Сентябрь 2014 года войдёт в историю как месяц тотального слива паролей для сервисов электронной почты. После утечки 1,26 миллиона паролей от «Яндекс.Почты» неизвестные злоумышленники выложили в открытый доступ 4,6 млн паролей Mail.ru и 5 млн паролей Gmail. Обе базы уже проверены независимыми экспертами, корректность информации подтверждена.

Как шутят на форумах, слив этих баз — отличная возможность восстановить забытый пароль от старого почтового ящика.

002

Существующие сервисы для проверки почты на наличие в базах:

Файлы со списком аккаунтов и паролями можно без труда найти на файлохостингах и в торрентах. Публикуем ссылки на базы без паролей, только с адресами электронной почты:

Яндекс.Почта: 1000000cl.txt, зеркало
Mail.ru: Mail.txt, зеркало
Gmail: google_5000000.7z, зеркало

Судя по имеющейся информации, списки паролей получены не в результате взлома почтовых сервисов, а от самих пользователей. Возможно, использовался брутфорс. Это кажется особенно вероятным в случае с паролями «Яндекс.Почты», там очень много чисто цифровых паролей, которые легче всего подбирать.

Топ-20 паролей по трём базам

cat Yandex.ru.txt Gmail.com.txt Mail.ru.txt | sed -e 's/^[^:;]*[:;]//g' | sort | uniq -c | sort -nr | head -n 20
 252301 qwerty
 119868 123456
  32776 123456789
  16538 111111
  13761 12345
  12930 qwertyuiop
  12377 password
  11792 12345678
  10711 1qaz2wsx
  10198 1234567890
  10190 1234567
   8744 123123
   8411 123321
   8172 qazwsx
   8046 1q2w3e4r
   6514 7777777
   6303 qwer1234
   6251 000000
   6117 123qwe
   6055 1q2w3e4r5t



19 комментариев

  1. 10.09.2014 at 15:09

    Есть мысли кто и зачем выкладывает базы?

    • 10.09.2014 at 16:08

      готовят новый закон в гд

    • http://socialware.ru

      12.09.2014 at 06:54

      кому выгоднее всего от этого, тот и сливает.
      Это выгодно:
      — самим компаниям. какой-то одной из! Остальные базы других компаний выложена просто, чтобы замести следы.
      — выгодно каким=то органам которые лоббируют законы. Чтобы принять какой нибудь новый очередной закон.

  2. 10.09.2014 at 15:34

    пароли все старые, рабочих нету

    • https://vk.com/dolmatov_aleksey

      10.09.2014 at 16:31

      Если читать оригинал статьи с хабра и коменты, то есть люди у кого пароль подходит. Только инфа уже устарела и почтовые сервисы оперативно отключили (заблокировали) аккаунты

    • 17.09.2014 at 10:56

      Ничего себе нету.У меня гмале угналиа у друга вообще изза всей этой ботвы учетку в стиме)

      • 21.09.2014 at 18:07

        в первый день лично проверил 4 ящика на яндексе…все пароли подошли..хоть верещали еще с утра по всем каналам, а я проверял я вечером..

  3. https://vk.com/dolmatov_aleksey

    10.09.2014 at 16:32

    Не мешало бы делать ссылку на источник информации: http://habrahabr.ru/post/236283/

  4. 10.09.2014 at 17:16

    паролям уже больше 4 лет минимум

  5. 10.09.2014 at 17:31

    Они себе противоречят. Сначала говорят про фишинг, потом про то что ящиками долгое время не пользовались

  6. 10.09.2014 at 23:06

    а мне кажется когда ты вводишь свой email, чтобы проверить есть ли он в базе, то введенный email попадает в базу для рассылки спама 😀 Но это так мысли просто…

    • 11.09.2014 at 11:28

      Уважающие себя читатели этого сайта все базы находят сами и сами проверяют свои ящики в этих списках.

  7. 11.09.2014 at 14:56

    Вот те раз, каждый 30 пароль в России либо 123456, либо qwerty.

    Довольно давно имею почтовые ящики на мэйле, яндексе и гугле, ни в одной базе они не засветились, видимо потому, что на всех трех разные пароли, которые нигде больше не используются в связи с чем могу предположить, что были взломаны сторонние форумы и сайты с регистрацией, где пользователям нужно вводить мыло и пароль, а пароли они вводили от своей почты, чтобы не заморачиваться.

  8. 11.09.2014 at 15:25

    Если вы по каким-то причинам не желаете вводить свой полный адрес электронной почты, то вы можете заменить до трёх символов звёздочками

    И спам разошлётся по всем адресам в соответствии с получившимся шаблоном

  9. 16.09.2014 at 00:11

    Пожалуй таки да.
    Думаю готовят сново закон.
    По факту до пседо-слива при попытке восстановить условно-взломанный ящик маил и ящя просили поменять пароль с указанием номера и письма в ящике были доступны для чтения, а после слива одновременно на двух сервисах теперь введешь номер телефона к почте доступ не получишь вообще. Вот так.

  10. 17.09.2014 at 14:16

    Проблема на мой взгляд более глобальна. Это пренебрежительное отношение к компьютерной безопасности со стороны большинства пользователей и некоторых компаний по причине того, что явную угрозу осознают немногие. Надо активнее осведомлять людей по этой теме. Вот уже в пятницу пройдёт BIS’2014, который считают главным событием в сфере ИБ. Я думаю, что хотя бы посмотреть трансляцию представителям крупных компаний точно стоит, да и простым обывателям, интересующимся темой можно ознакомиться. Сейчас ещё билет на бесплатную трансляцию можно получить.

Оставить мнение