Как уже писала ГАZЕТА.СПб, главная новость состояла в том, что хакеры записали все украденные логины-пароли в простой текстовый файл, доступный по прямой ссылке любому желающему, а сама эта ссылка по какой-то причине пошла в народ.
145 тысяч — таково было общее число пар логин-пароль по состоянию на вечер 30 июля. За вычетом пустых и откровенно некорректных выражений остается всего 125 тысяч. Общее же число пользователей с уникальными логинами, чьи данные были заботливо сохранены и расшарены, составило чуть более 40 тысяч (то есть порядка 0,1% от числа пользователей сервиса).
При этом администрация «ВКонтакте» достаточно оперативно сбросила засвеченные пароли и выслала каждому пострадавшему временный пароль, так что нашумевшая утечка вряд ли кому-то сильно навредила.
Однако, как оказалось, многие пользователи сами виноваты в том, что их «взломали». Несмотря на то, что на каждом углу предупреждают: если «ВКонтакте» просит у тебя денег за вход — это не «ВКонтакте», это «Жадноклассники». Однако целые толпы людей, увидев предложение об отправке SMS, возвращались и пытались ввести логин и пароль заново, сообщает webplanet.ru.
Кроме того, большое количество пользователей пользуются так называемыми ненадежными паролями. 1344 человека (или 3,36 процента от 40 тысяч уникальных пользователей) защищают свои персональные данные не только простыми, но и распространёнными паролями (к распространённым относятся те, что встречаются более 10 раз).
20 самых распространенных паролей
| Пароль | Кол-во | Процент |
|---|---|---|
| 123456 | 134 | 0,34% |
| 123456789 | 85 | 0,21% |
| qwerty | 85 | 0,21% |
| 111111 | 51 | 0,13% |
| 1234567890 | 41 | 0,10% |
| 7777777 | 39 | 0,10% |
| 123321 | 34 | 0,09% |
| 666666 | 33 | 0,08% |
| 1234567 | 31 | 0,08% |
| 123123 | 29 | 0,07% |
| 12345678 | 26 | 0,07% |
| qwertyuiop | 26 | 0,07% |
| qazwsxedc | 25 | 0,06% |
| 000000 | 23 | 0,06% |
| любовь | 23 | 0,06% |
| 555555 | 22 | 0,06% |
| zxcvbnm | 22 | 0,06% |
| 654321 | 19 | 0,05% |
| gfhjkm | 19 | 0,05% |
| 1q2w3e4r | 18 | 0,05% |
Примечание 1: Если вдруг кто не догадался, «gfhjkm» — это слово «пароль», набранное в латинской раскладке клавиатуры. Многие считают такой приём очень хитрым.
Примечание 2: Бдительная администрация ресурса с некоторых пор запретила изменять пароли на чисто цифровые, однако создавать новые аккаунты с такими паролями по-прежнему допускается.
Об одном из популярных паролей, не вошедших в ТОП-20, хотелось бы сказать особо.
На странице настроек, в разделе смены пользовательского пароля, администрация разместила следующую нехитрую инструкцию:
Убедитесь, что не включена кнопка CAPS-Lock
Пароль должен быть не менее 6 символов в длину
Ещё лучше — использовать и буквы, и цифры
\’kNOpKA\’ и \’knopka\’ — разные пароли
Как и следовало ожидать, 16 человек из 40 тысяч (0,04%) выбрали в качестве пароля слово, приведённое в последней строчке. Из них 12 использовали вариант «knopka», 2 — «кнопка» и 1 — «KNOPKA». Ещё одна продвинутая девушка завела себе пароль «ryjgrf», то есть «кнопка» в латинской раскладке.
Ещё один тип массово используемых небезопасных паролей — это даты. Действительно, намного труднее забыть пароль, если он совпадает с чьей-нибудь датой рождения.
Информация же о дате рождения пользователя или его ближайшего окружения зачастую открыта для ознакомления. Более того, сервис за несколько дней предупреждает друзей пользователя о грядущем взломе приближении праздника. Если дата рождения будет всё-таки скрыта, её можно попытаться найти в тех же телефонных базах.
Ежедневная аудитория сайтов в Петербурге. Данные весны 2009 года.
Вобщем с такой политикой безопасности сервиса беспокоиться по поводу фишинга и всяких мелких утечек уже и не надо.
Список популярных паролей, спамерская база электронных адресов и небольшой ботнет, взятый в аренду на чёрном рынке — вот и всё, что нужно, чтобы тихо и не привлекая особого внимания в сравнительно короткие сроки простым перебором взломать аккаунты 3,36% пользователей этого сервиса.
С таким подходом к безопасности страницу «ВКонтакте» могут взломать даже дети.
Алгоритм можно слегка усложнить, добавив проверку на пароль, полностью или частично совпадающий с логином — и вот вам ещё процент с копейками. Даже если в спам-базе будет только половина адресов, которые используются в качестве логинов «ВКонтакте», в конечном итоге окажутся взломанными более 800 тысяч аккаунтов.
VK
OK
Telegram
Дзен