Хакеры опубликовали базу с личными данными 180 тысяч пользователей биржи FL.ru Неизвестный хакер взломал аккаунты администраторов биржи Free-lance.ru и опубликовал от их имени базу с персональными данными 180 тысяч пользователей сервиса. В открытый доступ попали имена, электронные адреса и телефонные номера. По неподтверждённым данным, пароли к учётным записям администраторов были получены методом перебора. От имени продакт-менеджера сервиса Максима Россошанского была размещена запись, посвящённая взлому (удалена на момент написания этого материала). Развёрнутый скриншот с комментариями пользователей доступен по ссылке (тынс ). Список подверженных взлому аккаунтов есть в распоряжении редакции ЦП, также он расположен на одном из файлообменников. В файле указаны имена пользователей, их электронные адреса и номера телефонов. Пароли, к которым также получил доступ взломщик, находятся в зашифрованном виде. ЦП обратился за комментарием к гендиректору FL.ru Владимиру Тарханову, который пояснил, что с точки зрения безопасности наличие такой базы угрозы не несёт, так как для получения доступа к паролю пользователя злоумышленнику пришлось бы взламывать его почтовый ящик или пытаться получить дубликат SIM-карты. Информация, опубликованная взломщиком, и ранее находилась в открытом доступе, так как многие пользователи сами размещают свои контактные данные для общения с заказчиками или фрилансерами, пояснил он. По словам Тарханова, администрация сервиса проводит внутреннее расследования причин и последствий взлома. 24.02.2015 Источник © ЦП
Возможно и есть у этого хакера. В базе только имя, мыло и телефон. ps. Либо база не полная, либо хрен знает что это такое, но себя я там не нашел. Даже не знаю, радоваться или печалиться...
И у хакера тоже нет. Слили базу которая динамически подключалась к существующей, в ней записи логин пароль мыло телефон, как заметили выше. Имел место небольшой дефейс, не более. И более того, судя по комментам на ЦП много телефонов от балды было указано - даже для спама они не пойдут.
Да и спарсить это все может не сейчас, но ранее как помню не особо сложно.. Трудно класифицировать это как утечку, в свое время я тупо набрутил половину этого кол-во P.s. Kastin, у меня оказаться больше шансов) поискать?
fl как был так и остался, пароли ужс... один круг прогнал, +1590 acc's. По Топ-10 паролям выйдет где-то 6к-8к... Нумы кстате более-менее. Протестил их в роли $pwd$ на первых 500, ~4-5 гудов
а что с акками можно сделать? деньги вроде вывести нельзя, только на услуги потратить, если акк фрилансера наверное можно кого нибудь кидануть? п.с. я так чисто ради любопытства интересуюсь, в исследовательских целях
Все может быть... Я этими вещами не занимаюсь, не смотря на предоставляемый мною сервис, и накопившихся с пол десятка КК+ всевозможных учеток от более чем 1000 веб ресурсов... То что выше - проводилось лишь для статистики, ну и некого рода proof БД'хи (соответствия с реальными данными). А логика - это без совестно и скучно. Куда уж интереснее повоевать с 2fa, с десятком токенов на авторизации, с динамичной капчей и тд и тп. Исповедовать time attack попутно, вести стату, по тайм, да и вообще по частым паролям. Ну вообщем, долго, упорно, все анализируя уже приходит прояснение, что брутфорс совсем не то что кажеться большинству(а то и всем 95%), в умелых руках за 30 минут 40-50% зареганных на сервисе "отдаются" в типичных случиях... Но не забывать давать отчет своим действиям, искать оригинальные варианты защит приложений, и развиваться дальше, творить то чего не видало "Око" человека. Простор для этого неизмерим
40% акков можно взломать брутом? нереально, если только на сервисе нету бага на безлимитное количество попыток или что то вроде того, достаточно взять базу какую нибудь и посмотреть что там за пароли, могут быть исключения типо говно форумов на которых люди к примеры с поисковиков приходят и регаются на 1 раз, чтобы стали доступны ссылки, там поверю можно на пароли вроде 123456 и вариации логина 40% сбрутить
как что, хакерам, похоже не понравилось, что только определеннные люди могут зарабтывать деньги в инттернете,а простые гражданские нет, почти нет..вот и слили всю базу, чтобы все в паблик ушло..что бы страна знала своих героев.