Сентябрь 2014 года войдёт в историю как месяц тотального слива паролей для сервисов электронной почты. После утечки 1,26 миллиона паролей от «Яндекс.Почты» неизвестные злоумышленники выложили в открытый доступ 4,6 млн паролей Mail.ru и 5 млн паролей Gmail. Обе базы уже проверены независимыми экспертами, корректность информации подтверждена.
Как шутят на форумах, слив этих баз — отличная возможность восстановить забытый пароль от старого почтового ящика.
Существующие сервисы для проверки почты на наличие в базах:
- isleaked.com/ (yandex.ru и mail.ru, gmail.com)
- yaslit.ru/ (yandex.ru, mail.ru, gmail.com)
- yandexexpose.azurewebsites.net/
- games-gen.com/mails/check3.html (mail.ru)
- games-gen.com/mails/check2.html (yandex.ru)
- games-gen.com/mails/check.html (база разных адресов от декабря 2013 года)
Файлы со списком аккаунтов и паролями можно без труда найти на файлохостингах и в торрентах. Публикуем ссылки на базы без паролей, только с адресами электронной почты:
Яндекс.Почта: 1000000cl.txt, зеркало
Mail.ru: Mail.txt, зеркало
Gmail: google_5000000.7z, зеркало
Судя по имеющейся информации, списки паролей получены не в результате взлома почтовых сервисов, а от самих пользователей. Возможно, использовался брутфорс. Это кажется особенно вероятным в случае с паролями «Яндекс.Почты», там очень много чисто цифровых паролей, которые легче всего подбирать.
cat Yandex.ru.txt Gmail.com.txt Mail.ru.txt | sed -e 's/^[^:;]*[:;]//g' | sort | uniq -c | sort -nr | head -n 20
252301 qwerty
119868 123456
32776 123456789
16538 111111
13761 12345
12930 qwertyuiop
12377 password
11792 12345678
10711 1qaz2wsx
10198 1234567890
10190 1234567
8744 123123
8411 123321
8172 qazwsx
8046 1q2w3e4r
6514 7777777
6303 qwer1234
6251 000000
6117 123qwe
6055 1q2w3e4r5t
10.09.2014 в 15:09
Есть мысли кто и зачем выкладывает базы?
10.09.2014 в 16:08
готовят новый закон в гд
10.09.2014 в 22:01
😀
http://socialware.ru
12.09.2014 в 06:54
кому выгоднее всего от этого, тот и сливает.
Это выгодно:
— самим компаниям. какой-то одной из! Остальные базы других компаний выложена просто, чтобы замести следы.
— выгодно каким=то органам которые лоббируют законы. Чтобы принять какой нибудь новый очередной закон.
10.09.2014 в 15:34
пароли все старые, рабочих нету
https://vk.com/dolmatov_aleksey
10.09.2014 в 16:31
Если читать оригинал статьи с хабра и коменты, то есть люди у кого пароль подходит. Только инфа уже устарела и почтовые сервисы оперативно отключили (заблокировали) аккаунты
17.09.2014 в 10:56
Ничего себе нету.У меня гмале угналиа у друга вообще изза всей этой ботвы учетку в стиме)
21.09.2014 в 18:07
в первый день лично проверил 4 ящика на яндексе…все пароли подошли..хоть верещали еще с утра по всем каналам, а я проверял я вечером..
https://vk.com/dolmatov_aleksey
10.09.2014 в 16:32
Не мешало бы делать ссылку на источник информации: http://habrahabr.ru/post/236283/
10.09.2014 в 17:16
паролям уже больше 4 лет минимум
10.09.2014 в 17:31
Они себе противоречят. Сначала говорят про фишинг, потом про то что ящиками долгое время не пользовались
10.09.2014 в 23:06
а мне кажется когда ты вводишь свой email, чтобы проверить есть ли он в базе, то введенный email попадает в базу для рассылки спама 😀 Но это так мысли просто…
11.09.2014 в 11:28
Уважающие себя читатели этого сайта все базы находят сами и сами проверяют свои ящики в этих списках.
11.09.2014 в 14:56
Вот те раз, каждый 30 пароль в России либо 123456, либо qwerty.
Довольно давно имею почтовые ящики на мэйле, яндексе и гугле, ни в одной базе они не засветились, видимо потому, что на всех трех разные пароли, которые нигде больше не используются в связи с чем могу предположить, что были взломаны сторонние форумы и сайты с регистрацией, где пользователям нужно вводить мыло и пароль, а пароли они вводили от своей почты, чтобы не заморачиваться.
13.09.2014 в 05:40
Думаю так и было
11.09.2014 в 15:25
И спам разошлётся по всем адресам в соответствии с получившимся шаблоном
16.09.2014 в 00:11
Пожалуй таки да.
Думаю готовят сново закон.
По факту до пседо-слива при попытке восстановить условно-взломанный ящик маил и ящя просили поменять пароль с указанием номера и письма в ящике были доступны для чтения, а после слива одновременно на двух сервисах теперь введешь номер телефона к почте доступ не получишь вообще. Вот так.
16.09.2014 в 00:13
поправка «не введешь номер телефона к почте доступ не получишь вообще»
17.09.2014 в 14:16
Проблема на мой взгляд более глобальна. Это пренебрежительное отношение к компьютерной безопасности со стороны большинства пользователей и некоторых компаний по причине того, что явную угрозу осознают немногие. Надо активнее осведомлять людей по этой теме. Вот уже в пятницу пройдёт BIS’2014, который считают главным событием в сфере ИБ. Я думаю, что хотя бы посмотреть трансляцию представителям крупных компаний точно стоит, да и простым обывателям, интересующимся темой можно ознакомиться. Сейчас ещё билет на бесплатную трансляцию можно получить.