можно брать эти e-mail'ы с привязкой к профилям и долбить людей как массово, так и целенаправленно по их засвеченным паролям.

Reply

grey_olli May 10 2020, 16:20:13 UTC
у меня пароль в жежешке был как раз с тех времён когда у них не было https вообще.
до появления принудительного редиректа на https не было смысла выставлять
безопасный пароль - в workflow ленивого пользователя есть моменты когда его
всё равно заснифали бы.

Reply

sporaw May 10 2020, 16:43:24 UTC
Повторю то, что писал выше:
- не помню времени без https (но память может быть обманчива)
- возможно, потому что я принудительно использую https-everywhere

Вопрос не в безопасном пароле, а в том, чтобы этот пароль был как минимум уникален.

Reply

grey_olli May 10 2020, 19:12:00 UTC
если использовать https-everywhere ты этого не заметишь, именно поэтому ты и не помнишь того, что знаю я.
Между тем когда ты отлогинен и хочешь быстро вбить коммент ты можешь прямо над сообщением выбрать не анонима, а жеже пользователя и это раньше шло через http (но опять же с https everywhere ты этого мог и не видеть).

Reply

Back to all threads

Leave a comment

Up
Homepage Read journal... Full version Help Русская версия
© 1999-2025 LiveJournal, Inc.