Хакер #305. Многошаговые SQL-инъекции
Представители агрегатора утечек LeakedSource сообщили, что в их распоряжении оказались данные 412 214 295 пользователей сервисов компании FriendFinder Networks, которой принадлежат тысячи сайтов «взрослой тематики» (сайты знакомств, веб-кама и так далее). По данным LeakedSource, утечка произошла недавно, в октябре 2016 года, и затронула деятельность самых разных сервисов компании FriendFinder Networks, каковых за 20 лет работы насчитывается немало. Дамп охватывает временной отрезок с 1997 по 2016 год.
Больше всего пострадали пользователи сайтов Adultfriendfinder.com, Cams.com, Penthouse.com (ныне принадлежащего Penthouse), Stripshow.com, iCams.com, а также некий неизвестный домен. Немного статистики:
Имя сайта | Число пострадавших | Число паролей, хранившихся в виде обычного текста |
Adultfriendfinder.com | 339 774 493 | 103 070 536 |
Cams.com | 62 668 630 | 21 422 277 |
Penthouse.com | 7 176 877 | 495 720 |
Stripshow.com | 1 423 192 | 342 889 |
iCams.com | 1 135 731 | 272 409 |
Неизвестный домен | 35 372 | - |
Судя по всему, данную утечку предваряли следующие события. 18 октября издание CSO Online сообщило, что некий исследователь, известный как Revolver или @1x0123 в Twitter (аккаунт уже заблокирован), обнаружил уязвимость типа Local File Inclusion (LFI) на сайте знакомств Adult Friend Finder. Revolver писал, что предупредил о бреши представителей компании и подчеркивал, что «никакие данные пользователей не были взяты с сайта». Впрочем, днем ранее Revolver писал обратное и обещал, что «сольет вообще все», если его заявления назовут ложью.
Напомню, что в 2015 году Revolver угрожал слить в сеть данные пользователей другого сайта знакомств, Naughty America. Спустя неделю после его угрозы, база данных Naughty America действительно появилась на торговой площадке TheRealDeal в даркнете, хотя была опубликована от лица другого хакера, известного как Peace of Mind.
Представители LeakedSource не сообщают, откуда на этот раз они получили дамп, более того, администрация ресурса приняла решение пока не публиковать полученные данные и не включать их в свою базу данных. Судя по опубликованным скриншотам SQL-таблиц, среди похищенных данные нет детальной информации о сексуальных предпочтениях и привычках пользователей. «Утекли» имена пользователей, пароли, email-адреса, даты последнего входа на сайт, языковые настройки и тому подобная информация.
В ходе анализа дампа аналитики обнаружили, что за многими аккаунтами закреплены почтовые ящики вида email@address.com@deleted1.com. Исследователям уже доводилось видеть подобную картину. Судя по всему, эти пользователи пытались удалить свои аккаунты с сайтов FriendFinder Networks, однако компания предпочитала сохранять все данные, и на самом деле учетные записи не удалялись. Было обнаружено 15 766 727 таких аккаунтов на AdultFriendFinder.com.
Львиная доля всех паролей (99%) хранилась в формате обычного текста, также нашлось немного паролей в виде SHA1 хешей. Исследователи традиционно представили статистику по лучшим и худшим паролям, а также по email-адресам и посещаемости взломанных сайтов (так как дамп содержит данные с 1997 года, получилось достаточно интересно и информативно). Подробную статистику можно найти в блоге LeakedSource, а мы приводим топ худших паролей сайта AdultFriendFinder.com и общий топ самых длинных паролей для всех взломанных ресурсов вообще.
Худшие пароли AdultFriendFinder.com:
Место | Пароль | Как часто встречается |
1 | 123456 | 900 420 |
2 | 12345 | 635 995 |
3 | 123456789 | 585 150 |
4 | 12345678 | 145 867 |
5 | 1234567890 | 133 414 |
6 | 1234567 | 112 956 |
7 | password | 101 046 |
8 | qwerty | 86 050 |
9 | qwertyuiop | 43 755 |
10 | 987654321 | 40 627 |
Самые длинные пароли на всех сайтах:
Пароль | Длина |
pussy.passwordLimitExceeded:07/1 | 32 |
gladiatoreetjaimelesexetjaimefum | 32 |
antidisestablishmentarianism | 28 |
pussypussymoneymoneyweedweed | 28 |
1234tellmethatyoulovememore | 27 |
ifyourreadingthisitstoolate | 27 |
12bucklemyshoe34shutthedoor | 27 |
iloveyousomuchdarling123456 | 27 |
fuck her right in the pussy | 27 |
killerklownzfromouterspace | 26 |
sexisthesecretofmyenergy | 24 |
thingsyouseeinagraveyard | 24 |
schrodingersfavouritecat | 24 |
mypussyiswetterthanyours | 24 |
dontthinkaboutitchelsea | 23 |
cunninglinguistbackdoor | 23 |
primeministerismanmohan | 23 |
iwilleatyourpussyright | 22 |
who the fuck is alice? | 22 |
protopopicitorescovici | 22 |
youwillneverwalkalone | 21 |
needledickthebugfucer | 21 |
myboyfriendsadickhead | 21 |
ilovemanchesterunited | 21 |
hotsexgirlscomemyway | 20 |
ratsliveonnoevilstar | 20 |
ilovebigdickintheass | 20 |
southafricanmolerat | 19 |
moneyhungrybitches | 18 |
ifuckinghateshayne | 18 |
bigfloppydonkydick | 18 |
werwolfremuslupin | 17 |
kuntwhorebitch123 | 17 |
elephantintheroom | 17 |
godstimeisthebest | 17 |
brazilianfartporn | 17 |
carlosfromcancun | 16 |