Еще в начале 2019 года была шумиха о том, что данные со скольких-то миллионов почтовых адресов, в том числе пароли, были опубликованы в сети. А именно, в облачном сервисе MEGA и на одном популярном хакерском форуме. Сегодня в сети есть парочка сервисов, с помощью которых можно проверить, находится ли в этой самой базе ваш электронный почтовый ящик. Я расскажу о популярных и эффективных способах проверки слитых паролей, утекших адресов и логинов.
Have I Been Pwned
Сайт haveibeenpwned.com был создан австралийским экспертом в области информационной безопасности Троем Хантом, который и обнаружил эту базу в сети. На нем можно проверить, числится ли в базе ваш электронный почтовый ящик и на каких конкретно сервисах есть утечка. Еще, на всякий случай, на том же сайте есть страница для проверки паролей – haveibeenpwned.com/Passwords
Вот так будет выглядеть результат, если пароли оказались слитыми. Ниже можно посмотреть связанные сервисы
Бот mailsearch_bot в Telegram
Вот так выглядит ссылка на этот бот и информация о нем в Телеграме
Чем-то схожий с предыдущим сервис, только работающий в мессенджере Telegram. С его помощью тоже можно проверить, есть ли в утекшей базе email-адрес и связанные с ним пароли. Для этого просто нужно будет отправить адрес своей почты, номер телефона или даже никнейм.
Создатель бота – Батыржан Тютеев, основатель и технический директор компании NitroTeam. В интервью с TJournal он рассказал о том, что на данный момент в базе самого бота находится около 9 миллиардов записей в связке логин-пароль и еще более 3 миллиардов ожидают загрузки. Нет, вы не ослышались – не миллионов, а миллиардов!
С одним лишь ящиком связано около 10 паролей
Если хоть один пароль всплыл при проверке, желательно сразу же поменять его, чтобы данные не попали в руки злоумышленникам. Лично от себя рекомендую – при регистрации на других сервисах пользуйтесь анонимным ящиком. Такая возможность есть в Почте Mail.Ru, надо просто покопаться в настройках. Если на сервисах, где указывается адрес почтового ящика, предположительно будет конфиденциальная, секретная или просто нежелательная для общего доступа информация, лучше заморочиться и придумать пароль посложнее.
Загрузка ...
Я конечно никогда не страдал паранойей, но в последние время много кто сталкивается с тем, что их данные попадают в руки злоумышленников. Вроде как всё проверил и вроде всё неплохо, но из-за этого стал серфить интернет и проверятся, где только возможно. Но, если честно, меня теперь немного смущает другое, а вдруг эти сайты “проверяльщики” тоже сливают данные. Надеюсь, что это не так, потому что уже надоело разочаровываться во всем, за что не возьмись.
Вполне возможно, также надеюсь что этого не будет. Но если брать более глобально, то наши данные уже давным давно слиты. А всё потому, что мы не можем не пользоваться разными сервисами. Те же банки, только и делают что наживаются на личной информации пользователей. Конечно, проверив становится легче, но в целом всё это детский лепет, потому что все мы в ловушке.
Прекрасная статья, всегда хотел ознакомится с чем-то подобным. Благодаря сайту в статье узнал, что мой пароль достаточно небезопасен и стоит его заменить. Очень-очень полезный материал, как по мне, потому что раньше об этом я не знал и теперь стал, как минимум, более осведомлен и приятно удивлен.
Реально, я тоже не знал о такой штуке. Даже стало как-то не по себе, что различные хостинги, на которых я регистрировался, могли слить мои данные. Очень информативненько и кратко, что очень круто. Нет лишнего лонгрида и всякой пафосной терминологии
Да, сам проверился и офигел. Еще и бота в телеге поставил, на всякий случай. Надо будет друзьям посоветовать, думаю они будут благодарны. Сливы данных сейчас очень распространенная проблема, и хорошо, что есть возможность проверить, чтобы не оказаться в числе взломанных пользователей.
Есть хороший анекдот на эту тему
Подскажи свою почту?
-#!$%&’*+-/=?^_`{}|~@example.com
-??
-слэш потом….
Проверял свои почтовые ящики на haveibeenpwned.com, из трех имеющихся один оказался в списке. Пороли поменял на всех. Значимой информации в ящиках нет, но факт утечки неприятен. Спасибо автору статьи!
Можно было в статье указать такие сервисы на проверку утечки как DeHashed, BreachAlarm. Ничем не хуже описанных вариантов.
Даже не предполагал, что на сайте haveibeenpwned. com так быстро все проверяется. Выдохнул с облегчением, проверил все почты, вроде ничего не нашлось. Хороший сайт, а главное что очень просто пользоваться. Вот та, выложенная база взломанных данных называется «Коллекция №1», которая к сожалению постоянно дополняется новыми взломами.
Чтобы не стать «счастливчиком» в списке слитых почтовых ящиков, генерируйте пороли с помощью специальных приложений AZPassword, Random Password Generator, GenPass. Большинство из них работают онлайн. Удобно и не нужно заморачиваться.
А создавая пароль в онлайн приложении, разве не существует вероятность того, что он где-либо сохраниться? Ведь след моего ip останется, и история действий в приложении тоже.
Надо просто использовать надежные. Например 1 Password. У них даже Apple купила несколько тысяч лицензий для своих сотрудников. Это уж точно о чем-то да говорит.
На самом деле это не хакеры, а извините меня какие-то «гады». Нет, чтобы сделать действительно что-то полезное, имея такие навыки и возможности, они просто берут и гадят простым пользователям всемирной сети. Такое надо относить к категории кибер преступности и наказывать очень жестко.
Сами понимаете, что эти ребята действуют далеко не от себя. Ведь оно то им зачем? Если они просто выкладывают данные на всеобщее обозрение, а не присваивают себе. Но, увы, мы простые юзеры врядли узнаем истину проблемы.
Еще можно попробовать проверить наличие вашей почты в отношении логин- пароль на сайте https:// 2ip.ru/ pwned/. Там вроде тоже есть база данных
То есть автор предлагает ввести в поиск свою почту на сайте у хакера, который как раз эти почты и ломает. Шучу, но это из разряда, а не введите ли вы нам номер своей кредитной карты, чтобы мы могли проверить, а не находится ли она у мошенников в базе
Чего то я параноила последнее время, долго не могла зайти в почту, все сбрасывался пароль. Проверила уже во всех возможных базах, меня вроде бы нигде нет. Потом только заметила что кнопка Shift западает и в пароле большие буквы не вводились когда надо. Так что внимательно проверяйте правильно вы вводите пароли или нет))
Это далеко не все способы, если что. Недавно Firefox запустила свой сервис Firefox Monitor. Он встраивается в браузер, смотрит пароли и все их проверяет. Не было ли утечек данных. Я очень много смог найти за это время.
Если уж на то пошло, сейчас такая функция есть почти в каждом браузере. Даже Safari показывает возле паролей информацию о надежности и взломах. Менеджеры паролей тоже так делают. Так что вариантов полно. Жаль не обо всех из них рассказали.
Менеджеры паролей кстати хорошим как раз еще и тем, что с помощью них можно защититься от взломов. Они генерируют сложные пароли. Фиг подберешь.
Надо держать почту на своем сервере как я. Тогда не будет проблем. А с других ящиков ее и без взлома уведут. Google тот же вечно сливает данные рекламистам. Так что не вижу разницы. Хакеры или Google. Только себе доверяю.
Ну допустим взломают мою почту? И что они там найдут? Держите скидку десять процентов, а то давно у нас ничего не покупаете. Мне лично не жалко, или какие-то комментарии и лайки в какой-то социальной сети. Все это переживаемо.
А разве стоит чего-то бояться, если включена двухфакторная авторизация? Я как-то поудалял все без создания аккаунта и без денег, но при этом к сожалению забыл посмотреть, а пароли там какие-либо стояли или нет. Потом на сайте создал аккаунт, но подтверждение почему-то на почту не приходило, а так как нет подтверждения и пароли не могу глянуть.
Я пользуюсь браузером мозилла, там есть фаерфокс монитор и можно проверить почту на взлом. Сервис неплохой, единственное, могу сказать, что он мне не показал того, что я нашел в этом сервисе. Показал мой пароль от дроп бокса, ещё от нескольких сервисов.
Говорят, безопасности много не бывает. Но до абсурда тоже доводить не стоит. Самый надежный способ — вообще интернетом не пользоваться. Если двухфакторная аутентификация настроена и привязка к телефонному номеру с обязательным одноразовым СМС, то этого более чем достаточно. Единственное, что когда часто приходится авторизовываться, то замаешься всю эту схему проходить.
Действительно, помню как-то у Яндекса что-то около мульена аккаунтов стырили и опубликовали. Причем виноват был конкретный сотрудник, а не какие-то там мифические хакеры. Так вот, там 90% паролей были из разряда 123. Чего тут взламывать? Десять минут поподбирал и доступ твой.
Ну проверил я свои основные аккаунты, а у меня их по работе более пятидесяти. Все вроде в поряде, не взломаны, не доступны мировому сообществу. Чрез полчаса ситуация поменялась. Те же 3 миллиарда в mailsearch_bot подгрузили и там мой оказался. Это бесконечный процесс с неопределенным результатом.
Ну, ничего не делать тоже не выход. Первое — пароль должен быть сложным. Да, двухфакторная авторизация максимально обезопасит от много. Но и сотовые номера можно эмулировать. Все зависит от того, насколько конкретно вы интересны кому-то. Никто не станет нанимать киллера, чтобы начистить морду бомжу. Ну получили доступ к базе из 6 млрд.(!) И как там найти аккаунт, интересный для мошенничества или еще чего? А если кого-то конкретного очень надо взломать, то и сайт Пентагона хакают.
Если уж так все важно и секретно у вас, используйте криптографию и ЭЦП, причем с внешним хранением второго ключа на токене. А так для обычного юзера соблюдение минимальных требования безопасности более чем достаточно. Второй замок и металлическая дверь — самая частая причина, по которой домушники просто выбирают другую квартиру.