Хакер выставил на продажу «более 100 млн аккаунтов ВКонтакте» за 1 биткоин (+ пресс-служба говорит, что база старая и что пользователи были оповещены)

Развитие событий: Правда ли, что «миллионы аккаунтов взломаны»? Антон Носик: мой пароль у взломщиков правильный (12 июня 2016)

Сайт LeakedSource, который занимается мониторингом утечек, проанализировал и в воскресенье опубликовал сводку о базе данных со сведениями о пользователях ВКонтакте. Хакер Peace выставил эти данные на продажу в "дарквебе", пишет издание Motherboard.

Motherboard удалось посмотреть захваченные данные. Издание утверждает, что всего в базе 100 544 934 записи. Они включают в себя имена, фамилии, email, номера телефонов и пароли.

14651565727544[1]

Peace продаёт данные за 1 биткоин, что составляет около $570 на сегодня. База выставлена на маркетплейсе The Real Deal.

 

Motherboard проанализировали сотню случайных записей и обнаружили, что 92 из них дают доступ к активным аккаунтам на сайте. Редакция Motherboard также связалась с российским товарищем, он подтвердил, что пароль в базе верен.

Peace утверждает, что утечка произошла между 2011 и 2013 годом. Это объясняет, почему не у всех аккаунтов в базе есть привязка к мобильному телефону — раньше она не требовалась.

Как пишет LeakedSource, база была предоставлена неким (некой?) Tessa88. Человек с таким же псевдонимом слил базу на 400 с лишним млн аккаунтов MySpace в конце мая.

LeakedSource отмечает, что самый популярный пароль — 123456. Он встречается 709 067 раз. Самая популярная почтовая служба — Mail.ru с 41 132 524 аккаунтов.

Пресс-служба «ВКонтакте» не смогла оперативно предоставить комментарий.

Лучшие комментарии

  • Контекст комментария

    Евгений Красников

    Взлома базы данных ВКонтакте не было, речь идёт о старой базе логинов/паролей, которую мошенники собирали в период с 2011 по 2012 годы.

    Всем упомянутым в ней пользователям данные для входа на страницы менялись принудительно.

    В профилактических целях мы бы хотели ещё напомнить пользователям ВКонтакте о недопустимости установки непроверенного ПО на свои устройства, возможности выбрать двухфактороную аутентификацию в настройках аккаунта и предостеречь от использования простых, легко подбираемых паролей.

  • Контекст комментария

    Андрей Споров

    Не было возможности написать ранее, пишу сейчас.

    Вот мне тут подкинули ссылочку на события ноября 2012 года.
    https://habrahabr.ru/post/159565/

    Обратите внимание, что в этот момент просили не только привязать телефон, но и сменить пароль.

    Если предположить, что ВК знал о каком-то взломе/утечке в те годы (и если считать, что оно было), то ситуация вырисовывается куда как интереснее — знали, но скрыли, и попытались под шумок, привязывая телефоны, сменить пароли. Не раскрывая сути.

    В прочем, я пока к этому отношусь настороженно.

    ____________
    Два сильных факта, каждый из которых бьет в противоположную сторону, но объяснения им нет:
    1. База имеет 100+ млн записей. Такую базу с пустого места не скомпоновать, ни одним ботнетом не собрать. Ни одного Российского сервиса такого нет, чтобы так билось по ВК.
    2. Плейн-текст пароли в базе. Поверить, что в ВК хранили плейн-текстом — не могу. Но при таких пиарщиках, в целом, может и внутри черт знает что происходило на каких-то этапах.

  • Контекст комментария

    Игорь Ашманов Сам себе компания

    если ВК был в курсе про него (и промолчал, а как бы хитренько попытался замять, вынудив пользователей менять пароли), то они подставили кучу людей

    в 2011? Неужели Дуров….? Нет, не может быть!

Добавить 53 комментария

  • Ответить

    Взлома базы данных ВКонтакте не было, речь идёт о старой базе логинов/паролей, которую мошенники собирали в период с 2011 по 2012 годы.

    Всем упомянутым в ней пользователям данные для входа на страницы менялись принудительно.

    В профилактических целях мы бы хотели ещё напомнить пользователям ВКонтакте о недопустимости установки непроверенного ПО на свои устройства, возможности выбрать двухфактороную аутентификацию в настройках аккаунта и предостеречь от использования простых, легко подбираемых паролей.

  • Ответить

    Сколько было живых аккаунтов в 2011 году? Я нагуглил цифру 94 миллионов https://habrahabr.ru/post/123856/
    Слабо верится, что хакеры несколько лет собирали данные обо всех пользователях, никак не использовали, и вдруг решили слить почти даром.
    Если предположить очевидное, что во Вконтакте не хранят пароли в открытом виде, то открывается широкий простор для конспирологических версий, которые так или иначе ведут в дом Зингера.
    Но почему слили сейчас? Что случилось или должно случиться?

  • Ответить

    «База 2011-2012» и «всем упомянутым в ней пользователям данные для входа на страницы менялись принудительно» разительно противоречит тому, что 92 аккаунта из 100 дают доступ к активным аккаунтам на сайте.

  • Ответить

    Лично мной Вконтактик отправлен на помойку после того, как недавно из моего закрытого фотоальбома были были тупо выпилены фотографии, сделанные мной во время мининга на Болотной 6 мая. Обнаружил битые ссылки вместо фоток исключительно в этом альбоме. Такая вот цензура у мудаков из Вконтактика.

  • Ответить

    Куда дебилов-школьников продолжает сливать «базы» различных сервисов — в реальности, собранное через фишинг/ботнеты (неважно, бинарные или через расширения) за годы аккаунты. Никому не нужный мусор, либо не использованный изначально (т.к. цели были другие), либо уже выпотрошенный по этим самым целям. Но журналисты продолжают на это вестись, и все время мы видим это в статьях в СМИ, и более того, постоянно возникают обсуждения, намеки или даже прямые указания, мол, сервис был взломан. Как это уже достало… Зайдите на какой-нибудь античат условный или эксплоит.ин — там такие «взломщиков мировых сервисов» — каждый второй. На переменах между уроками на эти форумы пишет и предложения вывешивает.

  • Ответить

    Сенсация! Любой ботнет собирает любые учетные записи из трафика! Сенсация! За годы таких записей могут накопиться миллионы! Сенсация! Взломан facebook! Взломан gmail! Взломан evernote! Взломан (подставьте по вкусу любой сервис, который используют люди).

  • Ответить

    Заявлено, что в базе данные 100 миллионов аккаунтов.
    Пресс-служба сообщила, что это данные 2011-12 годов.
    В 2011 году во Вконтакте было примерно 100 миллионов аккаунтов.
    Так что если первая цифра верна, то в базе примерно все аккаунты вконтакте на 2011 год и это никак не соберешь троянами, фишингом и т.п.

  • Ответить

    Хотя, знаете, в данном случае все же журналисты правы. Беру свои слова назад конкретно про этот инцидент.

    100М аккаунтов, если они не сгенерированные, и с полной раскладкой по userinfo (хотя ее и можно получать, если требуется в процессе работы) — это все же взлом, а не просто сбор. Для того, чтобы собрать 100М данных, нужно иметь ну очень хороший ботнет. Такого покрытия осуществить в общем случае нельзя (маловероятно).

    Подробнее о наборе данных можно тут почитать:
    https://www.leakedsource.com/blog/vk

    Единственное, что, скорее всего, правда — это то, что взлом/слив был давным давно, т.е. база старая, ей уже несколько лет. Либо ходила по рукам, либо продавалась и перепродавалась (как принято на этих форумах). Т.е. один покупает, а дальше, чтобы отбить затраты и еще заработать — переподает еще 10-рым, но чуть дешевле (иначе они не купят). И так выстраивается пирамида реселлеров. Что, очевидно, в итоге приводит через несколько лет либо к продаже за копейки, либо просто к сливу в паблик (уже одним из десятка, сотни или тысячи покупателей — зависит от товара).

    (Например, как было с исходниками VMware, Windows, Kaspersky и еще рядом других продуктов).

  • Ответить

    В этом смысле PR-служба, как обычно в случае PR, ведет [слегка] нечестно себя. В реальности слив/взлом был. Просто давно. Но для большинства пользователей это не меняет ничего, т.к. пароли и данные они не меняют годами. Боелее того, у многих эти же пароли понаставлены на всех ресурсах и сервисах, что они используют.

  • Ответить

    > Взлома базы данных ВКонтакте не было, речь идёт о старой базе логинов/паролей, которую мошенники собирали в период с 2011 по 2012 годы.

    Если это 100%-ое покрытие базы пользователей, то расскажите, пожалуйста, каким образом (технически) это возможно. Какие расширения, ботнеты или еще иные способы имеют такое количественное покрытие? (100М)

    (Если там нет ситуации, что 90% нагенерировано — а как я понимаю, такой ситуации там нет)

    Боюсь, что здесь слегка вы лукавите.

    Более того, фраза:

    > Всем упомянутым в ней пользователям данные для входа на страницы менялись принудительно.

    Что она означает? Всем пользователем ВК на 2011-2012 года? В базе 100М записей.

  • Ответить

    Муахахаха, а вы посчитайте вообще.
    Как можно залочить 100М пользователей, чтобы никто не заметил?
    По 1 млн в день лочить (все заметят, будет скандал) — 100 дней (три месяца займет процесс)
    По 100К в день — 1000 дней (три года займет процесс)

  • Ответить

    Читаем внимательно:

    > в базе 100 544 934 записи. Они включают в себя имена, фамилии, email, номера телефонов и пароли.

    > Motherboard проанализировали сотню случайных записей и обнаружили, что 92 из них дают доступ к активным аккаунтам на сайте.

    Есть пароли и они на 92% актуальны.

    > Как можно залочить 100 М пользователей, чтобы никто не заметил?

    Не обязательно сразу менять пароли тем, у кого включена двухфакторная авторизация.

  • Ответить

    Да, посмотрел оригинал записи, там говорится про plain-text:
    https://motherboard.vice.com/read/another-day-another-hack-100-million-accounts-for-vk-russias-facebook

    Ну, это крайне веселая история.

    >> Как можно залочить 100 М пользователей, чтобы никто не заметил?
    > Не обязательно сразу менять пароли тем, у кого включена двухфакторная авторизация.

    С какого года она появилась? (1)
    У большинства людей она не подключена (2) — в этом у меня нет никаких сомнений. Телефон привязан, и только. Не более того. Так что аргументация, что «если есть телефон, то значит включена двухфакторная аутентификация» — вранье.

  • Ответить

    Update 6 June: A VK spokesperson denied that the site had been breached, and told Motherboard in an email that the «VK database hasn’t been hacked. We are talking about old logins/passwords that had been collected by fraudsters in 2011-2012. All users’ data mentioned in this database was changed compulsorily. Please remember that installing unreliable software on your devices may cause your data loss. For security reasons, we recommend enabling 2-step verification in profile settings and using a strong password.»

    Забавный там комментарий. Хочу все же знать технический способ как собрать 100М аккаунтов при том что в сети на тот момент их столько же. Мне реально интересно.

    Нужно написать приложение для ВК и оттуда воровать пароли? Но даже приложение для ВК использует не каждый пользователь ВК :)) Как можно у ВСЕХ пользователей украсть ВСЕ данные? А самое главное, ведь не только l/p, но и поля базы другого характера (описывающие пользователя).

  • Ответить

    «Peace provided Motherboard with a dataset containing a total of 100,544,934 records, […] Peace claimed to have access to another 71 million accounts, but decided not to sell them yet.» — т.е. общий объем, да, 171М. Забавно.

    Как тут выше писали про 2/3.

  • Ответить

    Я думаю, это снимает большинство вопросов:

    INSERT INTO `members10` VALUES (10000851, ‘Фатима’, ‘Фатима’, ‘fadzaevserj@yandex.ru’, », », », », », », ‘bhbcnjy’, 0); INSERT INTO `members10` VALUES (10000853, ‘Анатолий Олегович’, ‘Жуковский’, ‘tolikzhukovskij@yandex.ru’, ‘Ленинград’, ‘tolikzhukovskij@yandex.ru’, ‘+79533442046’, ‘2307580’, ‘нету’, », ‘вераисакова’, 79533442046); INSERT INTO `members10` VALUES (10000854, ‘Саша’, ‘Никитин’, ‘nastusik2007@gmail.com’, », », », », », », ‘tfobl1’, 0); INSERT INTO `members10` VALUES (10000855, ‘Марина’, ‘Нужина’, ‘mnuzhina@yandex.ru’, », », », », », », ‘rjkjyrf’, 0); INSERT INTO `members10` VALUES (10000856, ‘Александра’, ‘Швабенландт’, ‘alexa_30@list.ru’, ‘находка’, ‘alexa_30@list.ru’, », », ‘406364721’, », ‘110630’, 0); INSERT INTO `members10` VALUES (10000860, ‘Profile’, ‘Deleted’, ‘theprince@bigmir.net’, ‘Земля’, », ‘80933461ё456’, ‘80000000000’, ‘FUQ’, », ‘bioffy5555’, 0); INSERT INTO `members10` VALUES (10000861, ‘Элеонора’, ‘Мышинова’, ‘sr-media@yandex.ru’, », », », », », », ‘mausik’, 0); INSERT INTO `members10` VALUES (10000862, ‘Олександр ph’, ‘Корінний’, ‘nightwish11@yandex.ru’, ‘Николаев’, ‘ua.jurconsult@gmail.com’, ‘0984034408’, », ‘570599292’, », ‘qwastygh’, 380984034408);

  • Ответить

    Если вдруг комментарий там исчезнет: «Anton Rusakov: Вобщем полный пиздеж. Это База слитая с очень давних времен (нас туда включили). На самом деле ломали кого-то другого, потом проверая есть ли мыло в базе — фигачили тотже пароль что из другого сервиса взяли. Конкретно по нам — совпадает пара только у тех кто на всех порталах 12345 пароль делает.«

  • Ответить

    А там хз сколько уникальных на самом деле, вполне возможно, что невалид даёт какой-то процент. Вообще это база от маленьких соседей большой Индии, откуда она у них, нет инфы.

  • Ответить

    Нашел в слитой базе свой фейковый аккаунт, созданный до 2011 года. Я не пользовался им много лет и увести данные с моего компьютера точно не могли.

  • Ответить

    Не было возможности написать ранее, пишу сейчас.

    Вот мне тут подкинули ссылочку на события ноября 2012 года.
    https://habrahabr.ru/post/159565/

    Обратите внимание, что в этот момент просили не только привязать телефон, но и сменить пароль.

    Если предположить, что ВК знал о каком-то взломе/утечке в те годы (и если считать, что оно было), то ситуация вырисовывается куда как интереснее — знали, но скрыли, и попытались под шумок, привязывая телефоны, сменить пароли. Не раскрывая сути.

    В прочем, я пока к этому отношусь настороженно.

    ____________
    Два сильных факта, каждый из которых бьет в противоположную сторону, но объяснения им нет:
    1. База имеет 100+ млн записей. Такую базу с пустого места не скомпоновать, ни одним ботнетом не собрать. Ни одного Российского сервиса такого нет, чтобы так билось по ВК.
    2. Плейн-текст пароли в базе. Поверить, что в ВК хранили плейн-текстом — не могу. Но при таких пиарщиках, в целом, может и внутри черт знает что происходило на каких-то этапах.

  • Ответить

    Обратите внимание вот на этот комментарий, например:

    >> Всем упомянутым в ней пользователям данные для входа на страницы менялись принудительно», — сообщил пресс-секретарь «ВКонтакте» Евгений Красников.
    > Врет и не краснеет.
    > Мой адрес там есть, хотя регистрировался в 2013 году. И данные принудительно не менялись. Пароль старый с самого начала стоял, пока не сменил сегодня.
    > Генерация из KeePass2, 8 символов

    https://geektimes.ru/post/276858/comments/#comment_9337150

  • Ответить

    Или вот этот:

    > Моя почта на gmail, которую я использовал только (!) для контакта со сгенерированным паролем есть в этом дампе у знакомого почта старая в дампе (менял 1-2 года назад) из этого можно сделать вывод, что украли всю бд контакта двухлетней давности

    https://geektimes.ru/post/276858/comments/#comment_9337226

  • Ответить

    Ждем, когда базу выкупит кто-нибудь и сольет just for lulz в паблик на торренте. Вот тогда посмотрим что и кто будет говорить, после того, что там обнаружим :)

  • Ответить

    Еще обратите внимание на этот комментарий из той статьи, 21 ноября 2012 года:

    «Во-во, то же самое. Притом, во-первых, запретили ввести мой прекрасный пароль еще раз (хотя он используется только для контакта и соответствует всем требованиям секьюрности).

    Во-вторых, при смене пароля что-то глюкнуло, и теперь я вообще не могу войти, а восстановление пароля не работает, т.к. пишет «Вы уже недавно восстанавливали пароль, подождите до 30 ноября» (!). Пришлось зарегать бота на другую симку, чтобы слушать музыку. Такие дела.

    А тому идиоту, который это придумал — посылаю лучи ненависти.

    https://habrahabr.ru/post/159565/#comment_5469143

  • Ответить

    Ужас в том, что этот слив открывает широчайшие возможности по взлому учетных записей в других сервисах.

    Примерно месяц назад мне попытались сменить пароль на двух учетках WebMoney, одна из которых привязана на полузабытую гуглопочту. Оба ящика использовались для регистрации в ВК.

  • Ответить

    Это и база для спама (в т.ч. мобильного), и для мошенничества (по данным).

    Но ужас тут в другом. Если реально взлом был, и если ВК был в курсе про него (и промолчал, а как бы хитренько попытался замять, вынудив пользователей менять пароли), то они подставили кучу людей на огромном временном периоде (считай — до сих пор). Потому что у многих (если не большинства даже) простых людей — пароли одинаковые на куче сервисов. У среднестатистического пользователя и в gmail будет такой пароль, и в банке, и где угодно. А данные его есть, в т.ч. e-mail, из которого можно почерпнуть и еще обилие сервисов (да и известных сервисов полно).

    Если вся эта база реальная и она будет в паблике — будет «весело» некоторое время.

  • Ответить

    Еще один минус в эту историю — в базе нет моего аккаунта. (Он не использовался практически, хотя зарегистрирован был очень давно и без привязки телефона; ни на каких смартфонах не числился; никаких приложений или расширений для браузера для ВК не использовал; никто меня не ломал — т.е. утечка с моей стороны была невозможна). При этом, например, в базе взломанного (реально взломанного) rootkit.com, мой e-mail числится.

  • Ответить

    Пример фейковых баз (с большим числом пользователей) — 57 млн от mail.ru
    https://roem.ru/06-05-2016/223742/mail-hackes-results/

    Такие базы (где просто базы уникальных е-мейлов) можно собирать как раз годами (из всего, что угодно — парсинг веб, базы спамеров, взломанные компьютеры и парсинг их ящиков и всех контактов и т.д. и т.п. — т.е. это собрать не проблема вообще). Когда база состоит из двух полей: e-mail / пароль — огромные масштабные базы сварганить не проблема. И фейковую базу сделать тоже не проблема. (Пособирать разных данных и напихать).

    В случае с ВК имеется как минимум одна «плохая вещь». База имеет чуть более сложный вид — т.е. собраны еще данные. Типа того же города, например.

    Хотя с другой стороны, смешно. Почему же там нет полного расклада по таблице пользователей, а всего лишь какая-то дикая выжимка буквально из нескольких параметров.

    В общем, чего-то я все больше опять начинаю склоняться к тому, что это фейк. Но фейк более интересный, чем обычные.

    Например, в какие-то годы удалось схарвестить через различные дыры данные. Через дыры в API и т.п. Типа вот такого (хотя это сложно для использования и малоэффективно — нужна база валидных телефонов, привязанных к аккаунтам; или просто база телефонов; перебор всех номеров — бред):
    https://habrahabr.ru/post/209178/

    В общем, пока самый существенный вопрос — покрытие в 100 млн с общей информацией о пользователях. Как и откуда :)

  • Ответить

    Судя по всему скрысили не базу, а боковую табличку, куда сливали пароли в плэйнтексте для «специальных» нужд, точнее не саму базу, текстовка напоминает файлы бинлогов от mysql.

  • Ответить
    Игорь Ашманов Сам себе компания

    если ВК был в курсе про него (и промолчал, а как бы хитренько попытался замять, вынудив пользователей менять пароли), то они подставили кучу людей

    в 2011? Неужели Дуров….? Нет, не может быть!

  • Ответить

    Конечно, не может быть. «Олимпиадники» Дурова (а ныне создатели самого защищенного мессенжера) не могли хранить пароли в открытом виде. И тем более не могли сами слить базу перед увольнением.

    Странно, что никто не вспомнил СОРМ. Это ж такой простор для фантазии.

  • Ответить

    В общем, и все же, на текущий момент я, на основе всего собранного и проанализированного, склоняюсь к тому, что это фейк. Но не простой фейк, как делали с yandex.ru, mail.ru (несколько раз — и в последний раз — это 57 млн адресов), а более тонкий (т.е. часть данных действительно откуда-то как-то получена).

    Более подробно излагаю и пишу тут (буду дополнять/исправлять по мере поступления новой информации):
    http://sporaw.livejournal.com/428587.html

  • Ответить

    Забавный момент всплыл про plain-text.

    Подкинули мне тут линков. Оказалось, что ранее была не генерация нового пароля, а реально присылали старый пароль. Т.е. то, что невозможно, если не хранить plain-text’ом. Смотрите:

    Лет 6 примерно назад, процедура восстановления доступа в ВК заключалась в отправке пользовательского пароля на почту:
    a) http://govnokod.ru/14304#comment208104
    b) https://forum.mozilla-russia.org/viewtopic.php?pid=378766#p378766
    c) http://artgorbunov.ru/bb/soviet/20101122/#alekseyrytov

  • Ответить

    Пришло достоверное подтверждение: как минимум до 15 августа 2009 года ВК реально хранил пароли plain-text’ом. Подчеркну — как минимум.

    Информацию в посте обновил.

  • Ответить

    Неочевидно, что база живая, но, если живая, то, очевидно, что это месть, а не нажива, первый купивший неприменно сольёт её на торент, так почему сразу не на торент? — о видимо хакеры заметают следы :) Если же это фэйк, который ты тут пиаришь и тогда, да, это мошенничество и нажива «хакеров» — есть такой тип пустоголовых «хакеров», которые орут громче всех на форумах по разными никами пиаря всякую х.ню для доверчивых лохов ;) которые, очевидно, купят эту базу за 1 биткоин — криптовалюта запрещённая в России, чтобы, очевидно, почитать переписку тёлочек на вк, не слишком ли завышенная цена для таких клиентов? = хз. Вобщем вся история какая то странная … прямо как то странно воняет гавном :)