Gisteren schreef ik over 's werelds grootste basis van gestolen wachtwoorden en website, waar u kunt controleren of de gecompromitteerde uw e-mail (ammo1.livejournal.com/1011988.html). Meer dan de helft honderd commentatoren hebben gesuggereerd dat de site zelf is het stelen van wachtwoorden, verzamelt e-mail op spam en zo is de geest. Een commentator schreef zelfs "Alexey noodzaak om elk bericht te verwijderen of om zich te verontschuldigen voor de verspreiding van dergelijke lazhy of reputatie zal worden aangetast een beetjeen "(spelling bewaard gebleven van de regel" Ms-shek "vanaf het tweede jaar van de middelbare school is vergeten).
Laten we eens onderzoeken.
Troy Hunt, die de site gemaakt https://haveibeenpwned.com, Is een expert op Internet beveiliging. Hier is een artikel over in het Engels Wikipedia: en.wikipedia.org/wiki/Troy_Hunt. Troy houdt een blog gewijd aan de veiligheid van Internet troyhunt.com.
Op het nieuws gelekt over de basis met een miljard wachtwoorden schreef gisteren niet alleen mij. Hier publicatie Habra editie:
habr.com/ru/post/436420. Hier worden uitgegeven door Kaspersky Lab: facebook.com/KasperskyLabRussia/photos/a.133379716735218/2440782895994877. Dit werd geschreven TASS, RBC, en Echo van Moskou vele andere media.Mozilla bedrijf dat de populaire browser FireFox gemaakt, lanceerde een dienst lektest monitor.firefox.comMet behulp van de site voor de API haveibeenpwned.com, maar niet overgedragen door het verifieerbaar e-mailadres (alleen doorgegeven hashes).
Deze service is handig, want het toont enkel de plaatsen waar het lek zich heeft voorgedaan paren e-mail wachtwoord en de datum waarop het gebeurde. In mijn primaire adres wordt weergegeven vijf lekken van 2011-2013.
En nog veel meer op de site van Troje kan worden gedownload base hashes van wachtwoorden (het is geen duidelijke tekst wachtwoorden, maar de checksums die zeker kan controleren of het wachtwoord in de database).
Op basis van alle bovengenoemde factoren gegeven, lijkt het erop dat de site kan worden vertrouwd en haveibeenpwned.com geen e-mail en wachtwoord het niet innen de maker is niet met een aanvaller.
Ik denk dat de meest correcte zou zijn om een heel simpel ding dat ik gisteren al zei te doen. Als de site wanneer u een e-mail naar deze e-mail letter in te voeren dat dit e-mailadres volgende paswoorden lekken gedetecteerd en resulteerde in expliciete vorm alle paren van gebruikersnaam en wachtwoord met een indicatie van de site die is gestroomd en de datum lekkage, geen twijfel het zou veel kleiner en gebruik meer. Nogmaals, moet een paar van een e-wachtwoord alleen in een brief verstuurd naar het adres van de gecompromitteerde zijn, ik denk dat het heel veilig.
Nu, over het hele land. Verschillende mensen hebben geschreven dat de geïnjecteerde plaats niet-bestaand e-mailadressen en website gemeld dat volgens hem is er een lek. Laten we proberen om het te repareren. Controleer de tijd, zelfs dergelijke niet-bestaande of nieuw geregistreerde adressen op https://haveibeenpwned.com en monitor.firefox.com en praten over de resultaten, met vermelding van de e-mail, zodat ik en anderen ook in staat om ze te controleren zijn geweest.
© 2019 Alex Nadozhin