Ha jól értettem meg a fickó (Troyhunt) tavalyi blog posztját, a beküldött jelszavak-nak "csak" a hash-ét kapja meg a database search szkriptje, nem a ténylegesen begépelt cleartext-et. Azt a hash-t is egy furmányos feldaraboló algoritmussal tördelik, amiről azt állítja a társszerzővel, hogy nem tudják belőle kinyerni a teljes hash-t, csak az egyik "felét". Tehát még azt se tudják pontosan visszanézni, hogy mire is kerestek a userek a náluk levő hash-listában. Jó persze, messziről jött ember azt mond amit akar. De ha azt nézzük, hogy százmillió++ username+pwdhash párokat kap hetente, amik nagy része azért valós és éles, nem nagyon látom miért kéne még neki is phishingelnie h. újabb párszázezres mintához jusson.
Aztán persze lehet h. egy világméretű átbaszás az egész a színfalak mögött. Az a baj az üldözési mániával, h. attól mert abban szenvedsz, még nem biztos hogy nem üldöznek ténylegesen.
--