Seoded.ru У «Живого Журнала» увели пароли блогеров
Удивительная история произошла с «Живым Журналом» (помните такой сервис?).
Слухи о том, что некая база паролей «уплыла» от них и продаётся на рынке, ходили уже пару лет. И вот вчера, наконец, эта самая база оказалась в открытом доступе, немало удивив исследователей. Судя по охвату (33 миллиона аккаунтов; знакомые «Ватфору» аккаунты там есть решительно все, кроме, разве
что, Дианы Михайловой) и содержанию — e-mail, логин в ЖЖ, пароль — это не какая-то там «синтетическая» база, собранная из разных источников, а самая что ни на есть база ЖЖ, по состоянию, приблизительно, на 2017 год.
Это означает, что либо сервис сам хранил все пароли в открытом виде, либо где-то внутри их серверного кода стояла «закладка», старательно собиравшая и отправлявшая
их «налево». И то, и другое — совершенно за гранью добра и зла. Равно как и сегодняшняя реакция ЖЖ, который где-то в середине дня начал рассылать пользователям вежливые письма в духе «Вы давно не меняли пароль, но мы беспокоимся о вашей безопасности и рекомендуем сменить». Обратили, короче, позорный недуг в подвиг.
Но мы не об этом. Действуя в своём профессиональном интересе, ваш автор построил из базы словарь паролей и отсортировал их по
«встречаемости». И оказалось, что помимо типичных «qwe123» в TOP 100 базы входят пароли, которые явно принадлежат огромным ботофермам.
Ближайшее рассмотрение подтвердило — все эти аккаунты были зарегистрированы либо на один «мэйл», либо на «мэйлы» в одном домене. Из сотни топовых паролей таких, принадлежащих массовым регистрациям — около 30.
Самая крупная «ферма» (и по совместительству —
самый часто встречающийся пароль в ЖЖ «Million2») владела 143 тысячами аккаунтов. Из владельцев «ферм» сходу удалось обнаружить некую компанию black pr studio, присваивавшую своим ботам пароль Mega_Pizdetz666 (13 тысяч аккаунтов) и фрилансера Костика из города Гомель, который увековечил в пароле своё имя (4500 аккаунтов). Костик, кстати, творчески генерировал имена своим ботам, подделываясь под существующих пользователей. Так среди первых же зарегистрированных им логинов были
«drufoi», «frugoi», «odessist» и т. п.
Морали тут, собственно, никакой нет. Кроме необходимости немедленно поменять пароль, даже если вы туда сто лет не ходили. Ну, и мониторить дальнейшие новости — а то мало ли какая там сейчас ситуация с хранением паролей.