Wyciek danych ponad 2,5 mln Polaków z serwisu iMesh.com
Z bardzo popularnego jeszcze kilka lat temu serwisu iMesh.com służącego do wymiany plików wyciekły dane wszystkich 51 milionów użytkowników, w tym 2,5 miliona osób które zadeklarowały że mieszkają w Polsce.
Lista ujawnianych w tym roku ogromnych wycieków danych wydaje się nie mieć końca. Wygląda na to, że trudno będzie wkrótce znaleźć duży serwis, którego pełna baza użytkowników nie została w ostatnich latach wykradziona.
Stare dobre p2p
Serwis iMesh.com powstał w roku 1999 i został zamknięty ok. 3 lata temu. W trakcie swojego działania przyciągnął wielu użytkowników możliwością pobrania plików multimedialnych z kilku sieci p2p naraz. Serwis LeakedSource.com ujawnił, że najwyraźniej pod koniec swojej kariery iMesh.com przyciągnął także włamywaczy, którzy wykradli z niego dane ponad 51 milionów użytkowników. Wykradzione dane obejmują adres email, nazwę użytkownika, hasz hasła, adres IP, kraj pochodzenia oraz datę założenia konta. Dzięki danym dotyczącym kraju pochodzenia oraz domen, w których użytkownicy zakładali swoje skrzynki pocztowe, możemy oszacować ilość kont pochodzących z Polski.
Polacy wg statystyk opublikowanych przez LeakedSource.com stanowili czwartą najliczniejszą grupę użytkowników serwisu. 2 569 583 użytkowników wskazało Polskę jako swój kraj ojczysty. Polskie serwisy pocztowe także są licznie reprezentowane na liście najpopularniejszych domen użytych do rejestracji:
- wp.pl 870 635
- o2.pl 414 836
- interia.pl 258 828
- op.pl 227 853
- vp.pl 125 025
- tlen.pl 95 881
- poczta.onet.pl 84 565
Łącznie 7 najpopularniejszych domen PL daje ponad 2 miliony zarejestrowanych użytkowników, co pasuje do całkowitej liczby 2,5 miliona kont osób deklarujących lokalizację na terenie Polski.
Wygląd strony za czasów jej świetności
Co teraz?
Na szczęście twórcy serwisu iMesh.com nie byli całkowitymi ignorantami w zakresie przechowywania haseł i chociaż mogli zrobić to lepiej, to nie zachowali się tragicznie. Hasła przechowywane były jako wynik funkcji skrótu MD5, lecz stosowanej z solą oraz kilkoma iteracjami. Oznacza to, że proste hasła mogą zostać relatywnie łatwo złamane (choć nie tak łatwo jak np. w wycieku z LinkedIn) a hasła naprawdę skomplikowane mają pewną szansę pozostać nieodkryte.
Tym razem nie zakończymy tekstu popularną klauzulą mówiącą o zmianie hasła jeśli mieliście konto na iMesh.com. Skala wycieków pochodzących z roku 2013 jest tak ogromna, że w zasadzie na uniknięcie ich skutków jest już dawno za późno. Można je jednak ograniczyć. Jeśli mieliście gdziekolwiek jakiekolwiek konto przez rokiem 2013, to możecie uznać hasło do niego za ujawnione. Jedynym, co może Was ratować w przyszłości, jest stosowanie osobnego hasła dla każdego serwisu (plus menedżera haseł by to opanować) a wariantem absolutnego minimum jest używanie innego hasła do swojej skrzynki pocztowej powiązanej ze wszystkimi kontami.
Podobne wpisy
- Wyniki badań medycznych kilkudziesięciu tysięcy Polek i Polaków ujawnione przez włamywaczy
- Nie wszystkie metody 2FA są sobie równe – zobacz, jak można je atakować
- Więcej informacji o wycieku danych Polaków – przyczyny, skutki, relacje firm i użytkowników
- Kilka milionów loginów i haseł z Polski wyciekło do sieci
- Czy to już czas, by wyrzucić Yubikeye do kosza i razem z nim wysłać tam hasła?
Do kont o mniejszej ważności można też użyć https://passwordmaker.org/. Ja mam kopię tego skryptu pod własnym adresem. Zaleta tego rozwiązania jest taka, że nie ma co wyciec. :-) Hasło są generowane po stronie przeglądarki na podstawie głównego hasła i adresu strony.
Jaki menedzer keepass?
Tak, kilkakrotnie ten temat był poruszany, i ten program wydaje się być najbardziej odpowiednim narzędziem.
LOL. Zaczyna się robić groźnie. Wniosek z tych ataków jest bardzo smutny – programiści to albo są debile albo mechanizmy przechowywania haseł implementują ludzie nie mający pojęcia co robią. Wolałbym wierzyć, że to dzieciaki z łapanki piszą serwisy internetowe niż, że mamy do czynienia z nieudacznikami wśród programistów.
Z jednej strony masz rację kolego a z drugiej „good practices” się z upływem czasu zmieniają i nie koniecznie programista mógł dać ciała. Prędzej upierał bym się, że szefostwo firmy lekceważy takie sytuacje gdy head programmer mówi „Trzeba zaktualizować to to to i to, zajmie to tyle, tyle i tyle czasu za który zapłacimy tyle i tyle” a inwestor czy właściciel mówi „a jakie nowe funkcjonalności nam to da by przyciągnąć klienta?” i tu jest konflikt interesów ;)
zapewniam, o ile znam branże deweloperską – a ciutkę znam – znamienite gros deweloperów nie ma zielonego pojęcia o bezpiecznym kodowaniu. Więcej, oni nawet nie mają pojęcia, że nie mają pojęcia:/ Aplikacje powstają zgodnie z zapotrzebowaniem biznesowym i większość zamawiających/produkujących nawet nie myśli o sprawdzeniu ich pod kątem bezpieczeństwa.
Właśnie robię budyń waniliowy
I jak, dobry wyszedł? Też lubie waniliowy
Ciekawe kiedy zaczną oferować (jako opcję) logowanie się tylko za pomocą elektronicznego podpisu :)
Wcale nie zdziwiłbym się jak by to robiły studenty za marne grosze jak ja(sic!)
Tu baza wyciekła, ta wyciekła, i jeszcze gdzieś indziej – a później się okazuje, że ludzie tacy jak Artur Glass-Brudziński czy Anna Łuczak, skądś mają dostęp do danych na temat tysięcy użytkowników serwisów P2P…