Надежда Попова (congregatio) wrote,
Надежда Попова
congregatio

Вниманию жежистов! Важно! Наверное

Сразу говорю, я понятия не имею, так это или нет. Письма, упомянутого ниже, мне ЖЖ не присылал. Но пароль я на всякий случай поменяла. Лучше уж я побуду параноиком и паникером, чем недобдю.

Из телеги:

Удивительная история произошла с Живым Журналом (помните такой сервис?)
Слухи о том, что некая база паролей уплыла от них и продаётся на рынке, ходили уже пару лет. И вот вчера, наконец, эта самая база оказалась в открытом доступе, немало удивив исследователей. Судя по охвату (33 миллиона аккаунтов; знакомые Ватфору аккаунты там есть решительно все, кроме, разве что, Дианы Михайловой) и содержанию — e-mail, логин в ЖЖ, пароль — это не какая-то там синтетическая база, собранная из разных источников, а самая что ни на есть база ЖЖ, по состоянию приблизительно на 2017 год.
Это означает, что либо сервис сам хранил все пароли в открытом виде, либо где-то внутри их серверного кода стояла закладка, старательно собиравшая и отправлявшая их налево. И то, и другое — совершенно за гранью добра и зла. Равно как и сегодняшняя реакция ЖЖ, который где-то в середине дня начал рассылать пользователям вежливые письма в духе "вы давно не меняли пароль, но мы беспокоимся о вашей безопасности и рекомендуем сменить". Обратили, короче, позорный недуг в подвиг.
Но мы не об этом. Действуя в своём профессиональном интересе, ваш автор построил из базы словарь паролей и отсортировал их по встречаемости. И оказалось, что помимо типичных qwe123 в TOP 100 базы входят пароли, которые явно принадлежат огромным ботофермам. Ближайшее рассмотрение подтвердило — все эти аккаунты были зарегистрированы либо на один мэйл, либо на мэйлы в одном домене. Из сотни топовых паролей таких, принадлежащих массовым регистрациям, — около 30. Самая крупная ферма (и по совместительству самый часто встречающийся пароль в ЖЖ — Million2) владела 143 тысячами аккаунтов. Из владельцев ферм сходу удалось обнаружить некую компанию black pr studio, присваивавшую своим ботам пароль Mega_Pizdetz666 (13 тысяч аккаунтов) и фрилансера Костика из города Гомель, который увековечил в пароле своё имя (4500 аккаунтов). Костик, кстати, творчески генерировал имена своим ботам, подделываясь под существующих пользователей. Так среди первых же зарегистрированных им логинов были drufoi, frugoi, odessist и т.п.
Морали тут, собственно, никакой нет, кроме необходимости немедленно поменять пароль, даже если вы туда сто лет не ходили. Ну и мониторить дальнейшие новости — а то мало ли какая там сейчас ситуация с хранением паролей.
Tags: сетевая жЫзнь
Subscribe

  • Заклепали

    Хех, фейсбучег напомнил обсуждение несколько лет назад... И из комментариев под книгой френда: "зачем вы мне суете эту вашу археологию, я…

  • Культура, ёпт

    Вчера вечером знатно поорали с мужем, сегодня утром я буду орать тут. К вопросу о культуре. Итак, Музей-усадьба Кусково. Учреждение,…

  • На Руси жить хорошо

    Точно-точно. В РИ любой крестьянин мог купить колбасу без очереди! И дефицита не было, всего было навалом. Всякий бурлак мог просто зайти в любой…

Buy for 50 tokens
Buy promo for minimal price.
  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your IP address will be recorded 

  • 46 comments

  • Заклепали

    Хех, фейсбучег напомнил обсуждение несколько лет назад... И из комментариев под книгой френда: "зачем вы мне суете эту вашу археологию, я…

  • Культура, ёпт

    Вчера вечером знатно поорали с мужем, сегодня утром я буду орать тут. К вопросу о культуре. Итак, Музей-усадьба Кусково. Учреждение,…

  • На Руси жить хорошо

    Точно-точно. В РИ любой крестьянин мог купить колбасу без очереди! И дефицита не было, всего было навалом. Всякий бурлак мог просто зайти в любой…