У «Живого Журнала» увели пароли блогеров

May 11, 2020 15:54

Удивительная история произошла с «Живым Журналом» (помните такой сервис?).

Слухи о том, что некая база паролей «уплыла» от них и продаётся на рынке, ходили уже пару лет. И вот вчера, наконец, эта самая база оказалась в открытом доступе, немало удивив исследователей. Судя по охвату (33 миллиона аккаунтов; знакомые «Ватфору» аккаунты там есть решительно все, кроме, разве что, Дианы Михайловой) и содержанию - e-mail, логин в ЖЖ, пароль - это не какая-то там «синтетическая» база, собранная из разных источников, а самая что ни на есть база ЖЖ, по состоянию, приблизительно, на 2017 год.

Это означает, что либо сервис сам хранил все пароли в открытом виде, либо где-то внутри их серверного кода стояла «закладка», старательно собиравшая и отправлявшая их «налево». И то, и другое - совершенно за гранью добра и зла. Равно как и сегодняшняя реакция ЖЖ, который где-то в середине дня начал рассылать пользователям вежливые письма в духе «Вы давно не меняли пароль, но мы беспокоимся о вашей безопасности и рекомендуем сменить». Обратили, короче, позорный недуг в подвиг.

Но мы не об этом. Действуя в своём профессиональном интересе, ваш автор построил из базы словарь паролей и отсортировал их по «встречаемости». И оказалось, что помимо типичных «qwe123» в TOP 100 базы входят пароли, которые явно принадлежат огромным ботофермам.

Ближайшее рассмотрение подтвердило - все эти аккаунты были зарегистрированы либо на один «мэйл», либо на «мэйлы» в одном домене. Из сотни топовых паролей таких, принадлежащих массовым регистрациям - около 30.

Самая крупная «ферма» (и по совместительству - самый часто встречающийся пароль в ЖЖ «Million2») владела 143 тысячами аккаунтов. Из владельцев «ферм» сходу удалось обнаружить некую компанию black pr studio, присваивавшую своим ботам пароль Mega_Pizdetz666 (13 тысяч аккаунтов) и фрилансера Костика из города Гомель, который увековечил в пароле своё имя (4500 аккаунтов). Костик, кстати, творчески генерировал имена своим ботам, подделываясь под существующих пользователей. Так среди первых же зарегистрированных им логинов были «drufoi», «frugoi», «odessist» и т. п.

Морали тут, собственно, никакой нет. Кроме необходимости немедленно поменять пароль, даже если вы туда сто лет не ходили. Ну, и мониторить дальнейшие новости - а то мало ли какая там сейчас ситуация с хранением паролей.

https://seoded.blogspot.com/2020/05/livejournal.html

livejournal, безопасность, интернет

Previous post Next post
Up