Vice: Хакеры выставили на продажу данные 100 млн. пользователей ВКонтакте

• Без паники! Это старая публикация: текст был написан ещё в июне 2016 г. Довольно скоро нам придётся освежить в памяти утечки, связанные с ВК, и эта статья может нам пригодиться!
• Летом 2016 г. хакер под ником Peace выставил на продажу сразу 100 млн. аккаунтов пользователей социальной сети ВКонтакте. Хакер не скрывал, что данные могли утратить свою актуальность: по его словам, взлом произошёл в 2011-2013 гг. Администрация сайта отрицает факт взлома, объясняя кражу данных банальным фишингом. Вот только в те годы у ВКонтакте было как раз в районе 100 млн. пользователей... Перевод заметки Vice.

Новый день, новый взлом:
Украдены логины и пароли от 100 миллионов аккаунтов пользователей ВКонтакте (российский аналог Facebook)

Злоумышленникам удалось получить доступ к адресам электронной почты, паролям, номерам телефонов и именам 100 миллионов пользователей ВКонтакте. Украденные данные хакеры пытались продать на "черном" рынке.

LeakedSource (сайт, анализирующий сливы и утечки) узнал о взломе в начале июня 2016 г. Анализ полученных данных не занял много времени, но хакер, известный под ником Peace, успел выставить архив на продажу.

ВКонтакте очень похож на Facebook и особенно популярен в России и странах СНГ. Функционал в целом тоже схож с Facebook: обмен сообщениями, пользовательские профили, альбомы с фотографиями, лайки и т. д. Основатель ВКонтакте Павел Дуров успел продать свою долю в компании и запустить мессенджер Telegram. По данным TechCrunch, к 2014 г. ВКонтакте было зарегистрировано чуть больше 100 миллионов пользователей.

Peace предоставил Vice архив, содержащий в себе 100 544 934 записи. Для проверки достоверности предоставленных данных LeakedSource составил свою выборку. В архиве содержались данные об именах и фамилиях пользователей, адреса их электронной почты, номера телефонов и пароли.

Если верить хакеру, ему не пришлось взламывать пароли каждого пользователя: на сайте они и так хранились в открытом виде. Peace выставил цену в 1 биткоин, что на июнь 2016 г. составляло примерно $570.

Мы проверили часть украденных данных. Из 100 случайно выбранных адресов электронной почты 92 соответствовали активным учётным записям. Наши друзья из России подтвердили, что пароли к их записям указаны верно.

Номера телефонов тоже оказались подлинными. Однако в украденной базе данных номер сотового указан далеко не у всех. На момент написания данной статьи при регистрации ВКонтакте вам придётся указать и свой номер, но так было не всегда.

Peace признаёт, что сайт был взломан между 2011 и 2013 гг., однако не уточняет когда именно. И это похоже на правду. Хакер утверждает, что у него есть доступ ещё к 71 миллиону аккаунтов, которые он пока не выставлял на продажу.

В публикации LeakedSource сказано, что данные им предоставил некто под ником "Tessa88". Этот же ник был связан и с недавним распространением украденных данных пользователей MySpace.

Согласно анализу LeakedSource, самым популярным паролем на сайте ВКонтакте был "123456", его использовало 709 067 пользователей. Другие популярные пароли также были весьма предсказуемы: "qwerty", "123123", "qwertyuiop" и т. д.

Подавляющее большинство пользователей (41 132 524 аккаунта), по данным LeakedSource, пользовались почтовым сервисом Mail.Ru. Другие российские сервисы также вошли в топ почтовых доменов.

Павел Дуров отказался давать комментарии.

Выводы

Огромный массив пользовательских данных (включая их логины и пароли) дрейфует где-то на просторах сети. Какие уроки мы должны извлечь из этой истории? Ну, во-первых, не стоит полагаться на столь простые и предсказуемые пароли. Придумайте что-то по-настоящему сложное. Причём вы должны использовать для каждого сайта свой уникальный пароль. Нельзя, чтобы ваши пароли повторялись, иначе любая утечка ставит под угрозу все ваши учётные записи. Это не прихоть и не бзик! Это действительно поможет остановить хакеров, которые попытаются нажиться на ваших данных. Чем популярнее сайт и чем деликатнее информация, которая на нём содержится, тем важнее придумать сложный и уникальный пароль.

UPD

Представители ВКонтакте отрицают факт взлома:

"Базы данных ВК не были взломаны. Речь идёт о старых логинах / паролях, собранных мошенниками в 2011-2012 гг. Пароли пользователей, чьи данные были скомпрометированы, были изменены в принудительном порядке. Пожалуйста, не забывайте, что устанавливая неофициальный софт, вы рискуете потерять важные данные. В целях безопасности мы рекомендуем включить двухфакторную аутентификацию в настройках вашего профиля и использовать по-настоящему надёжный пароль".

Джозеф Кокс,
MotherBoard, Vice

6 июня 2016 г.

Что почитать?

• Хакер выставил на продажу данные 100 млн. взломанных аккаунтов ВКонтакте / RNS 
• СМИ: Данные 100 млн. пользователей ВКонтакте выставлены на продажу / РИА Новости
• На продажу выставлены данные 100 млн. пользователей ВКонтакте / Xakep.ru
• Хакер выставил на продажу более 100 млн. аккаунтов ВКонтакте / Roem.ru
• Взлом ВКонтакте: украдены данные 171 млн. пользователей / Хабрахабр
• Данные более 100 млн. аккаунтов ВКонтакте: статистика паролей и почтовых сервисов / Хабрахабр
• Администрация ВКонтакте прокомментировала сообщения о взломе 100 млн. пользователей / РБК
• Статистика активных пользователей ВКонтакте на 2011 г. / Хабрахабр

За сим всё...
Рассказать друзьям через AddThis или Shareaholic
Translate via Google, Yandex, Bing or Promt
The same in English

• All notes in English
• All notes in Russian