- Самая большая утечка в истории: более 8,4 млрд паролей пользователей Интернета выложили в Сеть
- Пользователями Интернета являются всего около 4,7 миллиарда человек
- Из iPhone можно вытащить пароли ко всем сервисам. Эту «дыру» невозможно исправить
- Глобальная проблема iPhone
- Как работает уязвимость
- Риск взлома невелик
- Массовые угрозы взлома
- Произошла крупнейшая в истории утечка паролей. Под ударом все пользователи интернета
- Утечка тысячелетия
- Насколько опасна утечка
- Как защититься от взлома
- Пароли сливают в Сеть миллиардами
- Хит-парад паролей (анализ
- 10 самых популярных паролей:
- А вот так выглядят 10 самых популярных паролей из утечек только за 2019 год:
- 10 самых популярных паролей, содержащих только буквы:
- 10 самых популярных паролей, содержащих буквы, цифры и спецсимволы:
- 10 самых популярных кириллических паролей:
Самая большая утечка в истории: более 8,4 млрд паролей пользователей Интернета выложили в Сеть
Пользователями Интернета являются всего около 4,7 миллиарда человек
Как сообщает CyberNews, на популярном хакерском форуме был опубликован огромный текстовый файл размером около 100 ГБ, который содержит 8,4 миллиарда паролей, полученных в результате различных утечек и взломов данных.
По словам автора файла, все пароли имеют длину от 6 до 20 символов. Он утверждает, что сборник содержит 82 миллиарда паролей. Однако CyberNews подсчитал, что фактическое число оказалось почти в десять раз меньше — 8 459 060 239 уникальных записей.
Еще в 2009 году произошла огромная утечка данных под названием RockYou. В то время «злоумышленники взломали серверы сайта социального приложения и заполучили более 32 миллионов паролей пользователей, хранящихся в виде простого текста». Новую подборку паролей назвали RockYou2021.
Ранее самая большая утечка данных включала 3,2 миллиарда сочетаний электронной почты и пароля. Информация была создана на основе существующих данных, украденных у таких компаний, как Netflix и LinkedIn. Новый сборник содержит более 8,4 миллиарда паролей, при этом население нашей планеты составляет менее 8 миллиардов человек, а пользователями Интернета являются всего около 4,7 миллиарда человек. Скорее всего, в этом списке есть и ваши пароли.
Объединив 8,4 миллиарда уникальных вариантов паролей с другими компиляциями взлома, которые включают имена пользователей и адреса электронной почты, злоумышленники могут использовать коллекцию RockYou2021 для создания словаря паролей и атак с использованием паролей против бесчисленного количества онлайн-учетных записей. Поскольку большинство людей повторно используют свои пароли в нескольких приложениях и на веб-сайтах, количество затронутых в результате этой утечки учетных записей потенциально может достигать миллионов, если не миллиардов.
CyberNews также предлагает проверить, не находятся ли ваши пароли в этой базе.
Источник
Из iPhone можно вытащить пароли ко всем сервисам. Эту «дыру» невозможно исправить
Все смартфоны с Apple, начиная с iPhone 5S и заканчивая iPhone X, могут быть взломаны из-за таящейся в них аппаратной уязвимости, которую невозможно пропатчить. Проблема касается также и планшетов iPad, построенных на процессорах от А7 до А11. В новых моделях смартфонов и планшетов подобная «дыра» отсутствует.
Глобальная проблема iPhone
В смартфонах iPhone компании Apple выявлена новая уязвимость, угрожающая сохранности персональных данных их владельцев. «Дыру» обнаружили специалисты китайской команды разработчиков Pangu, и ее невозможно устранить путем выпуска патча к прошивке.
Эксперты Pangu отмечают, что для взлома смартфонов и планшетов Apple используется эксплойт Checkm8, который также применялся для джейлбрейка ряда версий iOS. Доступ к персональным данным осуществляется путем подбора пароля.
По умолчанию iOS блокирует устройство после десяти неверных попыток ввода пароля, но уязвимость Checkm8 позволяет обойти это ограничение. В итоге в руки хакера попадают все пароли владельца гаджета, включая данные для авторизации на различных ресурсах, включая Apple ID. Дополнительно он получает доступ к биометрическим данным, используемым системами безопасности Touch ID и Face ID.
Как работает уязвимость
Проблема кроется в модуле SEP (Secure Enclave Processor), используемом в iPhone iPad для хранения конфиденциальных, а также биометрических данных пользователя.
В составе мобильных гаджетов Apple SEP используется с 2013 г. – впервые он появился в составе процессора Apple A7, на котором базировались вышедшие в том же году смартфон iPhone 5S и планшеты iPad Air первого поколения и iPad mini 2.
По данным Pangu, самые современные iPhone взлому путем использования уязвимости в SEP не подвержены. Девелоперы отмечают, что проблема характерна для устройств на чипах с А7 по А11 включительно, так что владельцы iPhone и iPad на базе более современных А12 и А13, вышедших осенью 2018 г. и позднее, вне опасности.
Риск взлома невелик
Несмотря на то, что под угрозой утечки персональных данных оказались десятки и сотни миллионов владельцев устройств Apple, бояться им особенно нечего. Тот факт, что Apple не сможет удаленно устранить уязвимость программным способом, тоже не должен стать причиной для паники.
Для того, чтобы хакер смог провести взлом и украсть личные данные, ему потребуется получить физический доступ к устройству. Также у него может уйти определенное время на подбор пароля к iPad или iPhone, за которое подлинный владелец устройства может удаленно заблокировать его, попутно стерев всю информацию из его памяти.
Массовые угрозы взлома
Apple во второй раз за 2020 г. поставила владельцев своих гаджетов под угрозу утечки персональных данных. В середине мая 2020 г., как сообщал CNews, в штатном почтовое приложение (Mail) в смартфонах Apple iPhone была найдена серьезная брешь в системе безопасности.
С ее помощью хакеры могли взломать устройство, притом, в отличие от проблемы с сопроцессорами SEP, сделать это они могли удаленно. К тому же, если в случае с SEP проблема коснулась лишь определенных устройств, то данной уязвимости были подвержены все смартфоны Apple, число которых во всем мире, по данным самой компании, превышает 900 млн. Более того, об этой проблеме Apple узнала как минимум за месяц до того, как информация о ней проникла в интернет, но ее ИБ-эксперты не посчитали ее серьезной.
На самом деле, баги, позволяющие красть персональные данные владельцев гаджетов, присутствовали в iOS и раньше. Так, в феврале 2013 г. подобная проблема была выявлена в iOS 6.1 – она позволяла злоумышленникам, завладевшим iPhone с этой версией платформы, получать доступ к содержимому памяти, включая фотографии, контакты и другую персональную информацию, минуя пароль. Для того чтобы преодолеть парольную защиту, вору было необходимо всего лишь выполнить определенную серию манипуляций с устройством. Она включала нажатие на кнопку питания, кнопку «Экстренный вызов» и кнопку возврата на домашний экран, после чего нужно было подключить подключи гаджет к произвольному компьютеру с приложением iTunes. При этом в iTunes никакого пароля вводить для синхронизации не требовалось, и в итоге у злоумышленника открывался полный доступ ко всей информации в памяти устройства.
Источник
Произошла крупнейшая в истории утечка паролей. Под ударом все пользователи интернета
В свободном доступе в Интернете оказался файл с 8,2 млрд паролей. Это больше всего населения Земли и почти вдвое больше суммарного количества пользователей интернета. Вероятность взлома при помощи этого файла тем выше, чем чаще конкретный пользователь использует один и тот же пароль в разных сервисах.
Утечка тысячелетия
Хакеры выложили в открытый доступ файл с более чем 8 млрд паролей. По информации профильного портала CyberNews, документ имеет объем около 100 ГБ и содержит свыше 8,459 млрд строчек, каждая из которых – это отдельный пароль. Это крупнейшая утечка паролей в истории человечества.
Распространение файла началось с неназванного хакерского форума. В Сеть его выложил пользователь под псевдонимом RockYou2021, и сам файл называется так же. Возможно, это отсылка к утечке RockYou, произошедшей в 2009 г.
12 лет назад файл RockYou тоже содержал скомпрометированные пароли, но их в нем было приблизительно в 262 раза меньше. Он насчитывал 32 млн строк.
По заявлениям самого RockYou2021, в одноименном файле содержатся 82 млрд паролей. Тем не менее, специалисты CyberNews, получившие к нему доступ, заявляют о наличии именно 8,459 млрд записей. В их числе простые и сложные пароли длиной от 6 до 20 символов, включая сложные комбинации букв, цифр и символов.
Насколько опасна утечка
По данным портала Worldometer, население Земли на момент публикации материала превышало 7,87 млрд человек. Таким образом, количество утекших паролей превышает суммарное число жителей планеты.
Согласно подсчетам CyberNews, количество интернет-пользователей во всем мире находится в пределах 4,9 млрд человек. Исходя из этого, вероятность обнаружить пароль в списке высока.
Появление в свободном доступе файла RockYou2021 может нанести значительный ущерб приватности пользователей. Киберпреступники, к примеру, могут комбинировать 8,4 млрд уникальных вариантов паролей из этого файла другими данными из подобных баз, утекших ранее. Это могут быть, к примеру, базы с адресами электронной почты. Также этот файл может быть использован для создания так называемых «словарей паролей», упрощающих проведение брутфорс-атак (взлом аккаунтов при помощи специального ПО методом перебора паролей.
Вероятность стать жертвой взлома, при осуществлении которого использовался файл RockYou2021 в ряде случаев может быть высокой. В зоне повышенного риска пользователи, использующие один и тот же пароль для самых разных сервисов. По оценке CyberNews, с несанкционированным доступом к профилям могут столкнуться миллиарды пользователей.
Как защититься от взлома
Снизить вероятность взлома аккаунтов после утечки RockYou2021 можно в первую очередь путем смены паролей. Лучше всего использовать сложные комбинации, применять разные пароли для разных сервисов и хранить их в офлайновом менеджере паролей.
Специалисты CyberNews также рекомендуют использовать двухфакторную авторизацию во всех сервисах, где она доступна. Как правило, владельцы веб-сервисов реализуют ее в виде кода подтверждения, отправляемого на заранее указанные электронную почту или номер телефона.
Пароли сливают в Сеть миллиардами
Специалисты портала CyberNews и специализирующегося на информационной безопасности онлайн-издания BoyGeniusReport считают RockYou2021 самой крупной утечкой паролей за всю историю существования цивилизации. Однако предыдущий рекорд был установлен сравнительно недавно – в первых числах февраля 2021 г.
По информации BoyGeniusReport, тогда в Сеть попали 3,2 млрд связок логин/пароль почтовых адресов пользователей сервисов Gmail и Hotmail. Этот файл с паролями представляет собой объединенную базу с данными, полученными в результате множества предыдущих утечек.
Все эти пароли в разное время были украдены в результате атак на различные сервисы. Издание привело в пример адаптированный для России в октябре 2020 г. стриминговый сервис Netflix и, наоборот, заблокированную в России соцсеть LinkedIn (принадлежит Microsoft).
LinkedIn и раньше фигурировала в топах утечек паролей. Так, в ноябре 2019 г. CNews рассказывал, что неизвестные выложили в интернет базу с 1,2 млрд паролей. Тогда под удар попали пользователи соцсетей Facebook, LinkedIn и Twitter.
Что немаловажно, эта база с паролями отличается от файла RockYou2021. Последний «весит» 100 ГБ и представляет собой просто сборник паролей, тогда как ноябрьская база имеет объем 4 ГБ. Автор тщательно структурировал все данные, рассортировал и скомпоновал их для удобства тех, в чьи руки она попадет.
Источник
Хит-парад паролей (анализ
5 млрд паролей из утечек)
В прошлом году мы в DeviceLock провели анализ утекших паролей. На тот момент в нашей «коллекции» паролей было около 4 млрд уникальных пар логин/пароль. За время, прошедшее с прошлого исследования, «коллекция» пополнилась почти 900 млн новыми уникальными логинами и паролями. Кстати, следить за обновлениями «коллекции» паролей можно через мой авторский Telegram-канал «Утечки информации».
Пришло время нового исследования. Поехали.
В исследование вошло примерно 4,9 млрд уникальных пар логин/пароль. Под логином в данном случае понимается адрес электронной почты. Те пары, в которых в качестве логина использовалось имя пользователя, не являющееся адресом электронной почты, были дисквалифицированы и не повлияли на результат исследования.
Отдельно отмечу, что за все время (начиная с самого первого исследования паролей в 2017 году) нами было проанализировано 29,5 млрд паролей (включая неуникальные).
Источниками анализируемых данных для нас служат различные сообщества, занимающиеся восстановлением паролей из хешей (например, hashes.org) и теневые форумы, где в открытый доступ выкладываются массовые утечки расшифрованных (восстановленных) и хешированных паролей.
Мы стараемся максимально очищать данные от «мусора» (пустых и повторяющихся записей). Выявляем и дисквалифицируем автоматически сгенерированные пароли (те, которые устанавливают не пользователи сами, а сервис, допустивший утечку этих самых паролей), а также массовые автоматические регистрации (когда учетные записи на том или ином сервисе, допустившем утечку, заводятся ботами). Кириллические символы приводятся к единой кодировке.
За 2019 год можно отметить следующие крупные утечки (свыше 25 млн пар логин/пароль), попавшие в данное исследование:
- генеалогический сервис «MyHeritage» — 180 млн
- приложение для фитнеса и учета питания «MyFitnessPal» — 49 млн
- облачный сервис создания видео «Animoto» — 40 млн
- онлайн магазин одежды «Shein.com» — 31 млн
- образовательный портал «Chegg» — 29 млн
- разработчик онлайновых игр «Zynga» — 26 млн
Хочу обратить внимание на то, что цифры в списке выше, это не размер утечки, допущенной тем или иным сервисом, а количество расшифрованных паролей, доступных на момент данного исследования. Сами эти утечки могли происходить и раньше 2019 года, однако только в 2019 году стали доступны расшифрованные пароли.
На момент исследования в базе паролей:
- 4,883,711,954 всего паролей (было 4,039,047,139)
- 779,281,749 паролей содержат только цифры (было 652,395,037)
- 1,275,706,800 паролей содержат только буквы (было 1,060,863,995)
- 13,696,084 паролей содержат буквы кириллического алфавита (было 12,205,832)
- 159,948,243 паролей содержат буквы, цифры и спецсимволы (было 129,628,109)
- 3,126,556,695 паролей содержат 8 и более символов (было 2,604,395,502)
На основании этих данных был составлен наш традиционный «хит-парад» паролей. В скобках указывается старое место записи в топе (если она в него попадала ранее), жирным шрифтом (болдом) – новые записи, которые не попадали в топ ранее.
10 самых популярных паролей:
Как видно, никаких существенных изменений в пределах первой десятки не произошло, лишь некоторые записи поменялись местами. Интересно, что точно такая же картина наблюдается и в пределах первых ста паролей. Самое существенное изменение — это появление в конце первой сотни паролей «zinch», «princess» и «sunshine».
А вот так выглядят 10 самых популярных паролей из утечек только за 2019 год:
Нетрудно заметить, что принципиальной разницы с общим Топ-10 (см. выше) паролей нет.
10 самых популярных паролей, содержащих только буквы:
10 самых популярных паролей, содержащих буквы, цифры и спецсимволы:
10 самых популярных кириллических паролей:
Здесь самое существенное изменение в пределах первой сотни — это появление в самом конце пароля «вампир».
Источник