Хакер #305. Многошаговые SQL-инъекции
«Ведомости» обратили внимание, что в Telegram-канале главы компании DeviceLock Ашота Оганесяна появилась информация об утечке данных 33,7 млн пользователей «Живого журнала» (он же ЖЖ, он же LiveJournal).
Исследователи сообщили, что обнаруженный текстовый файл содержит 33 726 800 строк, среди которых можно найти идентификаторы пользователей, email-адреса, ссылки на профили пользователей, а также пароли в формате простого текста (при этом 795 402 строки были с пустым паролем).
Последующий анализ паролей показал, что 69% сочетаний почта/пароль оказались уникальными, то есть никогда ранее не встречались в других утечках.
По информации Оганесяна, данная утечка произошла еще в 2014 году, просто до недавнего времени информация не была достоянием широкой публики, а в начале мая 2020 года некто известный под псевдонимом Винни Тройя (Vinny Troia, — совпадает с именем известного американского ИБ-исследователя) выложил базу в открытый доступ.
Пользователи ЖЖ отмечают, что недавно администрация «Живого журнала» в самом деле начала рассылать людям письма, с просьбой сменить пароли, так как якобы они устарели. Рассылку таких писем уже подтвердили в компании Qrator Labs.
«Поскольку требования Живого Журнала к паролю изменились с тех пор, как вы установили ваш текущий пароль, пароль станет недействительным, если он не будет изменен в течение пяти дней. В таком случае для входа в аккаунт вам необходимо будет установить новый пароль», — гласят письма.
Интересно, что при этом администрация ЖЖ отрицает факт утечки данных и заявила журналистам следующее:
«Информация, распространяемая в сети о якобы "массовой утечке" данных пользователей ЖЖ, не соответствует действительности — это одна из кликбейтных новостей, задача которой — привлечь интерес к третьей стороне в данном вопросе», — сообщил журналистам представитель холдинга Rambler Group, которому с 2016 года принадлежит ЖЖ.