ваш е-мэйл не обнаружен в базах злоумышленников ))

Игорь написал(а):

ваш е-мэйл не обнаружен в базах злоумышленников ))

+1

Пользователи "ВКонтакте" сами виноваты, что их пароли взламывают
03.08.2009

В прошлый четверг интернет облетела ужасная новость: украдены логины и пароли ста сорока тысяч пользователей "ВКонтакте". Однако как оказалось украсть пароли от самой популярной петербургской социальной сети не так уж сложно.

Как уже писала ГАZЕТА.СПб, главная новость состояла в том, что хакеры записали все украденные логины-пароли в простой текстовый файл, доступный по прямой ссылке любому желающему, а сама эта ссылка по какой-то причине пошла в народ.

145 тысяч — таково было общее число пар логин-пароль по состоянию на вечер 30 июля. За вычетом пустых и откровенно некорректных выражений остается всего 125 тысяч. Общее же число пользователей с уникальными логинами, чьи данные были заботливо сохранены и расшарены, составило чуть более 40 тысяч (то есть порядка 0,1% от числа пользователей сервиса).

При этом администрация "ВКонтакте" достаточно оперативно сбросила засвеченные пароли и выслала каждому пострадавшему временный пароль, так что нашумевшая утечка вряд ли кому-то сильно навредила.

Однако как оказалось многие пользователи сами виноваты в том, что их "взломали". Несмотря на то что, на каждом углу предупреждают: если "ВКонтакте" просит у тебя денег за вход — это не "ВКонтакте", это "Жадноклассники". Однако целые толпы людей, увидев предложение об отправке SMS, возвращались и пытались ввести логин и пароль заново, сообщает webplanet.ru.

Кроме того большое количество пользователей  пользуются так называемыми ненадежными паролями. 1344 человека (или 3,36 процента от 40 тысяч уникальных пользователей) защищают свои персональные данные не только простыми, но и распространёнными паролями (к распространённым относятся те, что встречаются более 10 раз).

20 самых распространенных паролей

Пароль            Кол-во Процент
123456            134      0,34%
123456789      85        0,21%
qwerty             85        0,21%
111111            51        0,13%
1234567890    41        0,10%
7777777          39        0,10%
123321            34        0,09%
666666            33        0,08%
1234567          31        0,08%
123123            29        0,07%
12345678        26        0,07%
qwertyuiop      26        0,07%
qazwsxedc      25        0,06%
000000            23        0,06%
любовь            23        0,06%
555555            22        0,06%
zxcvbnm          20        0,06%
654321            19        0,05%
gfhjkm             19        0,05%
1q2w3e4r        18        0,05%




Примечание 1: Если вдруг кто не догадался, "gfhjkm" — это слово "пароль", набранное в латинской раскладке клавиатуры. Многие считают такой приём очень хитрым.

Примечание 2: Бдительная администрация ресурса с некоторых пор запретила изменять пароли на чисто цифровые, однако создавать новые аккаунты с такими паролями по-прежнему допускается.

Об одном из популярных паролей, не вошедших в ТОП-20, хотелось бы сказать особо.

На странице настроек, в разделе смены пользовательского пароля, администрация разместила следующую нехитрую инструкцию:

Убедитесь, что не включена кнопка CAPS-Lock
Пароль должен быть не менее 6 символов в длину
Ещё лучше — использовать и буквы, и цифры
'kNOpKA' и 'knopka' — разные пароли

Как и следовало ожидать, 16 человек из 40 тысяч (0,04%) выбрали в качестве пароля слово, приведённое в последней строчке. Из них 12 использовали вариант "knopka", 2 — "кнопка" и 1 — "KNOPKA". Ещё одна продвинутая девушка завела себе пароль "ryjgrf", то есть "кнопка" в латинской раскладке.

Ещё один тип массово используемых небезопасных паролей — это даты. Действительно, намного труднее забыть пароль, если он совпадает с чьей-нибудь датой рождения.

Информация же о дате рождения пользователя или его ближайшего окружения зачастую открыта для ознакомления. Более того, сервис за несколько дней предупреждает друзей пользователя о грядущем взломе приближении праздника. Если дата рождения будет всё-таки скрыта, её можно попытаться найти в тех же телефонных базах.

Ежедневная аудитория сайтов в Петербурге. Данные весны 2009 года.

Вообщем с такой политикой безопасности сервиса беспокоиться по поводу фишинга и всяких мелких утечек уже и не надо.

Список популярных паролей, спамерская база электронных адресов и небольшой ботнет, взятый в аренду на чёрном рынке — вот и всё, что нужно, чтобы тихо и не привлекая особого внимания в сравнительно короткие сроки простым перебором взломать аккаунты 3,36% пользователей этого сервиса.

С таким подходом к безопасности страницу "ВКонтакте" могут взломать даже дети.

Алгоритм можно слегка усложнить, добавив проверку на пароль, полностью или частично совпадающий с логином — и вот вам ещё процент с копейками. Даже если в спам-базе будет только половина адресов, которые используются в качестве логинов "ВКонтакте", в конечном итоге окажутся взломанными более 800 тысяч аккаунтов.

Исправлено iPhoeniX (03.08.09 20:19)