10.09.2014 | 11:32

Adam Haertle

Włamywacze chwalą się 5 milionami haseł do skrzynek Gmail

Od wczoraj na pewnym rosyjskim forum trwa festiwal wycieków. Zaczęło się od kilku milionów kont z dwóch dużych rosyjskich serwisów, a kilka godzin temu do sieci trafił plik z danymi prawie 5 milionów skrzynek pocztowych Gmaila.

Na rosyjskim forum Bitcoin Security wczoraj pojawił się plik z ponad milionem adresów email jednego z największych rosyjskich portali, Yandex. Kilka godzin później ten sam użytkownik opublikował adresy ponad 4,5 miliona kont serwisu mail.ru, a dzisiaj wrzucił prawie 5 milionów kont Gmail.

Aktualizacja 14:00
Plik ze wszystkimi hasłami niestety został już publicznie udostępniony w sieci. Analiza wskazuje, że są to w większości przypadków hasła do kont z innych serwisów, skojarzone jedynie z kontami pocztowymi Gmail. Jeśli używaliście różnych haseł do różnych celów, to Wasze konto Gmail jest bezpieczne. Trzeba „jedynie” zmienić hasła w innych serwisach.

Na szczęście publikowane są tylko adresy

Użytkownik, ukrywający się pod pseudonimem tvskit, swoje publikacje traktuje jako ostrzeżenie – w tematach postów pisze „zmieniajcie hasła”.

Wątki na rosyjskim forum

Wątki na rosyjskim forum

Ważniejsze jest jednak to, że opublikowane pliki nie zawierają haseł, a jedynie adresy email. Aby potwierdzić wiarygodność swoich publikacji, ten sam forumowicz publikuje również fragmenty zawierające hasła skojarzone z adresami email, by udowodnić, ze jest w posiadaniu pełnych baz. Inni forumowicze potwierdzają, że spora część haseł, znajdujących się w rękach włamywaczy, ciągle jest aktywna. Sam autor mówi, że działa ok. 60% posiadanych przez niego haseł.

Fragment potwierdzający dane kont Gmail

Fragment potwierdzający dane kont Gmail

Skąd ten wyciek

Wszystko wskazuje na to, że do trzech wycieków doszło w ten sam sposób i nie był to efekt włamania na serwery dostawców. Prawdopodobnie część opublikowanych konto to dane wykradzione przez botnety i sprzedawane hurtem na czarnym rynku. Wśród ujawnionych adresów mogą być także konta zakładane przez przestępców w celu prowadzenia akcji spamerskich. Rosyjscy użytkownicy już potwierdzili, że w wyciekach z Yandeksa oraz Mail.ru znaleźli niektóre swoje konta. Wygląda także na to, że w paczce z kontami Gmail znajdują się konta Polaków.

Aktualizacja 12:00
Nasi Czytelnicy potwierdzają, że w ujawnionym pliku znaleźli swoje konta, zatem wyciek – przynajmniej w zakresie adresów email – jest prawdziwy. Kolejnym możliwym scenariuszem, na skutek którego konta znalazły się w rekach włamywaczy, jest użycie tego samego hasła co do skrzynki Gmail w innym serwisie wraz z tym samym adresem email. W ten sposób wyciek danych z innego serwisu mógł pozwolić włamywaczom uzyskać dane dostępowe do skrzynki pocztowej.

Aktualizacja 12:40
Kreatywni Czytelnicy wskazali nam ciekawy sposób analizy źródeł wycieku – wystarczy sprawdzić, jakie ciągi pojawiają się w loginach po znaku „+”, używanym do oznaczania unikatowych adresów email. Wykonaliśmy krótką analizę, oto jej wyniki:

176 xtube
132 daz
88 filedropper
66 daz3d
64 eharmony
63 friendster
62 savage
54 bioware
52 savage2
51 bryce

Co robić?

Można się spodziewać, że Gmail lada moment zablokuje konta znajdujące się w opublikowanym pliku. Podobnie zrobił już Yandex, konta skojarzone z ujawnionymi adresami email zablokowały też serwisy takie jak VKontakte czy Odnoklassniki. Większość kont zapewne ma już swoje jak nie lata, to przynajmniej miesiące, jednak polecamy na wszelki wypadek sprawdzenie, czy w ujawnionych danych nie znajdują się Wasze loginy. W przypadku natrafienia na nie rekomendujemy zmianę hasła (najlepiej wraz z włączeniem usługi dodatkowego uwierzytelnienia) i skan systemu oprogramowaniem antywirusowym.

Aktualizacja 14:50
Na deser lista 30 najpopularniejszych haseł skojarzonych ze skrzynkami Gmail

3008 abc123
2968 123123
2904 1234567
2706 1234567890
1983 1234
1973 iloveyou
1852 password1
1742 000000
1722 27653
1538 zaq12wsx
1534 tinkle
1514 qwerty123
1450 monkey
1419 target123
1395 dragon
1384 1q2w3e4r
1340 654321
1326 123qwe
1323 123321
1284 friendster
1259 asdfghjkl
1254 letmein
1245 princess
1198 1qaz2wsx
1157 sunshine
1139 passw0rd
1107 trustno1
1104 qwertyuiop
1051 master
1050 tester1
Powrót

Komentarze

  • 2014.09.10 11:43 maciek

    Moj email jest. Prewencyjnie zmienilem haslo

    Odpowiedz
    • 2014.09.10 21:06 Felek

      Mojego konta nie ma :P dziwne nie?

      Odpowiedz
    • 2016.03.23 12:37 arek

      hej

      Odpowiedz
  • 2014.09.10 11:53 d573669-0

    Jakoś potwierdzony ten wyciek? bo podobny plik i screenshot mogę sobie w 5 minut zrobić…

    Odpowiedz
    • 2014.09.10 12:27 michalind

      Mogę potwierdzić – jest moje hasło. Sprzed dobrych kilku lat.

      Odpowiedz
    • 2014.09.10 18:17 Nadszyszkownik

      również potwierdzam, hasło z przed 5-7 lat

      Odpowiedz
    • 2014.09.10 20:11 Wojtex

      Potwierdzam, jest mój email i hasło sprzed ~3-4 lat
      jedno z pierwszych jakie używałem, całe szczęście do stronek pierdołek
      poletzam zmieniać co ~rok

      Odpowiedz
    • 2014.09.11 11:52 Qba

      U mnie też hasło sprzed dwóch lat

      Odpowiedz
  • 2014.09.10 11:55 przeciez sa hasla

    Po dwukropku

    Odpowiedz
  • 2014.09.10 12:01 L.

    Właśnie się zastanawiałem skąd w ostatnim czasie ma dużą ilość wiadomości spamerskich po rosyjsku :)

    Odpowiedz
  • 2014.09.10 12:14 andrzej

    Ciekawa rzecz bo jest mój mail ale z aliasem czyli [email protected] więc ciekawe skąd ten wyciek jak nie kojarze żebym na takim serwisie uzywal swojego maila…

    Odpowiedz
    • 2014.09.10 12:40 Bartek

      Poszukaj @andrzej w swoich mailach, wpisując w wyszukiwarkę adres z aliasem – ja tak wiem o „swoim” źródle wycieku

      Odpowiedz
  • 2014.09.10 12:16 franciszek

    Przepuściłem przez grepa w poszukiwaniu swojego loginu i widzę że maile się powtarzają, pytanie ile jest unikalnych

    Odpowiedz
  • 2014.09.10 12:18 Bartek

    Znalazłem swój i wiem też, że wyciek nastąpił ze strony DAZ3d.com, bo unikalnym adresem zakładałem tam i tylko tam konto… Oczywiście hasło już zmieniłem…

    Odpowiedz
    • 2014.09.10 21:40 Zvegas

      same here! u mnie adres nie był unikalny, ale logowanie na tej stronie pamiętam dokładnie. Potwierdzam poszlakę.

      Odpowiedz
  • 2014.09.10 12:26 Bartek

    Fajnie, że ktoś ma emaila „asdasdqwewqdwdfwerqw3e12e4rwerftefsdfsarwqeqw” lub „cycki.kurwa”. Poza tym szukając ciąg znaków „asdasd” dostałem 127 wpisów :d

    Odpowiedz
  • 2014.09.10 12:29 Bartek

    Proponuję również poszukanie znaku plusa – daje fajne wyniki: cat google_5000000.txt | grep „+” | sort

    Odpowiedz
    • 2014.09.10 12:57 Bartek

      login+daz*@gmail.com : 213 wystąpień – główny przeciek?

      Odpowiedz
    • 2014.09.10 13:01 Jarek

      no wygląda na to, że ziomus zebrał dużą bazę z wielu mniejszych ataków. Bo tych aliasów to się tam sporo przewija.

      Odpowiedz
  • 2014.09.10 12:34 Mike

    Znalazłem również swój adres.

    Odpowiedz
  • 2014.09.10 12:39 Mike

    Hasło do skrzynki gmail miałem unikatowe i nie używałem takiego do logowania w żadnym innym serwisie. Na 100%.

    Odpowiedz
  • 2014.09.10 12:48 stóweczka

    No to jest prawie 5 milionów maili na spamowanie :)

    Odpowiedz
  • 2014.09.10 12:59 legiskop

    A może ma tylko adresy a te ze sceena to sam założył i udostępnił hasła

    Odpowiedz
  • 2014.09.10 13:16 Anonim

    Jakiś mirror? Chciałbym sprawdzić swojego e-maila.

    Odpowiedz
  • 2014.09.10 13:35 Glutek

    Jest ten plik gdzieś poza tym forum, bo się wbić nie mogę – najlepiej spakowany.

    Odpowiedz
  • 2014.09.10 13:41 Maciej

    Ech, jest i mój.

    Odpowiedz
  • 2014.09.10 13:45 Andrzej

    jakiś mirror, bo stronka leży?

    Odpowiedz
  • 2014.09.10 13:49 Stefan

    Można sprawdzić na https://isleaked.com/en.php

    Odpowiedz
  • 2014.09.10 13:50 bart

    jakis mirror? bo strona chyba polegla…

    Odpowiedz
  • 2014.09.10 14:06 hr

    Kwestia jest taka, ze jesli nawet email jest unikatowy, to i tak moze wystapic przy spelnieniu przynajmniej 1/2 warunkow z ponizszych:
    – w ciagu ostatnich 3-4 lat logowano sie na skrzykne
    – dane do logowania byly zapisane w przegladarce lub programie pocztowym
    – przynajmniej jedno logowanie bylo przeprowadzone z platformy Windows

    ps. Warto pamietac, ze w przypadku punktu trzeciego tez sam system i pozostale hasla przez niego przekazywane tez moga byc skompromitowane.

    Odpowiedz
  • 2014.09.10 14:14 k3

    mirror z wyszukiwarka:
    http://arch.edu.pl/~k3/gmail_leak/

    Odpowiedz
    • 2014.09.10 16:39 kasia

      Jak już to udostępniasz to zabezpiecz to jakoś sensownie….

      Odpowiedz
  • 2014.09.10 14:16 Mike

    Wyłączyli forum. Coś się dzieje.

    Odpowiedz
  • 2014.09.10 14:24 malpiwnuk

    $ wc -l google_5000000.txt
    4929090 google_5000000.txt
    $ sort -u google_5000000.txt | wc -l
    4790829

    Odpowiedz
  • 2014.09.10 14:40 Grreg

    Mirror: http://megafiles.me/s/google_5000000-7z
    Potwierdzam ten sam rozmiar i datę pliku z Mega i z forum.

    Może koleś znalazł lukę w jakimś popularnym CMSie i tak mu wyszło zestawienie email:hasło.

    ***
    A najlepiej do g*wnianych serwisów używać g*wnianych haseł..

    Odpowiedz
  • 2014.09.10 14:40 g21

    Na isleaked.com można sprawdzić online, bez potrzeby ściągania paczki.

    Odpowiedz
    • 2014.09.10 14:50 CzerwonyAzBlady

      I pomóc im stworzyć listę spamową ;)

      Odpowiedz
  • 2014.09.10 15:20 ta

    To raczej wyciek z jakiegoś śmieciowego serwisu, bo takiego hasła jakie mam na tej liście nigdy nie używałem do logowania na gmail. Takiego hasła używam tylko na śmieciowych stronach typu fora, strony gdzie mam gdzieś jak ktoś się włamie. 60% z tych haseł na pewno nie pasuje do maili

    Odpowiedz
  • 2014.09.10 15:28 Radew

    Coś mi to śmierdzi podpuchą.

    Odpowiedz
    • 2014.09.10 23:08 m

      po czym wnosisz?

      Odpowiedz
  • 2014.09.10 16:11 dzk

    i właśnie dlatego lekturę codzienną internetów, zaczynam od Z3S. :)

    Odpowiedz
  • 2014.09.10 16:49 daniel

    A to nie jest tak że te 5mln to podpucha i teraz jak ludzie zaczna zmieniac hasla to dopiero je zgarna? Zmiana hasla na wszystkich portalach jest sugerowana bez wzgledu na to czy Twój adres jest w pliku czy nie….

    Odpowiedz
  • 2014.09.10 17:09 Ano Nymous

    Wśród haseł nie znalazłem ani jednej dużej litery… dziwne.

    Poza tym co w tym pliku robią fragmenty kodu javascript?

    Odpowiedz
    • 2014.09.10 22:10 michal

      w 155432 linijce słychać strzały

      Odpowiedz
  • 2014.09.10 17:16 Janusz

    W sumie świetna baza do brute-force ;) Później sprawdzę czy mój adres tam jest bo najpopularniejsze dodatkowe ciągi do adresów też mi nic nie mówią. Poza tak jak ktoś wyżej pisał, do gównianych serwisów nie używam ciekawych haseł bo szkoda myśleć, ryzyko, że gdzieś podam identyczne jak do bardziej wrażliwego miejsca. Tak to mnie guzik interesuje, że ktoś na jakimś śmiesznym forum przejmie moje konto.

    Odpowiedz
  • 2014.09.10 17:34 brak

    Na DP jak zwykle wielcy poeci nie podlinkują do Z3S, chyba pierwszego serwisu, który o tym napisał w Polsce. Wstyd i hańba z takimi pseudo redaktorami.

    Odpowiedz
  • 2014.09.10 21:48 robbery

    Wszystkie fora powyłączane, trochę to niepokojące

    Odpowiedz
  • 2014.09.10 22:30 Karol

    Znalazl sie i moj mail, niestety hasla nie jestem w stanie sprawdzic jak „swieze” jest.
    Ale dwuskladnikowe uwietrzytelnianie mnie ratuje.

    „Jeśli używaliście różnych haseł do różnych celów, to Wasze konto Gmail jest bezpieczne. Trzeba „jedynie” zmienić hasła w innych serwisach.”

    Na to konto rejestrowałem sie do kilkudziesieciu serwisow i co, wszedzie mam hasla zmieniac?

    Odpowiedz
    • 2014.09.10 22:34 Adam

      Wskazówką może być lista podejrzanych serwisów umieszczonych w artykule w aktualizacji z 12:40.

      Odpowiedz
  • 2014.09.10 23:03 durzy

    kolejny dowód na to że jedno hasło do wszystkich serwisów może boleć :)

    Odpowiedz
    • 2014.09.11 07:16 Marcin Rybak

      sytuacja niewiele się zmienia jeśli będą „różne” a będzie to 123456 czy qwerty czy ****** :)

      Odpowiedz
  • 2014.09.10 23:31 Karol

    Wszystko ładnie pięknie ale nigdzie nie można znaleźć pliku z hasłami. Wszystkie są bez haseł…

    Odpowiedz
    • 2014.09.11 01:31 Takisobieja

      Poszukaj jeszcze raz :)

      Odpowiedz
  • 2014.09.11 10:29 Adrian

    Mój tez był ale hasło stare z przynajmniej 2 lata wstecz :D

    Odpowiedz
  • 2014.09.11 17:32 Marcin

    Jest mój adres, hasło takie którego nigdy nie używałem na Gmailu, za to używam na „śmieciowych” serwisach.

    Odpowiedz
  • 2014.09.11 18:24 andrzej

    Tutaj baza tych 5 mln loginów. Można pobierać. Pozdrawiam.

    http://securnet.pl/zaatakowano-5-mln-kont-google/

    Odpowiedz
  • 2014.09.12 13:07 luzfan

    No i pytanie, gdzie założyć bezpieczne konto staje się znowu aktualne…

    Odpowiedz
  • 2014.09.12 20:35 Andrzej

    Możesz poczekać na przydzielenie skrzynki pocztowej tutaj:

    https://protonmail.ch/

    lub alternatywnie mam tutaj :

    https://service.mail.com/registration.html?edition=int&lang=en&device=desktop#.1258-header-getaccount1-1

    Odpowiedz
  • 2015.12.02 13:20 majkel

    Gdzie sprawdzić swojego maila? Na jakiej stronie? Jak to zrobić? Pomóżcie….

    Odpowiedz

Zostaw odpowiedź do Mike

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Włamywacze chwalą się 5 milionami haseł do skrzynek Gmail

Komentarze