Добрые люди выложили в открытый доступ базу паролей MySpace, которая некоторое время ходила по подпольным форумам и продавалась за большие деньги. Теперь она бесплатна и открыта для всех.
База с 427 миллионами паролей — самая большая коллекция паролей за всю историю утечек с разных сайтов, коих было немало в последние годы.
Myspace.com.rar (14,2 ГБ)
Пароль на RAR-архив: KLub8pT&iU$8oBY(*$NOiu
Скачать
SHA1: 8C7E FFE4 3486 C617 E1B4 E295 DBF7 9E10 01AC 86BD
SHA256: 5FA0 5F95 1EFD DA18 8A2E 3D50 8948 1A4F AACA 311E C559 205F EB15 B2BB F7DE EC61
Торрент
magnet:?xt=urn:btih:17E6FC94DAE0A3168301012C290A53A2BD314A28
Пары логин/пароль можно проверять на ящиках электронной почты Mail.ru, Gmail и др., на различных веб-сайтах, в том числе «Вконтакте» и TeamViewer. Утечка паролей MySpace произошла относительно недавно: 11 июня 2013 года, но львиная доля паролей была установлена гораздо раньше, когда MySpace ещё был популярным сайтом в интернете. Напомним, до появления Facebook это была самая популярная социальная сеть в мире.
Хотя большинство паролей установлены давным-давно, но некоторые пользователи много лет используют одинаковые ники и стандартные пароли на многих сайтах, так что эти пароли встречаются спустя несколько лет на новых сайтах, которые начали работу уже после MySpace. Другими словами, база паролей имеет не только академическую, но и практическую ценность для пентестинга.
Разумеется, гигантская коллекция паролей представляет интерес для исследователей и учёных. Раньше проводились исследования на эту тему и составлялись списки самых популярных паролей на менее объёмных базах.
Коллекция готовых паролей, ранжированная по популярности, отлично подходит для пополнения словарей в программах для брутфорса.
Всего база MySpace содержит 360 213 024 аккаунта. Для каждого из них указан может быть указан адрес электронной почты, имя пользователя, первый пароль и, в некоторых случаях, второй пароль.
- Имён пользователей — 111 341 258
- Аккаунтов со вторым паролем — 68 493 651 (в некоторых аккаунтах указан только второй пароль и не указан первый)
- Общее количество паролей — 472 484 128
Пароли хранились в виде хэшей SHA1 без соли, то есть их относительно просто привести в первоначальный вид. В реальности, 99% хэшей расшифровали в течение нескольких дней.
Хранение паролей в таком виде не соответствует общепринятым современным правилам информационной безопасности.
Эксперты, которые первыми получили доступ к базе и осуществили её анализ, отмечают, что очень небольшое количество паролей имеет длину более десяти символов.
Специалисты также предполагают, что большое количество аккаунтов с одинаковыми паролями homelesspa были автоматически сгенерированы, потому что почтовые адреса для этих аккаунтов следуют одинаковому шаблону.
В конце многих паролей указана цифра “1”. Скорее всего, MуSpace выдвигал требование, чтобы пароли обязательно содержали буквы и цифры для повышения безопасности и увеличения энтропии.
Самые популярные пароли из базы MySpace
Место | Пароль | Количество |
---|---|---|
1 | homelesspa | 855478 |
2 | password1 | 585503 |
3 | abc123 | 569825 |
4 | 123456 | 487945 |
5 | myspace1 | 276915 |
6 | 123456a | 244641 |
7 | 123456789 | 191016 |
8 | a123456 | 165132 |
9 | 123abc | 159700 |
10 | (POSSIBLY INVALID) | 158462 |
11 | qwerty1 | 141110 |
12 | passer2009 | 130740 |
13 | fuckyou1 | 125302 |
14 | iloveyou1 | 123668 |
15 | princess1 | 114107 |
16 | 12345a | 111818 |
17 | monkey1 | 106424 |
18 | football1 | 101149 |
19 | babygirl1 | 90685 |
20 | love123 | 88756 |
21 | a12345 | 85874 |
22 | iloveyou | 85001 |
23 | jordan23 | 81028 |
24 | hello1 | 80218 |
25 | jesus1 | 78075 |
26 | bitch1 | 78015 |
27 | password | 77913 |
28 | iloveyou2 | 76970 |
29 | michael1 | 75878 |
30 | soccer1 | 74926 |
31 | blink182 | 73145 |
32 | 29rsavoy | 71551 |
33 | 123qwe | 70476 |
34 | angel1 | 70271 |
35 | myspace | 69019 |
36 | fuckyou2 | 68995 |
37 | jessica1 | 67644 |
38 | number1 | 65976 |
39 | baseball1 | 65400 |
40 | asshole1 | 63078 |
41 | 1234567890 | 62855 |
42 | ashley1 | 62611 |
43 | anthony1 | 62295 |
44 | money1 | 61639 |
45 | asdasd5 | 60810 |
46 | 123456789a | 60441 |
47 | superman1 | 59565 |
48 | sunshine1 | 57522 |
49 | nicole1 | 56039 |
50 | password2 | 55754 |
51 | charlie1 | 54432 |
52 | shadow1 | 54398 |
53 | jordan1 | 54004 |
54 | 1234567 | 51131 |
55 | 50cent | 50719 |
Самые популярные почтовые домены из базы аккаунтов MySpace
Место | Почтовый домен | Количество |
---|---|---|
1 | @yahoo.com | 126 053 325 |
2 | @hotmail.com | 79 747 231 |
3 | @gmail.com | 25 190 557 |
4 | @aol.com | 24 115 704 |
5 | @aim.com | 5 345 585 |
6 | @live.com | 4 728 497 |
7 | @hotmail.co.uk | 4 701 850 |
8 | @msn.com | 4 378 167 |
9 | @myspace.com | 4 257 451 |
10 | @comcast.net | 3 275 651 |
11 | @ymail.com | 2 866 796 |
12 | @sbcglobal.net | 2 793 292 |
13 | @hotmail.fr | 2 335 422 |
14 | @web.de | 1 486 602 |
15 | @rocketmail.com | 1 420 819 |
16 | @yahoo.co.uk | 1 384 943 |
17 | @verizon.net | 1 255 478 |
18 | @cox.net | 1 082 304 |
19 | @mail.ru | 1 040 442 |
20 | @hotmail.it | 1 018 406 |
21 | @bellsouth.net | 961 018 |
22 | @gmx.de | 959 852 |
23 | @hotmail.de | 852 256 |
24 | @NONE | 790 159 |
25 | @yahoo.fr | 741 962 |
26 | @att.net | 685 951 |
27 | @earthlink.net | 652 769 |
28 | @hotmail.es | 612 748 |
29 | @yahoo.co.id | 604 816 |
30 | @yahoo.com.my | 601 114 |
31 | @yahoo.com.br | 551 956 |
32 | @charter.net | 548 031 |
33 | @yahoo.de | 543 823 |
34 | @live.fr | 518 523 |
35 | @netscape.net | 510 577 |
36 | @live.co.uk | 502 121 |
37 | @libero.it | 490 151 |
38 | @googlemail.com | 430 112 |
39 | @wp.pl | 401 928 |
40 | @live.com.mx | 397 944 |
41 | @yahoo.es | 389 453 |
42 | @yahoo.co.jp | 351 781 |
43 | @btinternet.com | 349 642 |
44 | @mail.com | 343 346 |
45 | @excite.com | 335 215 |
46 | @yahoo.com.mx | 330 927 |
47 | @qamail.msprod.msp | 328 267 |
48 | @peoplepc.com | 325 192 |
49 | @music.msprod.msp | 324 173 |
50 | @yahoo.ca | 320 579 |
51 | @tmail.com | 314 187 |
52 | @gmx.net | 310 143 |
53 | @netzero.com | 308 410 |
54 | @yahoo.it | 307 122 |
55 | @optonline.net | 306 284 |
Каждому пользователю рекомендуется скачать базу с паролями и проверить, насколько часто в ней встречается его собственный пароль. Это безопасный способ проверить свой пароль, не выдавая его онлайновому сервису проверки типа LeakedSource.
Появление паролей в открытом доступе после взлома сайта — всего лишь вопрос времени. В данном случае от взлома до появления их в открытом доступе прошло три года. «Это природа информации, — сказал хакер Tessa88, который рассекретил базу. — Трое могут хранить секрет только при условии, что двое из них умерли. Как только данные пару раз продали, в конце концов она попадёт в руки кому-нибудь не настолько надёжному, чтобы сохранить секрет, и затем информация распространяется ка ветви дерева [то есть в геометрической прогрессии — прим. пер.]».
Компания MySpace пока не комментирует факт взлома и утечки информации. Это был крупнейший сайт в интернете примерно десять лет назад, но с тех пор его посещаемость сильно снизилась. Недавно MySpace объявил о миллиарде зарегистрированных пользователей, но можно с большой долей уверенности предположить, что намного больше половины из них — это мёртвые аккаунты, покинутые давным-давно. В прошлом году активная месячная аудитория MySpace составляла всего 50 млн человек.
Автор: alizar