12,3 миллиона украденных аккаунтов на сайте
«Чрезмерная уверенность — самая опасная форма беспечности.» (Star Wars: The Clone Wars)
В предыдущей статье я описал концепцию Сканера контроля присутствия персональных данных в открытом доступе. И вот уже есть информация о реализации на практике подобной функциональности. Правда речь едет о куда более важной информации — учетных данных доступа к персональным ресурсам.
Группа предприимчивых хакеров под руководством Алена Пузика (Alen Puzic) и Стефена Томаса (Stephen Thomas) основали сайт PwnedList.com. Здесь любой желающий может ввести хеш от своего адреса электронной почты и проверить наличие такого адреса в различных базах украденных данных. Основатели сайта постоянно мониторят более 200 хакерских форумов, скачивают свежие базы с логинами и паролями, а также осуществляют автоматический сбор дампов в интернете, так что к настоящему моменту у них уже накопился архив из 12,3 миллионов украденных аккаунтов. Пополнение базы происходит буквально ежедневно.
Конечно, всё максимально защищено: пароли удаляются сразу после скачивания, так что взлом PwnedList ничего не даст потенциальным злоумышленникам.
При проверке своего email’a лучше вводить хеш SHA-512. Вот ссылки на генераторы хешей: один и два, или несложно использовать какой-нибудь другой. Если ввести хеш SHA-512, а система показывает настоящий email, то это является гарантией того, что данный email уже был в их базе.
Сайт PwnedList запущен девять месяцев назад, а сейчас основатели приняли решение построить на его основе легальный и прибыльный бизнес. Обычная проверка своего email’а остаётся бесплатной. Наряду с этим, всего за один доллар в месяц можно купить подписку — и тогда ваш адрес будет постоянно в списке мониторинга. Если где-то произойдёт утечка, то вы узнаете об этом мгновенно.
Гораздо больше денег может принести корпоративная подписка, цены на которую не разглашаются. Компания может занести в список для мониторинга email’ы с корпоративного домена — и оперативно получить уведомление, если какой-нибудь из них появится на хакерских сайтах.
миллионы украденных аккаунтов, а где пароли?
Легально продаются не пароли, а факт компрометации учетной записи.