новый тип: нигерийские письма с угрозами

Oct. 27th, 2020 12:35 pm
imfromjasenevo2026: (Default)
[personal profile] imfromjasenevo2026
....Я выпущу и отправлю ваше обнаженное и сексуальное видео всем сотрудникам УНИВЕРСИТЕТА .... и всем вашим контактам в социальных сетях. Все видео и сопутствующие документы, найденные на вашем устройстве, будут удалены как как только я получу от вас платеж .. Не связывайтесь со мной, так как это сгенерированный почтовый адрес .. отправьте сумму немедленно...
Tags:
  • Add Memory
  • Share This Entry
Flat | Top-Level Comments Only

Date: 2020-10-27 04:30 pm (UTC)
From: [identity profile] mbla.livejournal.com
Ха-ха, они на всех языках и на все руки мастера, я тоже получила

Date: 2020-10-27 06:51 pm (UTC)
From: [identity profile] yaceya.livejournal.com
Учитывая что пару миллиардов паролей уперли у яху (плюс ещё нескольких сервисов) довольно давно народ плохо меняющий пароли получает письма "вот твой пароль, я записывал все что ты делаешь на своем компе - дай денег, а то об этом все узнают"

Date: 2020-10-27 07:01 pm (UTC)
From: (Anonymous)
Как это "упёрли пару миллиардов паролей"?
Серьёзно? Эти скоты хранят пароли а не хэши?
Никогда бы не подумал что в наше время такое возможно для публичного сервиса.

А есть названия этих "ещё нескольких сервисов", чтобы знать, чем точно никогда не нужно пользоваться?

Date: 2020-10-27 07:55 pm (UTC)
From: [identity profile] yaceya.livejournal.com
Вконтакте (и ещё несколько сервисов) хранил пароли незакодировано.
Яху хранил пароли по классической схеме когда сам пароль из базы не вынешь, а только ответ правильный пароль или нет, но когда такая база уперта пароли (если они не сгенерированы полноценным генератором паролей) довольно активно ломаются. Даже если речь идет не о паролях вроде gfhjkm или gfccdjhl, а о полноценных цифро-буквенных комбинациях. Учитывая что пользователи вообще имеют не слишком хорошие пароли и на сервисах вроде яху их меняют мало - это вполне достаточно чтобы взлом пароля был всего-лишь вопросом времени. Вполне достижимого. Поэтому подобный способ хранить пароли - это лучше чем совсем в простом текстовом файле, но если базу уперли владелец сервиса просто обязан заставить всех сменить пароли.
Я список этих сервисов не помню, но могу погуглить. Меня там особенно шокировали те, которые прямо в 2010х хранили пароли текстом.

Date: 2020-10-27 09:41 pm (UTC)
From: (Anonymous)
А, значит, Яху хранил хэши, всё-таки.
Это хорошо, значит, мир не совсем ещё ополоумел.

Единственное оправдание хранения паролей в виде текста - это возможность автоматически отправить пользователю забытый пароль на запасной email. Но, времена, когда это было нормальной практикой, прошли лет 20 назад.

ВКонтакте - это гбшный сервис, думаю, они не просто хранят пароли открытым текстом, но ещё и прямо в датацентре на Лубянке.

Если украли базу хэшей, это тоже проблема, но несравнимо меньшая.
Что касается "взлома" (подбора) хэша, то, если слово не из словаря, и если это не MD5, а какой-либо "медленный" алгоритм, то хакеры быстро устанут подбирать миллионы паролей. Но, разумеется, если речь идёт об известном человеке или небольшой группе - тут могут подобрать, если есть мощности.
И, разумеется, приличный сервис должен использовать медленные алгоритмы для хэширования, они есть, и придуманы специально для этого.

Чисто для прикола, можете набрать в гугле "md5 dehasher" или "md5 decrypt" (найдётся куча сайтов) и посмотреть, есть ли у них в базе хэш вашего пароля.

Вычислить хэш пароля можно на другом таком же сайте, но, лучше локально, чтобы не пополнять их базы. В консоли линукс/мак:
echo "your-passowrd" | md5
Вот, например, хэш слова "хуй" (в кодировке unicode):
0610899fa9a3a4300e375ce582762273

Как нетрудно убедиться, большинство сайтов-дехэшеров его не знают, так что не всё так уж и плохо. С другой - если ввести это в гугол - найдётся довольно много чего.

Date: 2020-10-27 10:42 pm (UTC)
From: [identity profile] yaceya.livejournal.com
Да, сам яху по крайней мере хэши хранил. С ним основной скандал был в том что уперли у них много и они даже не сразу поняли (или признали) сколько.
И хакеры вовсе не устали подбирать - говорю ж, поскольку люди пароли меняют мало, используют заново подбираются даже вполне "несловарные" пароли. Ну и, конечно, словари сегодня разрослись (особенно потому что люди с других сайтов вполне могли использовать тот же пароль на яху). Т.е. пароль упертый из вконтакте, рамблера или кого-то ещё становится "словарным" для остальных сайтов.
А кроме вконтакте вы можете убедиться в этом списке перечислено ещё несколько российских серверов. Ну и всякие там живые журналы вроде в списке мелькали (не в этом, но по-моему они тоже были уперты простым текстом).

Date: 2020-10-27 08:01 pm (UTC)
From: [identity profile] yaceya.livejournal.com
Это не тот список, который я помнил, но вполне включает как минимум часть тех сайтов что запали в память:
https://www.upguard.com/blog/biggest-data-breaches

Date: 2020-10-27 07:04 pm (UTC)
From: (Anonymous)
- Я выпущу и отправлю ваше обнаженное и сексуальное видео всем сотрудникам и всем вашим контактам в социальных сетях.
- Да, пожалуйста, сделайте одолжение, а то у меня постоянно времени не хватает.

  • Add Memory
  • Share This Entry
Flat | Top-Level Comments Only

Profile

imfromjasenevo2026: (Default)
imfromjasenevo2026

December 2025

S M T W T F S
 1 23 4 5 6
7 8 910 11 12 13
14151617 18 19 20
21 22 23242526 27
28 293031   

Most Popular Tags

Page Summary

Style Credit

Expand Cut Tags

No cut tags
Page generated Jan. 15th, 2026 03:04 am
Powered by Dreamwidth Studios