A kiszivárgott 1.4 milliárd jelszó letöltése

 ( toMpEr | 2017. december 19., kedd - 20:37 )

Kíváncsi vagy, hogy kiszivárgott-e a jelszavad plaintext formában?

breachcompilation.txt.7z (torrent, 4.1GB)

via https://gist.github.com/scottlinux/9a3b11257ac575e4f71de811322ce6b3

(csak jelszavak, felhasználónevet vagy egyéb személyes információt nem tartalmaz)

Előzmény: Collection of 1.4 Billion Plain-Text Leaked Passwords Found Circulating Online

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

magnet:?xt=urn:btih:5a9ba318a5478769ddc7393f1e4ac928d9aa4a71&dn=breachcompilation.txt.7z

hup elszurja a magnet URI-t ...

subs

+1

+1

Aki megnezte mar, kerem irjon velemenyt rola. Olyasmi mint a kiszivargott osszes visa pin kod vagy annal komolyabb?

En konfirmalni tudom, hogy a last.fm -es passwordom benne volt, de nem volt nehéz torrent fájlt találni az eredeti, email címeket is tartalmazó forráshoz sem. (800+ seed, a fájlok email cím kezdőbetűk alapján darabolva az egyszerűbb kereshetőség miatt)

ezeket tartalmazza: https://lockboxx.blogspot.hu/2017/12/a-year-of-credential-dumps-and-atos.html

Nilyvan fugg a jelszavad bonyolultsagatol is, de 1.4 milliardnal egyszerubb jelszo eseten akar veletlen is lehet, nem?

Ha jol szamolom, mondjuk egy minimalisan megkovetelt 6 karakter, szamok + betuk (tegyuk fel,hogy csak kicsi), ez 2 milliard (es ez az osszes lehetoseg, brute force). Ha nagybetuvel is van keverve akkor 56 milliard jon ki. Raadasul sokan nem random karaktereket adnak meg, hanem valami olyat, aminek van "ertelmes" resze (ugy ertem szo, vagy szo toredek).

Tehat ha aSe2!vB}de2acvXCvbd*w#1D,:2" volt (ami pl. az en passwordom minden jelentosebb helyen), es kijott akkor meggyozo, de ha a fifi01 akkor azert...

/sza2

Valóban van rá esély, de nem volt értelmes szó és több volt mint 6 karakter + utána letöltöttem az email címeket is tartalmazó dump rám vonatkozó részét és ott egyértelműen az email címemhez volt kapcsolva

Igy persze valoban meggyozo...

/sza2

Egy ezeréves jelszóm nekem is benne van (a LinkedIn dumpból). (a duplákat igazán kiszedhették volna belőle :))

Igen, tényleg kiszedhették volna. Némelyik 3-4x is szerepel. És rendezhették is volna, hogy "look -b"-vel gyorsan lehessen keresni benne.

Én megtaláltam egy csomó ismerősöm jelszavát, működtek is... Küldtem nekik új jelszót SMS-ben, illetve kértem őket, hogy azonnal változtassák meg. :)

Kínzó Kérdés:

Honnan tudtad a jelszavaikat? :)

Megkerestem a fájlokban az e-mail címüket, és ott volt mellette.
A kínzó kérdés inkább az, hogy miért nem olvasod el, amire válaszolsz, mielőtt kérdezel?

áh, akkor te a teljes dumpot szedted le? Mert a topic a password-only torrentről szól ;)

Viszont ebben a threadben már inkább a teljes listáról! :)

mosmá letöltöm én is :)

Dobd már át a forrását emailben nekem, vagy legalább utasításokat hozzá... Megnézném, hogy a kevésbé biztonságosan élt múltamból mi van benne :D

SOLVED
megtaláltam közben

Elküldöd privátban? Az is jó, ha megmondod, hogy hol találtad. Én is kíváncsi vagyok. :)

Köszönöm!
--
https://naszta.hu

Google: "tensorflow breach 1.4 billion analysis" első találat, "Get the data" címszó alatt.

Ne legyél már lusta! Egy db kattintás!

De amúgy itt van:

full base

magnet:?xt=urn:btih:7ffbcd8cee06aba2ce6561688cf68ce2addca0a3&dn=BreachCompilation&tr=udp%3A%2F%2Ftracker.openbittorrent.com%3A80&tr=udp%3A%2F%2Ftracker.leechers-paradise.org%3A6969&tr=udp%3A%2F%2Ftracker.coppersurfer.tk%3A6969&tr=udp%3A%2F%2Fglotorrents.pw%3A6969&tr=udp%3A%2F%2Ftracker.opentrackr.org%3A1337

Igaz, köszönöm!
--
https://naszta.hu

nem, az egy threaddel arrébb lett volna ;)

(rejtett sub)

"kiszivargott osszes visa pin kod"

Felröhögtem

Mondok jobbat en ismerem az osszes lehetseges kombinaciot csak kar hogy 3x lehet minden kartyanal probalkozni... :D

Tömörítve itt van:

seq -f '%04.0f' 0 9999

A mobilom pinkódját hogyan tetted bele?

Viccesebb kerdesem van: mivel a legerdemesebb 4.1 GB-os txt-t megnyitni?

Ilyen aprosagokat varok el, hogy ne DoS-olodjon le a rendszerem. Meg toltodjon a memoriaba annyi, amennyi kell, ne az egesz 4GB plusz a betutipus footprintje minden karakterhez.

vi

--
trey @ gépház

nano ... stb

Nekem total commander F3 jól működött és a keresés is 15mp alatt megtörtént (9GB-os fájl)
Teszt képpen kiprobáltam mcview -el is: megnyitás gyors, de a keresés 60mp+ (linux subsystem alatt)

unortodox gondolat: valamilyen sql-be tolni...

--
t-systems-es it architect allast keres. Jelige: csak webshopot ne kelljen...

Akinek kalapácsa van ...

Hat ha szoget latok valamint a feladat az ,hogy az a falba keruljon nekem is az az elso otletem...

Tipli...

menj már... :-D

Es a tipli hogyan kerul a falba?

Régen fatipliket használtak. Azzal még lenne is értelme szöget falba „szerelni”. De egy műanyag tiplivel? Vagy már ahhoz is gyártanak tiplit?

bitch please...

--
t-systems-es it architect allast keres. Jelige: csak webshopot ne kelljen...

En az ilyenben csak (f)grepelni szoktam. Vagy esetleg less.

--
http://blog.htmm.hu/

+1
Mi ertelme van megnyitni egy 9GB-os filet? grep-pelni kell benne, ha meg csak kivancsi vagy hogy nez ki, ahhoz egy head/tail eleg.

Hasznos szolgáltatás: https://haveibeenpwned.com/DomainSearch

Automatikus értesítés, ha egy domain alá tartozó bármelyik email cím jelszava leakelődik.

Így van, helyetted megkeres téged is ezekben a leakekben. :)

--
Fedora ("izélinux") 27

Ezt (még) nem töltötték be, az egyik címem a mostaniban benne volt, a site-on pedig azt mondja OK.

Ez domain tulajdonsoknak van, ha csak a sajat email cimed / felhasznaloneved erdekel, akkor ez kell neked: https://haveibeenpwned.com/NotifyMe

Durva hogy ki-be járkálnak a levelezésemben és megveszik előlem az összes akciós viagrá-t, lenyúlják az összes masszázskupont és kokettálnak nigériai bankárokkal meg trónörökösökkel.. Ezért nem sikerül nekem semmi..
--
God bless you, Captain Hindsight..

Ez annyira jól sikerült, hogy helyedben, - legalább IT biztonság témáknál, - aláírásként hasznosítanám..

mármint szarkasztikusan, ugye?
ha megvan a hozzáférés az illető mailboxához, kb. minden máshoz is megvan

s/mailboxához/spamgyűjtőjéhez/

(erre utalt, de FIXME)

--
trey @ gépház

Egyik este jött egy sms. Mivel nem szoktam sms-t kapni este, "na már megin mivan" fejjel megnéztem a mobilom. Ennyi volt benne: A fiókját zároltuk. További információ: bit.ly....

Megnyitom, google. Kérdezi: én léptem be Ukrajnából? Hát... nem biztos :D Mivel nem, ezért adjak meg új jelszót, de nem úgy van az. Először a mobilomon hagyjam jóvá, hogy én vagyok az, utána adjam meg a tartalék e-mail címem, aminek csak egy része látszik, utána adjam meg a tartalék telefonszámom, amiből csak 2 karakter látszik és ezek után adhatom meg az új jelszót.

Utána megnéztem a logot, tényleg ott volt az ukrajna. Durva.

Érdemes mindenképp bekapcsolni a kétfaktoros autentikációt.
És e-mail fiókhoz mindig dedikált jelszót használunk, sose olyat, amit máshol is.

Kéne csinálni egy online ellenőrzőt, amibe csak beírod a jelszavad, és megmondja, hogy benne van-e a listában, vagy pedig biztonságban vagy, hátradőlhetsz :-).

Szoval bovitened a listat..? :DDD

+1 :D
és a javascript a browser history-val együtt küldi el a jelszavad is :D :D

Addig sem voltál biztonságban, amég "nem írtad be" online sehova, miben reménykedhetsz azután?

Megpróbálta valaki rendezni?

kommentekben:

Welp, looks like this is not sorted, so not a unique list. :(
sort with the number of cores you have available:
LC_ALL=C sort --parallel=8 -u breachcompilation.txt -o breachcompilation.sorted.txt
remove leading spaces:
sed -i -e's/^\s*//' breachcompilation.sorted.txt

Az egészet (a másik torrent) még nem, de résztalálatokat (párszáz mega) már rendeztem ...|sort|uniq>final. Általában 10%-a duplikált, 90%-a egyedi.

Size: 4073171254 lett azaz durvan a fele :S

Igen, kb 300M egyedi jelszo van benne "csak". Nem is tudom miert nem ugy tettek ki.

sub
-------------------------
Dropbox refer - mert kell a hely: https://db.tt/V3RtXWLl
neut @ présház

Vajon legális ezt, vagy akármelyik listát letölteni? Közzétenni?

Szerintem ilyen formában nincs gond vele, mivel nincs hozzá egyéb adat társítva. (pl felhasználónév)

Az eredeti, email címeket is tartalmazó dump már problémásabb és országonként eltérő lehet. Ezt találtam egy másik data leak-el kapcsolatban:

Is it illegal to download the Ashley Madison hack data dump?

"Are there moral issues with it? Sure, but legally you are good. Based on what the precedent is today, if the information is newsworthy and relevant, and you had nothing to do with the acquiring of it - you just knew it was up there - you should be good," he said.
"I think the law is pretty clear that using that database is ok as long as you weren't involved in acquiring it or inducing it in the first place, [because] then you'd be committing a crime."

[...]

But not all attorneys agree with Steinsapir's reading of the law and legal precedent. Joseph Fitzpatrick, spokesman for the U.S. Attorney's office in Chicago, told the Chicago Tribune that simply downloading illegally obtained files is potentially illegal. He even believes that sharing the knowledge of how to obtain the hacked data could be a crime.
"It certainly could be a crime to receive or possess stolen property," he told the newspaper. "Once you download or distribute hacked information without specific permission or a fair use license, you've exposed yourself to potential criminal liability under the Computer Fraud and Abuse Act. An individual who retweets or forwards a link to a website containing hacked information could potentially be viewed as an accessory to the hack after the fact."

via

Jogom van megtudni, hogy egy cég kiszivárogtatta az adataimat? Szerintem igen.

sub
--

Még durvább, hogy a világ összes PIN kódja is kiszivárgott.

Anno a barátnőm teljesen kétségbeesett ettől, hogy most mit csináljon :)

Megnéztem, az összes kártyámé rajta van :-(. Letiltatom mindet.

Az enyem nincs benne...

svájcban van 6 számjegyű is. mondjuk azt nem tudom hogy kezeli le egy hazai atm.

Szerintem simán. Az, hogy alapesetben nég jegyű, az nem azt jelenti, hogy csak annyi lehet... Meg ugye ha adott kártyatársaság logója ott virít az ATM-en, akkor azokat a külföldön is használható kártyákat kutya kötelessége az ATM-nek elfogadni, és helyesen kezelni.

Az az érdekes, hogy találtam a listában helytálló infókat (saját, régi e-mail címekhez pl.), de mégis:
Véletlenszerűen kiválasztott G-Mailes címek közül 1 sem működött. Pedig az átlag amcsi "pussylover123" jelszavú (sok ilyen van :D ) John Doe nem hinném hogy változtatná a jelszavát hetente, vagy mindenhol más jelszót használna...

Szerintem elég valószínű, hogy a google-s srácok is figyelik a dumpokat és automatikusan resetelik az érintett accountokat.

Nem. Kipróbáltam, az én régijeim mennek (nem használom őket).

Ők meg nagy valószínűséggel kaptak Google figyelmeztetést, hogy Magyarországról be akarnak lépni.

sub (hátha megkerül 1-2 elveszett jelszavam :) )

Felejt, kolléga, felejt? :D

Negatív gravitció? Ott lehet...

ha én elkezdenék mesélni...
de inkáb hagyjuk. :)

ROTFL

--
trey @ gépház

Röhögsz, de volt hölgyismerős, akinek segített a régi yahoo-s címei visszaszerzésében... :D

A két gagyibb jelszavam benne van, de az erősebb nincs.

Igazából pont leszarom amúgy, az az igazság. A komolyabb helyeken két lépcsős azonosítás van (pl paypal-ról sms kódot kapok).
Így nagy baj nem fog történni.

Már meg is van az első "hasznos" use-case:

Massive Brute-Force Attack Infects WordPress Sites with Monero Miners

- The attack has so far peaked at 14.1 million attacks per hour.
- The total number of IPs involved at this time is over 10,000.
- We are seeing up to 190,000 WordPress sites targeted per hour.
- This is the most aggressive campaign we have ever seen by hourly attack volume.

On December 5th, a massive database of hacked credentials emerged. It contains over 1.4 billion username/password pairs. Approximately 14% of the database contains credentials that have not been seen before. The database is also searchable and easy to use.
Historically, brute force attacks targeting WordPress have not been very successful. This new database provides fresh credentials that, when matched with a WordPress username, may provide a higher success rate for attackers targeting sites that do not have any protection.

via

... ezt mivel lehet letölteni?

-fs-
Az olyan tárgyakat, amik képesek az mc futtatására, munkaeszköznek nevezzük.
/usr/lib/libasound.so --gágágágá --lilaliba

bármelyik torrentklienssel.
a magnet url-t url-ként kell megadni neki. Pl: "Fájl hozzáadása URL-ből" és odabaszod a magnet: kezdetű szöveget.

Szerintem a legkevésbé fájdalmas az aria2 - elég nagy eséllyel telepíthető csomagból is.

Hááát vannak érdkes trágár jelszavak....:D :D
Egyébként nagyon sok olyan jelszó is van benne amit már policy régen nem enged. Sok kb. több éves adatnak tűnik.
Ezért ne használj céges email címet akármilyen regisztrációkhoz....

Baj az, hogy sokan több éve nem változtatnak jelszót

Attól még, hogy a policy ma nem engedi, attól még működhet a jelszó. Nekem van majd 10 éves spam-nek használt gmail fiókom 5 karakteres, csupa kisbetűs jelszóval, mai napig működik.

es meg ez a lista sem "teljes", raeresztettem az haveibeenpwned.com -rol letoltheto ~320M hashbol az elso 3M -re szotarkent hasznalva, es "csak" 90% koruli megfejtes jott ki.

--
HUP te Zsiga !

Érdekes, hogy benne van e-mail címem olyan jelszóval, amit soha nem használtam.

márhogy egy olyan kombó, ami szerinted kruvaélet, hogy nem volt úgy használva, vagy hogy idegen a jelszó?

hash utkozes ! :D)

nekem bennevan az egyik jelszavam olyan emailcimmel, ami sose volt az enyem :D

--
HUP te Zsiga !

Mivel nyitottátok meg a fájlt? Kitömörítve közel 9 giga. Próbálkoztam LibreOffice-val, (lefagyott), Notepad++-al, közölte hogy nem tudja megnyitni.
8GB-ram om van, mivel tudnám megnyitni?

010 Editor, ne is keress jobbat ehhez szerintem :)

Kitömörítve közel 9 giga. Próbálkoztam LibreOffice-val, (lefagyott)

ez egy gyongyszem, beillik utolso mondatnak is...

--
t-systems-es it architect allast keres. Jelige: csak webshopot ne kelljen...

cat, grep, less

Windows alatt pedig 'Total commander' nézőke (F3). Keresője pedig tud szöveget keresni a file(ok)ban.

Nem kell kicsomagolni se, mert a 7z a -so-val on-the-fly kizippeli stdout-ra:

7z e -so breachcompilation.txt.7z | grep -i valami

:wq

mivel 1 grep ugysem lesz eleg, ezert szerintem erdemes 1x kicsomagolni...

--
t-systems-es it architect allast keres. Jelige: csak webshopot ne kelljen...

Akkor hadd hívjam fel a figyelmedet a grep -e opciójára :-)

=====
tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?

thx, tudtam az -e-rol, hanem arra celoztam, hogy kesobb (perceken belul) is akarsz meg greppelni abban a szabott nagy file-ban...

--
t-systems-es it architect allast keres. Jelige: csak webshopot ne kelljen...

:DDDDDDDDD

Az stdout sosem kerul be a memoriaba, mi? :P (oke, at tudod pipe-olni, de aki LibreOffice-szal akarta megnytni az nem fogja tudni hogy kell)

Ha a végére raksz egy | more -t, akkor elég csekély mennyiségű memóriával megelégszik. OK, ha a more-t less-re cseréled, akkor megszívtad :-)

=====
tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?

De pont olyan kerdezte (elso ranezesre), akinek fingja sincs a more/less memoriahasznalatarol ;)

Felesleges kitömöríteni, pláne ha kisebb SSD meghajtónk van:

find .|xargs zgrep keresoszo

A zgrep tömörített file-ban keres, de nincs rekurzív (-r) kapcsolója mint a grep/fgrep-nek, emiatt a find-ot használjuk ami lemegy nekünk minden alkönyvtárba, a talált fileneveket pedig pipe-ban továbbítjuk. A fenti parancs az aktuális könyvtárból kiindulva minden alkönyvtár minden file-ját megtalálja és ha tömörített ha nem tömörített keresi fogja benne a keresoszo kifejezést.

Talán még GNU parallel-t hozzá lehetne hegeszteni hogy többszálúan menjen...

De jó ez a parallel! Nem is ismertem...

Nagy fileoknál jó a parallel.

cat nagyfile|parallel -j24 --pipe --block 1000M grep "keresoszo"

A szabott nagy 50-100 GB-os fileban keresünk grep keresoszoval, egyszerre 24 thread-el 1000MB-os darabokban. Ehez azért kell 32 GB RAM, de --block 256M esetén elég 8GB is.

Persze a nagy file lehet tömörítve is akkor zcat nagyfile kell.

Most néztem van ami 4x gyorsabb a grepnél a neve "ar". Érzésre simán duplán gyorsabb.

cat fileneve|ar "keresoszo"

cat nagyfile|parallel -j24 --pipe --block 1000M ar "keresoszo"

Ami még szuperjó hogy az ar rekurzív is és tömörítettben is tud keresni:

ar "keresoszo" -rz

ez a parancs minden alkönyvtárba végigmegy (default 25 mélység) és minden - de legalábbis minden .gz - fileban keresi a keresőszót. De valszeg bzip és lzop is megy.

Erről az "ar"-ról mondanál kicsit többet? Csak mert ilyen néven én eddig a függvénykönyvtár kezelő programot ismertem. SZóval milyen drisztró, milyen nevű csomag, ottlap, stb?

=====
tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?

" 1000MB-os darabokban"

És ha a találat blokkhatárral kettéválasztott sorokban volna?

7z-t is megeszik a zgrep?, jo reggelt...

--
t-systems-es it architect allast keres. Jelige: csak webshopot ne kelljen...

Nem tudom 7z-vel megy-e.

ha menne, akkor szerinted szova tettem volna?

--
t-systems-es it architect allast keres. Jelige: csak webshopot ne kelljen...

Próbáltam, nem megy. De ha tudod hogy nem megy akkor meg minek kérdezted? :-D

de nehezen rakod ossze: azt akartam finoman kifejezni, hogy hulyeseget irtal...

--
t-systems-es it architect allast keres. Jelige: csak webshopot ne kelljen...

Word-el. :)

miert is kellene megnyitni irasra ?
hozza akarsz toldani nehany millio jelszot ?

--
HUP te Zsiga !

XVI32-t használok nézelődésre.

:)

sub

sub

+1
--
ne terelj