Das Netzwerk veröffentlichte eine Datenbank mit 98 Millionen Rambler-Konten


    Zur Verfügung der Ressource leakedsource.com, die auf Informationssicherheit spezialisiert ist, stand eine Datenbank mit Konten des Dienstes Rambler.ru, die 2012 von Cyberkriminellen gestohlen wurde. Es wurde vom Benutzer daykalif@xmpp.jp bereitgestellt, der auch für die Veröffentlichung der last.fm-Kontodatenbank verantwortlich ist.

    Jedes der 98 167 935-Konten enthält den Benutzernamen, sein Kennwort und einige andere Informationen. Unabhängig davon ist zu beachten, dass Passwörter nicht verschlüsselt und im Klartext gespeichert werden. Die beliebtesten Kennwörter für die Datenbank waren asdasd, asdasd123 und natürlich 123456.

    Als Beweis liefert leakedsource einen Screenshot des Beginns des Basis-Dumps:


    Einem der bekanntesten Habrauser - Trin mobilz Zotoff - haben wir folgende Fragen zu diesem Hack gestellt:

    1. Warum wiederholen sich solche Situationen ständig?
    2. Warum wurden Passwörter im Klartext gespeichert?
    3. Wie relevant ist die Basis?
    4. Was machen Benutzer?
    5. Für diejenigen mit einem Passwort in der Datenbank wird "Rambler" anbieten, das Passwort zu ändern?

    Ich habe die Datenbank selbst nicht gesehen, aber ich gebe voll und ganz zu, dass die Passwörter im Klaren waren. Dies ist ein Relikt der Vergangenheit, von dem viele Dienste bis jetzt nicht loswerden können. Insbesondere gebe ich zu, dass nicht die Hauptbasis von Wanderernutzern gewonnen wurde, sondern eine Art bedingtes „Nachbarn“, das für einige alte Projekte verwendet wurde. Es kann sowohl irrelevante als auch unvollständige Benutzerbasis enthalten.

    Warum wird es immer wieder wiederholt? Es spielt keine Rolle, ob der Text oder der Passwort-Hash in der Datenbank gespeichert ist, einfache Passwörter wie "123456" können schnell aus Hashes wiederhergestellt werden. Wie wir dem Artikel entnehmen können, haben von 100 Millionen Benutzern mindestens 6 Millionen sehr einfache Passwörter. Und das ist nur die Top50. Ich habe ein Wörterbuch zum Knacken von Passwörtern in 2 GB, eine Textdatei, ich denke, dass man damit bis zu 90% der Passwörter wiederherstellen kann, weil Die Sicherheit wird nicht immer ernst genommen. Selbst wenn der Dienst Passwörter hascht, können sie immer noch viele Male wiederhergestellt werden, wenn sie relativ einfach sind.

    2-Faktor-Authentifizierung von globalen Hacks wird definitiv sparen. Selbst wenn Sie das Passwort des Opfers kennen und die Autorisierung mit dem Telefon verknüpft ist, ist dies leider nicht möglich.

    Für Wanderer ist dies, wie bereits erwähnt, wahrscheinlich ein Relikt der Vergangenheit. Alte Dienste, die nicht umgeschrieben werden möchten, verglichen die Passwörter mit Klartext. Ich sah jedoch moderne Dienste, die es immer noch schaffen, Passwörter im Klartext zu speichern. Außerdem stieß ich auf Projekte, große Projekte, moderne, die Hashes speicherten, aber neben der Tabelle standen Passwörter in Klartext.

    Warum ist das notwendig? Benutzerkennwörter kennen). Früher, als ich sehr lange über Hashes für einige meiner Projekte Bescheid wusste, erlaubte ich das Speichern von Passwörtern im Klartext. Dies wurde für die benutzerfreundliche Oberfläche durchgeführt. Geben Sie ein, dass Sie aufgefordert werden, das Kennwort für E-Mail wiederherzustellen, und Ihr aktuelles Kennwort wird sofort in Ihre E-Mail übernommen. Manchmal ist es bequemer, Sie müssen kein neues erstellen, wiederherstellen usw. Aber ich war natürlich dumm. Jetzt nur noch Haschisch, nur noch mit Salz usw.

    Es heißt Februar 2012. Wenn Sie sich an die Geschichte von Yahoo mit der Wiederherstellung von E-Mails für die Entführung von asek erinnern - diese Datenbank kann für eine sehr lange Zeit relevant sein. Nehmen wir an, Sie haben lange Zeit eine Schachtel auf einem Wanderer benutzt, aber darauf erzielt. Die Nachrichten über den Hack haben Sie nicht gestört, Sie verwenden keinen Rambler. Aber Rambler merkt sich all Ihre Korrespondenz, all Ihre Kontakte, einschließlich Geschäftskontakte, und diese Informationen können verwendet werden.

    Wer keine Kisten am Wanderer braucht - lösche alles zur Hölle. Wer muss - Passwörter ändern und 2-Faktor-Authentifizierung aktivieren.

    In der Regel ändern solche Dienste die Kennwörter der Benutzer unabhängig voneinander und informieren sie darüber.

    Laut leakedsource.com könnte zumindest ein Teil der Datenbank relevant sein, was während des Audits unter Beteiligung eines Journalisten des Hacker-Magazins aufgedeckt wurde.

    Jetzt auch beliebt: