База паролей от ЖЖ попала в открытый доступ: интересные подробности
Сегодня сразу несколько источников сообщили о том, что в сети появилась база данных с паролями от аккаунтов ЖЖ.
Вот, что пишет телеграм-канал Ватфор:
Удивительная история произошла с Живым Журналом (помните такой сервис?)
Слухи о том, что некая база паролей уплыла от них и продаётся на рынке, ходили уже пару лет. И вот вчера, наконец, эта самая база оказалась в открытом доступе, немало удивив исследователей. Судя по охвату (33 миллиона аккаунтов; знакомые Ватфору аккаунты там есть решительно все, кроме, разве что, Дианы Михайловой) и содержанию - e-mail, логин в ЖЖ, пароль - это не какая-то там синтетическая база, собранная из разных источников, а самая что ни на есть база ЖЖ, по состоянию приблизительно на 2017 год.
Это означает, что либо сервис сам хранил все пароли в открытом виде, либо где-то внутри их серверного кода стояла закладка, старательно собиравшая и отправлявшая их налево. И то, и другое - совершенно за гранью добра и зла. Равно как и сегодняшняя реакция ЖЖ, который где-то в середине дня начал рассылать пользователям вежливые письма в духе "вы давно не меняли пароль, но мы беспокоимся о вашей безопасности и рекомендуем сменить". Обратили, короче, позорный недуг в подвиг.
Но мы не об этом. Действуя в своём профессиональном интересе, ваш автор построил из базы словарь паролей и отсортировал их по встречаемости. И оказалось, что помимо типичных qwe123 в TOP 100 базы входят пароли, которые явно принадлежат огромным ботофермам. Ближайшее рассмотрение подтвердило - все эти аккаунты были зарегистрированы либо на один мэйл, либо на мэйлы в одном домене. Из сотни топовых паролей таких, принадлежащих массовым регистрациям, - около 30. Самая крупная ферма (и по совместительству самый часто встречающийся пароль в ЖЖ - Million2) владела 143 тысячами аккаунтов. Из владельцев ферм сходу удалось обнаружить некую компанию black pr studio, присваивавшую своим ботам пароль Mega_Pizdetz666 (13 тысяч аккаунтов) и фрилансера Костика из города Гомель, который увековечил в пароле своё имя (4500 аккаунтов). Костик, кстати, творчески генерировал имена своим ботам, подделываясь под существующих пользователей. Так среди первых же зарегистрированных им логинов были drufoi, frugoi, odessist и т.п.
Морали тут, собственно, никакой нет, кроме необходимости немедленно поменять пароль, даже если вы туда сто лет не ходили. Ну и мониторить дальнейшие новости - а то мало ли какая там сейчас ситуация с хранением паролей.
Несколько лет назад уже была новость про слив базы с более чем 30 миллионов паролей. Не знаю, появилась ли в открытом доступе новая база или речь идет о той же самой. Но вот число ботов в ЖЖ меня поразило. Я даже близко не думал о таких масштабах.
Саму базу я навскидку не нашел, но в процессе поиска наткнулся на телеграм-бота @mailsearch_bot. Вводите туда свой логин и видите, есть ли он в базе. Я внезапно обнаружил пароли, которыми реально пользовался в ЖЖ и на других сервисах.
В общем, поменяйте пароль. На всякий случай, мало ли.
Сделать это можно на странице смены пароля.