Хакер #305. Многошаговые SQL-инъекции
Сентябрь 2014 года войдёт в историю как месяц тотального слива паролей для сервисов электронной почты. После утечки 1,26 миллиона паролей от «Яндекс.Почты» неизвестные злоумышленники выложили в открытый доступ 4,6 млн паролей Mail.ru и 5 млн паролей Gmail. Обе базы уже проверены независимыми экспертами, корректность информации подтверждена.
Как шутят на форумах, слив этих баз — отличная возможность восстановить забытый пароль от старого почтового ящика.
Существующие сервисы для проверки почты на наличие в базах:
- isleaked.com/ (yandex.ru и mail.ru, gmail.com)
- yaslit.ru/ (yandex.ru, mail.ru, gmail.com)
- yandexexpose.azurewebsites.net/
- games-gen.com/mails/check3.html (mail.ru)
- games-gen.com/mails/check2.html (yandex.ru)
- games-gen.com/mails/check.html (база разных адресов от декабря 2013 года)
Файлы со списком аккаунтов и паролями можно без труда найти на файлохостингах и в торрентах. Публикуем ссылки на базы без паролей, только с адресами электронной почты:
Яндекс.Почта: 1000000cl.txt, зеркало
Mail.ru: Mail.txt, зеркало
Gmail: google_5000000.7z, зеркало
Судя по имеющейся информации, списки паролей получены не в результате взлома почтовых сервисов, а от самих пользователей. Возможно, использовался брутфорс. Это кажется особенно вероятным в случае с паролями «Яндекс.Почты», там очень много чисто цифровых паролей, которые легче всего подбирать.
cat Yandex.ru.txt Gmail.com.txt Mail.ru.txt | sed -e 's/^[^:;]*[:;]//g' | sort | uniq -c | sort -nr | head -n 20
252301 qwerty
119868 123456
32776 123456789
16538 111111
13761 12345
12930 qwertyuiop
12377 password
11792 12345678
10711 1qaz2wsx
10198 1234567890
10190 1234567
8744 123123
8411 123321
8172 qazwsx
8046 1q2w3e4r
6514 7777777
6303 qwer1234
6251 000000
6117 123qwe
6055 1q2w3e4r5t