» »

Čas za menjavo gesel? Na spletu našli bazo s 560 milijoni uporabniških imen in gesel

Čas za menjavo gesel? Na spletu našli bazo s 560 milijoni uporabniških imen in gesel

TheNextWeb - Ogromno bazo podatkov z več kot 560 milijoni uporabniških imen in gesel so raziskovalci raziskovalnega centra za kibernetsko varnost Kromtech Security Research Center (KSRC) našli na spletu. V bazi so tudi podatki uporabnikov LinkedIna, Dropboxa in Tumblrja. Pri KSRC so uspeli pridobiti že večino podatkov v bazi, ki so jih povezali s spletno storitvijo Have I Been Pwned. Ta uporabnikom omogoča, da z vnosom naslova elektronske pošte ali uporabniškega imena različnih spletnih platform in rešitev preverijo, ali so v bazi tudi njihovi podatki.

Kdo je ustvaril bazo še ni jasno. Raziskovalci KSRC menijo, da so vir podatkov mnogi hekerski napadi, ki so se zgodili v zadnjih letih. Vendar avtor baze ni bil neposredno povezan z napadi, ampak je le zbiral podatke, ki so jih ukradli hekerji.

34 komentarjev

SimplyMiha ::

Sem vpisal svoj mail v un Have I Been Pwned, pa mi je nalistal nekaj strani, na katere se nikoli nisem prijavil niti nisem slišal zanje. Čudna reč.

eric_cartman ::

Okej.. Dejansko..Meni je napisal tole:

dronyx ::

Upam da so "Have I Been Pwned" vredni zaupanja in ne zbirajo elektronskih naslovov za spam. Danes me nič več ne preseneti.

Zgodovina sprememb…

  • spremenil: dronyx ()

marjans ::

Kako pa naj sploh vem, da je ta zbirka (oz. spletna stran) "dobronamerna"? Kaj če samo ustvarja obsežno zbirko username oz. e-mail naslovov (za spam, veljavne username za storitve kjer potem ...), uporabniku pa "random" vrne nek rezultat (ki ga več ali manj tako ne more preveriti - potrditi ali ovreči)?

Mojih podatkov vsekakor ne bodo dobili.

Ribič ::

A lahko dobim link do te baze podatkov? Zanimajo me samo gesla za svojo wordlisto, uporabniška imena in ostali podatki pa me ne zanimajo.
Vse ribe so mi pobegnile!

Glugy ::

Zanimivo..mi je napisal da sem bil pwnd ...in od teh omenjenih strani je bila ena leta 2016 ..neka splošna lista ki ni vidt da bi bila vezana na kakršnokoli stran. Geslo sem spremenil za gmail za vsak slučaj. Sam mislm da je to bolj za te razne račune na teh straneh za katere mi je tak vseeno.

lambda ::

marjans > Mojih podatkov vsekakor ne bodo dobili.

Full paranoia mode. Saj je samo mail naslov, kaj lahko naredijo z njim? Tvoj mail naslov je najbrž videlo že stotine ljudi.

nejcek74 ::

pwnd in Adobe account, lepo, lepo, j**** multinacionalke

SimplyMiha ::

Saj na cartmanovi sliki piše, da imajo tudi gesla. Če uporabljate eno geslo za vse račune, ste najebali.

Izi ::

Ni panike. Meni pokaže, da moj glavni mail ni pwnan, pri tistem, ki ga že dolga leta uporabljam za igranje online iger pa so mi ukradli geslo za Dungeons & Dragons Online.

Po moje je najbolj pametno, da za različne stvari uporabljaš različne email naslove. Vsekakor se s tistim emailom, ki ga uporabljaš za bančne zadeve in Paypal ne gre prijavljati na razne forume in za igranje iger.

Zgodovina sprememb…

  • spremenil: Izi ()

dronyx ::

Tule je seznam vdorov, ki naj bi bili v bazi na "Have I Been Pwned". Pogrešam Yahoo z milijardo računi.

krucymucy ::

dropbox mi je vrglo ven edino.

dronyx ::

lambda je izjavil:

Full paranoia mode. Saj je samo mail naslov, kaj lahko naredijo z njim? Tvoj mail naslov je najbrž videlo že stotine ljudi.

Taka spletna stran verjetno že ima zelo obsežno bazo e-naslovov in uporabniških imen. Kar pa še lahko dobi je to, kateri naslovi in uporabniška imena pripadajo isti osebi (piškotki, IP naslovi). To pa je problem, saj večina nas uporablja več naslovov. Če jim zlikovci ukradejo te podatke (seveda vprašanje če jih načrtno zbirajo), potem lahko ista gesla preizkušajo na vseh tvojih e-naslovih in uporabniških računih!

In verjamem, da je spletna stran postavljena dobronamerno.

Zgodovina sprememb…

  • spremenil: dronyx ()

harmony ::

Ne vem kaj se sekirate za vase email naslove. Ce ne vpisete vi vasega naslova, bo to storil vas prijatelj. Pac spam gor dol, sej mate anti-spam filtre. Tisto kar bi seveda bilo neumno je, da se moras kao loginat npr. v gmail account in pol od tam kaj dovoliti bla bla...kot razne fejsbuk igre in ostal srot.

Pegaz ::

> Upam da so "Have I Been Pwned" vredni zaupanja in ne zbirajo elektronskih naslovov za spam. Danes me nič več ne preseneti.

Za zasebnost podatkov je prepozno, tvoj email & drugi podatki se pač nahajajo v hekerskih krogih + javnih krogih. Če želiš, najdi dostop do originalnih baz in skopiraj te maile... Kar ta stran naredi je, da ti pove, v kateri od teh baz se je email pojavil.

Za zaščito zasebnosti ne bo prikazal, če se je tvoj mail pojavil v kakšni "adult website" bazi.

Zmajc ::

haha trash gmail acc .... you have been pwned 6 times.

Na glavnem 1x ... Linkedin 2012.

Zgodovina sprememb…

  • spremenil: Zmajc ()

#000000 ::

mene ne morjo, mam vse gesla čefurčefurkdoječefurjestnisemčefur 123 šiptar prodaja sladoljed,abezemo des ti zaostao

Tomay ::

Adobe in dropbox. Zanimivo :)

Bo preventivno potrebno gesla zamenjat 18 znakov ali več z šumniki in presledki, za vsak slučaj.
Voodoo 4Ever

c3p0 ::

Baze pa ne objavijo. Torej, do baze imajo dostop oni in črni trg. I feel safe now.

Iatromantis ::

c3p0 je izjavil:

Baze pa ne objavijo. Torej, do baze imajo dostop oni in črni trg. I feel safe now.

Verjetno so jo kupili in vsaj zastonj lahko pogledaš vanjo. Te baze se prodajajo na veliko - Pastebin je poln reklam za prodajo teh baz - vrj tu ni najboljše objavljati teh linkov - tudi haveibeenpwnd ne bodo objavili baz, da se ne zlorabijo še bolj - dovolj je, da lahko pogledaš oz. se naročiš na obvestila, če se kaj čudnega dogaja s tvojimi računi.

FireSnake ::

Izi je izjavil:

Ni panike. Meni pokaže, da moj glavni mail ni pwnan, pri tistem, ki ga že dolga leta uporabljam za igranje online iger pa so mi ukradli geslo za Dungeons & Dragons Online.


Kje si prišel do informacije da gre ravno za Dungeons & Dragons Online?
Poglej in se nasmej: vicmaher.si

Shegevara ::

dronyx je izjavil:

lambda je izjavil:

Full paranoia mode. Saj je samo mail naslov, kaj lahko naredijo z njim? Tvoj mail naslov je najbrž videlo že stotine ljudi.

Taka spletna stran verjetno že ima zelo obsežno bazo e-naslovov in uporabniških imen. Kar pa še lahko dobi je to, kateri naslovi in uporabniška imena pripadajo isti osebi (piškotki, IP naslovi).


Za, za vsak slučaj sem se povezal na spletno storitev preko mobilnih podatkov med vožnjo na avtobusu. V najslabšem primeru imajo moj email. Big deal, v najslabšem primeru bo kakšna spam-pošta več. Vse to itak že filter zmeče v koš.

Opazil sem, da so mi hacknili tumblr in lastfm account. Imel sem druge passworde kot za moj poštni predal tako da sem na varnem. Tudi password za email menjam tam nekje na vsake 2 meseca.

Heavy ::

Gmail je ok, hotmail pa 1x padel.
#TeamFelix

harmony ::

Shegevara je izjavil:


Tudi password za email menjam tam nekje na vsake 2 meseca.

Se boljse multi faktor avtentikacija.

Zmajc ::

Sem kar vklopil 2 step verification na "kompromitiranem" računu ter spremenil geslo.

Izi ::

FireSnake je izjavil:

Izi je izjavil:

Ni panike. Meni pokaže, da moj glavni mail ni pwnan, pri tistem, ki ga že dolga leta uporabljam za igranje online iger pa so mi ukradli geslo za Dungeons & Dragons Online.


Kje si prišel do informacije da gre ravno za Dungeons & Dragons Online?

Točno ti napiše za vsak breach, kjer je bil notri najden tvoj email.
Tukaj je bil pwnan moj igričarski email:

Dungeons & Dragons Online: In April 2013, the interactive video game Dungeons & Dragons Online suffered a data breach that exposed almost 1.6M players' accounts. The data was being actively traded on underground forums and included email addresses, birth dates and password hashes.

Compromised data: Dates of birth, Email addresses, IP addresses, Passwords, Usernames, Website activity

Zato se v račune online iger vedno vpisuje lažne podatke in uporablja zastonjske email račune ;)

Zgodovina sprememb…

  • spremenil: Izi ()

Zmajc ::

Osebno vse račune za plačljive MMOje/online igre prensel na svoj main email račun ter vsepovsod vklopil 2 step verification.

Če maš fake podatke se lahko slatko jebesh pri dokazovanju da je račun tvoj v primeru kakih koli težav.

Zgodovina sprememb…

  • spremenil: Zmajc ()

Horejšio ::

In po tem se še kar prodaja oblake kot najjačo in najvarnejšo rešitev. Khm.

Lonsarg ::

Kljub vsemu moraš dandanes imeti res konkretno varnost na lastni infrastrukturi, če hočeš sploh izenačiti z cloud ponudniki, kaj šele preseči.

Je pa tko, vse se konča pri denarju, od cloud ponudnika, ki ti account da zastonj ne pričakovat ne vem kakšne varnosti. Imajo ponavadi plačljive stranke na ločeni bolj zaščiteni infrastrukturi.

njyngs ::

Saj niti nima veze, če si na pwned listi... če takoj po vseh (znanih) napadih in na neko periodo menjavaš gesla, potem je čist OK. Tukaj so password managerji kar legit, ker že sami znajo menjat gesla na ogromno mestih + probajo te prisilit v daljša naključno generirana gesla, da se izogneš pouporabi.

SimplyMiha ::

Dokler ne shekajo password managerja. Vsa jajca v eni košari? Mokre sanje hekerjev.

njyngs ::

Tudi to je res. Lahko pa ti genij kak predlog daš, kako se maksimalno zavarovati in hkrati ne imeti povsod enakih gesel (in nekega svojega algoritma za gesla).

Tr0n ::

Svoj algoritem za geslo, ki ga imas v glavi in je vezan na stran, v katero se loginas. :)

njyngs ::

Do neke mere to deluje. Sem opustil to :)


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Razkritih 80 milijonov gesel

Oddelek: Novice / Varnost
3113866 (7752) slothec
»

Na prodaj gesla uporabnikov VKontakte

Oddelek: Novice / Kriptovalute
55750 (4819) SeMiNeSanja
»

php+enkripcija gesla

Oddelek: Programiranje
162198 (1703) Housy
»

java in mysql -> preveri geslo

Oddelek: Programiranje
61247 (1097) Goldee
»

Skrivanje gesel

Oddelek: Izdelava spletišč
393170 (2410) Tr0n

Več podobnih tem