A kiszivárgott 1.4 milliárd jelszó letöltése

HUP cikkturkáló

Kíváncsi vagy, hogy kiszivárgott-e a jelszavad plaintext formában?

breachcompilation.txt.7z (torrent, 4.1GB)

via https://gist.github.com/scottlinux/9a3b11257ac575e4f71de811322ce6b3

(csak jelszavak, felhasználónevet vagy egyéb személyes információt nem tartalmaz)

Előzmény: Collection of 1.4 Billion Plain-Text Leaked Passwords Found Circulating Online

  • 20173 megtekintés

( Ar0n v | 2017. 12. 20., sze – 08:27 )

magnet:?xt=urn:btih:5a9ba318a5478769ddc7393f1e4ac928d9aa4a71&dn=breachcompilation.txt.7z

hup elszurja a magnet URI-t ...

( freeoli v | 2017. 12. 20., sze – 08:36 )

Aki megnezte mar, kerem irjon velemenyt rola. Olyasmi mint a kiszivargott osszes visa pin kod vagy annal komolyabb?

En konfirmalni tudom, hogy a last.fm -es passwordom benne volt, de nem volt nehéz torrent fájlt találni az eredeti, email címeket is tartalmazó forráshoz sem. (800+ seed, a fájlok email cím kezdőbetűk alapján darabolva az egyszerűbb kereshetőség miatt)

ezeket tartalmazza: https://lockboxx.blogspot.hu/2017/12/a-year-of-credential-dumps-and-ato…

Nilyvan fugg a jelszavad bonyolultsagatol is, de 1.4 milliardnal egyszerubb jelszo eseten akar veletlen is lehet, nem?

Ha jol szamolom, mondjuk egy minimalisan megkovetelt 6 karakter, szamok + betuk (tegyuk fel,hogy csak kicsi), ez 2 milliard (es ez az osszes lehetoseg, brute force). Ha nagybetuvel is van keverve akkor 56 milliard jon ki. Raadasul sokan nem random karaktereket adnak meg, hanem valami olyat, aminek van "ertelmes" resze (ugy ertem szo, vagy szo toredek).

Tehat ha aSe2!vB}de2acvXCvbd*w#1D,:2" volt (ami pl. az en passwordom minden jelentosebb helyen), es kijott akkor meggyozo, de ha a fifi01 akkor azert...

/sza2

Ne legyél már lusta! Egy db kattintás!

De amúgy itt van:

full base

magnet:?xt=urn:btih:7ffbcd8cee06aba2ce6561688cf68ce2addca0a3&dn=BreachCompilation&tr=udp%3A%2F%2Ftracker.openbittorrent.com%3A80&tr=udp%3A%2F%2Ftracker.leechers-paradise.org%3A6969&tr=udp%3A%2F%2Ftracker.coppersurfer.tk%3A6969&tr=udp%3A%2F%2Fglotorrents.pw%3A6969&tr=udp%3A%2F%2Ftracker.opentrackr.org%3A1337

( carlcolt | 2017. 12. 20., sze – 10:25 )

Viccesebb kerdesem van: mivel a legerdemesebb 4.1 GB-os txt-t megnyitni?

Ilyen aprosagokat varok el, hogy ne DoS-olodjon le a rendszerem. Meg toltodjon a memoriaba annyi, amennyi kell, ne az egesz 4GB plusz a betutipus footprintje minden karakterhez.

( uid_20269 | 2017. 12. 20., sze – 12:51 )

Durva hogy ki-be járkálnak a levelezésemben és megveszik előlem az összes akciós viagrá-t, lenyúlják az összes masszázskupont és kokettálnak nigériai bankárokkal meg trónörökösökkel.. Ezért nem sikerül nekem semmi..
--
God bless you, Captain Hindsight..

Egyik este jött egy sms. Mivel nem szoktam sms-t kapni este, "na már megin mivan" fejjel megnéztem a mobilom. Ennyi volt benne: A fiókját zároltuk. További információ: bit.ly....

Megnyitom, google. Kérdezi: én léptem be Ukrajnából? Hát... nem biztos :D Mivel nem, ezért adjak meg új jelszót, de nem úgy van az. Először a mobilomon hagyjam jóvá, hogy én vagyok az, utána adjam meg a tartalék e-mail címem, aminek csak egy része látszik, utána adjam meg a tartalék telefonszámom, amiből csak 2 karakter látszik és ezek után adhatom meg az új jelszót.

Utána megnéztem a logot, tényleg ott volt az ukrajna. Durva.

( asch v | 2017. 12. 20., sze – 13:46 )

Kéne csinálni egy online ellenőrzőt, amibe csak beírod a jelszavad, és megmondja, hogy benne van-e a listában, vagy pedig biztonságban vagy, hátradőlhetsz :-).

( manfreed (nem ellenőrzött) | 2017. 12. 20., sze – 14:48 )

Vajon legális ezt, vagy akármelyik listát letölteni? Közzétenni?

Szerintem ilyen formában nincs gond vele, mivel nincs hozzá egyéb adat társítva. (pl felhasználónév)

Az eredeti, email címeket is tartalmazó dump már problémásabb és országonként eltérő lehet. Ezt találtam egy másik data leak-el kapcsolatban:

Is it illegal to download the Ashley Madison hack data dump?

"Are there moral issues with it? Sure, but legally you are good. Based on what the precedent is today, if the information is newsworthy and relevant, and you had nothing to do with the acquiring of it - you just knew it was up there - you should be good," he said.
"I think the law is pretty clear that using that database is ok as long as you weren't involved in acquiring it or inducing it in the first place, [because] then you'd be committing a crime."

[...]

But not all attorneys agree with Steinsapir's reading of the law and legal precedent. Joseph Fitzpatrick, spokesman for the U.S. Attorney's office in Chicago, told the Chicago Tribune that simply downloading illegally obtained files is potentially illegal. He even believes that sharing the knowledge of how to obtain the hacked data could be a crime.
"It certainly could be a crime to receive or possess stolen property," he told the newspaper. "Once you download or distribute hacked information without specific permission or a fair use license, you've exposed yourself to potential criminal liability under the Computer Fraud and Abuse Act. An individual who retweets or forwards a link to a website containing hacked information could potentially be viewed as an accessory to the hack after the fact."

via

Jogom van megtudni, hogy egy cég kiszivárogtatta az adataimat? Szerintem igen.

( bounty v | 2017. 12. 20., sze – 17:08 )

Még durvább, hogy a világ összes PIN kódja is kiszivárgott.

Anno a barátnőm teljesen kétségbeesett ettől, hogy most mit csináljon :)

( ssk73 | 2017. 12. 20., sze – 17:39 )

Az az érdekes, hogy találtam a listában helytálló infókat (saját, régi e-mail címekhez pl.), de mégis:
Véletlenszerűen kiválasztott G-Mailes címek közül 1 sem működött. Pedig az átlag amcsi "pussylover123" jelszavú (sok ilyen van :D ) John Doe nem hinném hogy változtatná a jelszavát hetente, vagy mindenhol más jelszót használna...

( mogorva v | 2017. 12. 20., sze – 21:08 )

sub (hátha megkerül 1-2 elveszett jelszavam :) )

( denton | 2017. 12. 21., cs – 10:56 )

A két gagyibb jelszavam benne van, de az erősebb nincs.

Igazából pont leszarom amúgy, az az igazság. A komolyabb helyeken két lépcsős azonosítás van (pl paypal-ról sms kódot kapok).
Így nagy baj nem fog történni.

( toMpEr | 2017. 12. 21., cs – 20:40 )

Már meg is van az első "hasznos" use-case:

Massive Brute-Force Attack Infects WordPress Sites with Monero Miners

- The attack has so far peaked at 14.1 million attacks per hour.
- The total number of IPs involved at this time is over 10,000.
- We are seeing up to 190,000 WordPress sites targeted per hour.
- This is the most aggressive campaign we have ever seen by hourly attack volume.

On December 5th, a massive database of hacked credentials emerged. It contains over 1.4 billion username/password pairs. Approximately 14% of the database contains credentials that have not been seen before. The database is also searchable and easy to use.
Historically, brute force attacks targeting WordPress have not been very successful. This new database provides fresh credentials that, when matched with a WordPress username, may provide a higher success rate for attackers targeting sites that do not have any protection.

via

( sigellef | 2017. 12. 22., p – 13:03 )

... ezt mivel lehet letölteni?

-fs-
Az olyan tárgyakat, amik képesek az mc futtatására, munkaeszköznek nevezzük.
/usr/lib/libasound.so --gágágágá --lilaliba

( raavi | 2017. 12. 22., p – 13:27 )

Hááát vannak érdkes trágár jelszavak....:D :D
Egyébként nagyon sok olyan jelszó is van benne amit már policy régen nem enged. Sok kb. több éves adatnak tűnik.
Ezért ne használj céges email címet akármilyen regisztrációkhoz....

( hokuszpk | 2017. 12. 23., szo – 09:25 )

es meg ez a lista sem "teljes", raeresztettem az haveibeenpwned.com -rol letoltheto ~320M hashbol az elso 3M -re szotarkent hasznalva, es "csak" 90% koruli megfejtes jott ki.

--
HUP te Zsiga !

( MGy v | 2017. 12. 23., szo – 11:05 )

Érdekes, hogy benne van e-mail címem olyan jelszóval, amit soha nem használtam.

( attilav2 | 2017. 12. 25., h – 08:56 )

Mivel nyitottátok meg a fájlt? Kitömörítve közel 9 giga. Próbálkoztam LibreOffice-val, (lefagyott), Notepad++-al, közölte hogy nem tudja megnyitni.
8GB-ram om van, mivel tudnám megnyitni?

Felesleges kitömöríteni, pláne ha kisebb SSD meghajtónk van:

find .|xargs zgrep keresoszo

A zgrep tömörített file-ban keres, de nincs rekurzív (-r) kapcsolója mint a grep/fgrep-nek, emiatt a find-ot használjuk ami lemegy nekünk minden alkönyvtárba, a talált fileneveket pedig pipe-ban továbbítjuk. A fenti parancs az aktuális könyvtárból kiindulva minden alkönyvtár minden file-ját megtalálja és ha tömörített ha nem tömörített keresi fogja benne a keresoszo kifejezést.

Talán még GNU parallel-t hozzá lehetne hegeszteni hogy többszálúan menjen...

Nagy fileoknál jó a parallel.

cat nagyfile|parallel -j24 --pipe --block 1000M grep "keresoszo"

A szabott nagy 50-100 GB-os fileban keresünk grep keresoszoval, egyszerre 24 thread-el 1000MB-os darabokban. Ehez azért kell 32 GB RAM, de --block 256M esetén elég 8GB is.

Persze a nagy file lehet tömörítve is akkor zcat nagyfile kell.

Most néztem van ami 4x gyorsabb a grepnél a neve "ar". Érzésre simán duplán gyorsabb.

cat fileneve|ar "keresoszo"

cat nagyfile|parallel -j24 --pipe --block 1000M ar "keresoszo"

Ami még szuperjó hogy az ar rekurzív is és tömörítettben is tud keresni:

ar "keresoszo" -rz

ez a parancs minden alkönyvtárba végigmegy (default 25 mélység) és minden - de legalábbis minden .gz - fileban keresi a keresőszót. De valszeg bzip és lzop is megy.