НЬЮ-ЙОРК, 19 июня. /ТАСС/. Эксперты в области кибербезопасности портала Cybernews выявили утечку в открытый доступ около 16 млрд логинов и паролей, включая учетные записи Apple, Google, Telegram и Facebook (запрещен в России, принадлежит корпорации Meta, признанной в РФ экстремистской).
По оценкам специалистов, эта утечка может стать одной из самых масштабных в истории. Она затронула данные пользователей для входа в социальные сети, а также корпоративные и государственные онлайн-сервисы. Эксперты портала отмечают, что в результате инцидента киберпреступники получили беспрецедентный доступ к массиву логинов и паролей, которые могут быть использованы ими для кражи аккаунтов и личных данных пользователей с целью мошенничества.
В связи с произошедшим портал рекомендует пользователям использовать надежные пароли и чаще их обновлять. Кроме того, необходимо проверять свои устройства на наличие вредоносного программного обеспечения, подчеркивают эксперты.
Комментарии
Мне сегодня звонил русский сотрудник русского центробанка. Говорил, что мою квартиру хотят продать. Я говорю. что я её ещё не купил. По моему обиделся.
По идее, это крупные достаточно сервисы, чтобы хранить пароли в открытом виде вместо солёных хэшей. Там не должно у них всех быть такой одинаковой детской уязвимости. Так что если не фейк, то утекло откуда-то из подсистем, где владельцы мобильных платформ кейлоггингом сохраняли все вводимое пользователем, в т.ч. и пароли/логины.
И кто же имеет 16 млрд. пользователей?
тот у кого населения под 100 млрд)
Если такая утечка, действительно, была, то утекло из MI6, Массада, АНБ или ЦРУ.
Кто еще имеет возможность с разных серьезных ресурсов собирать логины и пароли?
Тут как-то писали, что типа более половины популярных бесплатных VPN-сервисов принадлежат военным структурам Израиля. Ну вот и насобирали.
Нужно быть полным ослом, чтобы пользуя ВПН, светить важные логины и пароли. Так что, сколько там ценных, а сколько левака и для порнушки - большой вопрос.
Там же не одна служба упомянута... У нас в стране тоже по 200 миллионов утекало за год. Уверен что у вас тоже есть логин/пароль к гуглу, паре социалок, телеграму, вайберу и далее по списку.
ахахах
Это, чтобы потом не удивлялись, как еврейско-американские ракеты находят так точно цели.
Это не Гугл с Эплем сдали своих клиентов военным - это пароли в сеть утекли. Другое же! Понимать надо!
"всё, что вы выкладываете и пишете в любом клочке инета - становится общим" (с)
забавная новость, только ехидные вопросы возникают сразу (не к автору в данном случае)
простите, а откуда утекли? это из задачи про трубы и бассейны?
а где их хранить, эти надежные пароли и их обновленные версии и как набирать? тут и мотоциклы на картинке выбрать часто не можешь. может под каким надежным паролем на самом компьютере? дык а что помешает своровать на один пароль больше? даже проще: воруешь один, а пользуешься всеми.
на сегодняшний день самым вредоносным программным обеспечением, с которым сталкивался, были именно программы проверки на наличие вредоносного программного обеспечения
прям вот сразу захотелось возложить цветы к памятнику неизвестному эксперту
Особенно прикольно про:
Ты значит их придумываешь, обновляешь, а эти пентюхи просто открывают базу для того чтобы утекли именно пароли.
То есть взломать сам пароль состоящий хотя бы из 10 символов в текущих реалиях развития компьютерной техники нереально, ибо все хранится в хэше. А вот слить чистый пароль, это запросто. Значит они где-то хранятся в чистом виде? Уже лет 5 как я слышу убеждения, что все хранится в зашифрованном виде. Удивительные вещи
Многие пользователи из стран, где блочат интернет, как одержимые ставят разные VPN-программы.
Перебирают неглядя все подряд, в надежде что найдется такая, с которой откроется инстаграм или тик-ток.
Я думаю, что такие проги и собирают пароли, когда их вводит пользователь, когда они еще не зашифрованы.
Потому что это легче легкого.
Россиянам следует бояться нарваться на VPN от украинцев. Те с радостью набросятся обезжиривать.
Плюс, слышал, злые жадные люди ставят бесплатные открытые Wi-Fi-сети и выдергивают ценное из трафика.
Пусть спецы прокомментируют, реально ли так собирать пароли?
Вроде как из https не так просто пароль выдернуть. Или уже и его того?
Лет 15 назад и раньше было актуально. Сейчас трафик весь зашифрован не на одном уровне и если WiFi Open это не значит что там plain text пароли бегают, они там зашифрованы, но уже на протоколах более высокого уровня - https, например. А 15 лет назад таки да, баловался и wardriving (взлом простых паролей WiFi/роутеров с плохими известными алгоритмами WPS) и перехват незащищенного трафика через arp-spoofing, включая, например, пароли почты, передававшиеся тогда незашифрованными по протоколу POP3. Сейчас это не настолько просто.
Кстати, народ часто использует в качестве пароля WiFi: даты (обычно таки не далее 50 лет назад) - время вскрытия - 50 мс, номер машины - на 1 код региона - 4,5с, номер телефона - 25 с на один mtt-код, это недорогой картой типа RTX 3060 (25K цена). Соответственно фермой из 8 карт - в 8 раз быстрее (а фермы сейчас за копейки распродают мамкины майнеры
) - 12К стоит ферма сравнимая по хэшрейту с 6 RTX 3060, такие вот причуды рынка. Ну спереть что-то ценное при этом, это вряд ли, если хотя бы настройки по умолчанию не трогали 
А вот запостить что-то с чужого IP или там позвонить по SIP злые умышленники/мошенники вполне могут, осложнив жизнь ротозею. Предлагал соотв. органам озаботиться этой проблемой и помощь в этом предлагал - поуху всем.
А потом ВТБ говорит, что для улучшения безопасности и удобства пользователей они ограничили пароль 6 цифрами
Пин-код в системе банкинга и пароль - разные вещи. Там сессия входа сама по себе хешируется, и поэтому можно угнать пин-код только если на телефоне есть какая-нибудь программа-шпион, которая отслеживает нажатия на клавиатуру (или на определенную область экрана). Мы это можем наблюдать по тому, что ввод пинкода не вызывает стандартную клавиатуру смартфона, а у каждого приложения она своя собственная.
Точно пароль от личного кабинета?
Или просто код доступа к приложению?
В браузере банкинг открываешь и оно спрашивает эти 6 цифр постоянного "пароля", и 6 это еще если принять меры, по умолчанию 4. Объяснять им, что 10 тыс вариантов это не про безопасность чего-то связанного с деньгами - бесполезно...
Пин-код всего лишь часть от пароля. Там помимо этого сессия, когда ты вводишь пин-код может быть подвязана к номеру телефона, IMEI, геолокации и прочим штучкам. Из этого формируется достаточно устойчивый хеш. Только по пин-коду не взломаешь. Много вы слышали историй как у людей просто так взламывали и пересылали все деньги с карты просто так пока их телефон был в руках владельца карты и он никому данные своей карты не сообщал, и сторонних каких-то приложений не скачивал?
Обычно мошенников интересуют CVV самой карты, именно потому что пин-код с банк клиента им особо ничего не даст. Там слишком много неизвестных чтобы взломать. Поэтому только социальный инженеринг и работает.
Открывать банкинг в браузере будучи физическим лицом?
Для юридических лиц специальные OTP ключи существуют генерирующие пин.
Обычный браузер, нет там никакого IMEI и геолокации.
4 (или 6 цифр пароля) + 4 цифры из смс.
Вот и вся надежность, ранее было 15 символов с большими, маленькими буквами и спецсимволами, теперь 8 цифр. 8 цифр это что-то около 4-5 символов нормального пароля. Остается надеяться, что они там не позволяют больше N попыток авторизации в минуту на аккаунт.
Вот еще , внезапно подробности всплывают. А небось еще и СМС не на любой телефон, а который специально указан сильно зарнее, порой даже при открытии карты в бумажном заявлении?
Без разницы если их угадывать или если троян на телефоне перехватывает или поддельная базовая станция
Тот же сбербанк предлагает установить видимость для счетов и карт - банкомат, приложение, сайт.
Вот. Точно.
Можно подумать до этого они были не в сети😂
То чем ты не можешь управлять. Никаким боком тебе не принадлежит.
Мне вчера один за одним, как из пулемёта 6 звоков один за другим. На один с московского номера ответил. С понтом из упр. компании звонят. Ответил: эй, ты каму званыш, слюшай.))))...а пароли в голове все.
Мне бы мои пароли слили, а то я ни один не помню, а файлик, где они все хранились, года два назад как-то пролюбила. Я ваще понятия не имею, нафига они нужны. Только время убиваешь на эти регистрации каждый раз, когда куда-нибудь заходишь. Откуда ж я прошлый помню, даже если он из одной буквы и четырех одинаковых цифр. Буква-то неизвестно какая...
Это залет.
Птм ,что это не мошенничики - это они сами с усами. И борода в моде сейчас и bich boys.
И отказаться уже невозможно.
Тот же гугл регулярно предупреждает про утёкшие пароли на сторонних ресурсах, хз, в чём тут новость.
думаю что все проще - 16 миллиардов (!), на минутку, это 2 аккаунта на каждого человека планеты учитывая младенцев. Судя по всему просто спамеры или еще кто генерировали эту базу аккаунтов продолжительное время для рассылок. Т.е. это совсем необязательно аккаунты реальных людей хоть в какой-то значимой степени. Ну и вот кто-то просто провтыкал эту базу... )
Зачем хранить базу паролей 16 миллиардов аккаунтов в открытом виде? ТБМ захешируй 256 битным ключом шифрования! Настройка поля, как и настройка алгоритма заложены в сами базы данных! (по сути проверка пароля так и происходит) сравнивается хеш введенного пароля с хешем хранящимся в базе данных, если совпадают - добро пожаловать, не совпадают - пшел вон.
У меня только одно предположение, мелкософт и гугл с помощью своих тупых гемини и копилота тупо скринит экраны, ИИ распознает кучу картинок, выцепляет то, что похоже на логин\пароль, и складирует где-то в обычном текстовом файлике. Потом этот файлик сливается за 30 серебрянников
Объясняю еще раз, что скорее всего было -
1. спамеры нарегистрировали 16 млрд аккаунтов. Зачем - затем чтобы слать спам от "легальных" аккаунтов, т.к. спам-фильтры на них хуже реагируют.
2. спамеры продают такие базы друг-другу (чтоб спамить сесно).
т.е. это не утечка с самих серверов гугла или эпла, т.к. там, скорее всего именно хеш (ну или там настолько тупые люди сидят, что неясно как они сделали андроид и айось).
Понятно. Но не совсем спаммеры. Просто массив логинов\паролей, полученных фишингом, переданный доверчивыми гражданами, украденные с каких-нибудь текстовых документов (шоб на всякий случай если вдруг забуду).
Из источника:
Просто кто-то обнаружил(купил) файл на 16 миллиардов пользователей\паролей и поспешил сообщить.
Или это намекает что утекли таки хеши, а не открытые пароли.
Вполне что просто утекла открытая пара логин-пароль, хранилась где-нибудь в текстовом документе. Набралось за десяток лет определенное количество (16 миллиардов). Рай для брутфорсинга по базе
У всех же, практически, сейчас принудительная двухфакторная аутентификация. Логин и пароль ничего не дадут, нужно дополнительно подтверждать из другого источника.
У винды много шпионских функций на ровном месте. В т.ч. серверы винды могут в итоге логгировать даже пароли сторонних сайтов и организаций. А ИИ все это может дешифровать до уровня таблиц.
Но вероятно был массовый взлом всех акков со слабыми паролями по хэшу. К примеру всех паролей до 10 символов(это второй способ заполнить базу именно паролями до 10 символов). Тем более сейчас арендовать вычислительные мощности(на ворованные деньги) очень просто.
Пишут и про телеграм:
https://www.rbc.ru/life/news/6854041f9a7947842c1bca92
ИМХО спецслужбы запада (включая то что получение через ИИ) решили слить все что у них есть свалив все на несуществующих в природе хакеров. Поэтому и идет речь о свободном доступе. Это чтобы заранее отмазаться уже от целевых атак против контр-запада (руководимых мощными ИИ).
***
(обоснованная теория заговора (как свалить кибер войну против контр запада на хакеров))
Возможно спецслужбами на свободных(не задействованных в работе) мощностях условного "грок", вероятно был массовый взлом всех акков со слабыми паролями по хэшу. К примеру, всех паролей до 12 символов(это второй способ заполнить базу именно паролями до 12 символов).
То что всю эту движуху осуществили хакеры это чисто отмазка для вредительской деятельности спецслужб запада. Ущерб от которой другим странам вероятно превышает ущерб от наркотиков и стала столь же прибыльной (для ЦРУ, МИ6, Моссад) как торговля наркотиками в свое время.
России и контр-западу пора создавать свой Интерпол с блэкджеком... Существующий Интерпол сломался - несите другой. Виза и прочие фин системы - соучастники мошенников.