Хакер выставил на продажу «более 100 млн аккаунтов ВКонтакте» за 1 биткоин (+ пресс-служба говорит, что база старая и что пользователи были оповещены)

К какому событию приурочен слив?

Взлома базы данных ВКонтакте не было, речь идёт о старой базе логинов/паролей, которую мошенники собирали в период с 2011 по 2012 годы.

Всем упомянутым в ней пользователям данные для входа на страницы менялись принудительно.

В профилактических целях мы бы хотели ещё напомнить пользователям ВКонтакте о недопустимости установки непроверенного ПО на свои устройства, возможности выбрать двухфактороную аутентификацию в настройках аккаунта и предостеречь от использования простых, легко подбираемых паролей.

Сколько было живых аккаунтов в 2011 году? Я нагуглил цифру 94 миллионов https://habrahabr.ru/post/123856/
Слабо верится, что хакеры несколько лет собирали данные обо всех пользователях, никак не использовали, и вдруг решили слить почти даром.
Если предположить очевидное, что во Вконтакте не хранят пароли в открытом виде, то открывается широкий простор для конспирологических версий, которые так или иначе ведут в дом Зингера.
Но почему слили сейчас? Что случилось или должно случиться?

«База 2011-2012» и «всем упомянутым в ней пользователям данные для входа на страницы менялись принудительно» разительно противоречит тому, что 92 аккаунта из 100 дают доступ к активным аккаунтам на сайте.

Лично мной Вконтактик отправлен на помойку после того, как недавно из моего закрытого фотоальбома были были тупо выпилены фотографии, сделанные мной во время мининга на Болотной 6 мая. Обнаружил битые ссылки вместо фоток исключительно в этом альбоме. Такая вот цензура у мудаков из Вконтактика.

Ни к какому, это пиар сливщика.
Более того, это реселлер, и у него 2/3 оригинальной базы.

ВК с самого начала не заботился о приватности. Странно, спустя столько лет чему-то удивляться.

А пруфы можете какие-то дать нам сюда или на editor@roem.ru?

Да, пару фоток с монитора на телефон я сделал тогда чтобы с друзьями поделиться, сейчас вышлю на почту.

Куда дебилов-школьников продолжает сливать «базы» различных сервисов — в реальности, собранное через фишинг/ботнеты (неважно, бинарные или через расширения) за годы аккаунты. Никому не нужный мусор, либо не использованный изначально (т.к. цели были другие), либо уже выпотрошенный по этим самым целям. Но журналисты продолжают на это вестись, и все время мы видим это в статьях в СМИ, и более того, постоянно возникают обсуждения, намеки или даже прямые указания, мол, сервис был взломан. Как это уже достало… Зайдите на какой-нибудь античат условный или эксплоит.ин — там такие «взломщиков мировых сервисов» — каждый второй. На переменах между уроками на эти форумы пишет и предложения вывешивает.

Сенсация! Любой ботнет собирает любые учетные записи из трафика! Сенсация! За годы таких записей могут накопиться миллионы! Сенсация! Взломан facebook! Взломан gmail! Взломан evernote! Взломан (подставьте по вкусу любой сервис, который используют люди).

Заявлено, что в базе данные 100 миллионов аккаунтов.
Пресс-служба сообщила, что это данные 2011-12 годов.
В 2011 году во Вконтакте было примерно 100 миллионов аккаунтов.
Так что если первая цифра верна, то в базе примерно все аккаунты вконтакте на 2011 год и это никак не соберешь троянами, фишингом и т.п.

Хотя, знаете, в данном случае все же журналисты правы. Беру свои слова назад конкретно про этот инцидент.

100М аккаунтов, если они не сгенерированные, и с полной раскладкой по userinfo (хотя ее и можно получать, если требуется в процессе работы) — это все же взлом, а не просто сбор. Для того, чтобы собрать 100М данных, нужно иметь ну очень хороший ботнет. Такого покрытия осуществить в общем случае нельзя (маловероятно).

Подробнее о наборе данных можно тут почитать:
https://www.leakedsource.com/blog/vk

Единственное, что, скорее всего, правда — это то, что взлом/слив был давным давно, т.е. база старая, ей уже несколько лет. Либо ходила по рукам, либо продавалась и перепродавалась (как принято на этих форумах). Т.е. один покупает, а дальше, чтобы отбить затраты и еще заработать — переподает еще 10-рым, но чуть дешевле (иначе они не купят). И так выстраивается пирамида реселлеров. Что, очевидно, в итоге приводит через несколько лет либо к продаже за копейки, либо просто к сливу в паблик (уже одним из десятка, сотни или тысячи покупателей — зависит от товара).

(Например, как было с исходниками VMware, Windows, Kaspersky и еще рядом других продуктов).

Да, уже написал выше комментарий. Не посмотрел число аккаунтов вначале. Поспешил.

В этом смысле PR-служба, как обычно в случае PR, ведет [слегка] нечестно себя. В реальности слив/взлом был. Просто давно. Но для большинства пользователей это не меняет ничего, т.к. пароли и данные они не меняют годами. Боелее того, у многих эти же пароли понаставлены на всех ресурсах и сервисах, что они используют.

Вы верите, что во Вконтакте хранят пароли в открытом виде?
Или в то, что хакеры несколько недель (а то и месяцев) сливали логины-парольи из формы авторизации или мониторили весь входящий трафик?

Я не видел базу — поэтому ничего прокомментировать не могу. А откуда информация про то, что в базе пароли в открытом виде?

> Взлома базы данных ВКонтакте не было, речь идёт о старой базе логинов/паролей, которую мошенники собирали в период с 2011 по 2012 годы.

Если это 100%-ое покрытие базы пользователей, то расскажите, пожалуйста, каким образом (технически) это возможно. Какие расширения, ботнеты или еще иные способы имеют такое количественное покрытие? (100М)

(Если там нет ситуации, что 90% нагенерировано — а как я понимаю, такой ситуации там нет)

Боюсь, что здесь слегка вы лукавите.

Более того, фраза:

> Всем упомянутым в ней пользователям данные для входа на страницы менялись принудительно.

Что она означает? Всем пользователем ВК на 2011-2012 года? В базе 100М записей.

Муахахаха, а вы посчитайте вообще.
Как можно залочить 100М пользователей, чтобы никто не заметил?
По 1 млн в день лочить (все заметят, будет скандал) — 100 дней (три месяца займет процесс)
По 100К в день — 1000 дней (три года займет процесс)

Вы слышали о том, чтобы ВК всем пользователям меняли пароли? ;) Я — нет.

Читаем внимательно:

> в базе 100 544 934 записи. Они включают в себя имена, фамилии, email, номера телефонов и пароли.

> Motherboard проанализировали сотню случайных записей и обнаружили, что 92 из них дают доступ к активным аккаунтам на сайте.

Есть пароли и они на 92% актуальны.

> Как можно залочить 100 М пользователей, чтобы никто не заметил?

Не обязательно сразу менять пароли тем, у кого включена двухфакторная авторизация.

Да, посмотрел оригинал записи, там говорится про plain-text:
https://motherboard.vice.com/read/another-day-another-hack-100-million-accounts-for-vk-russias-facebook

Ну, это крайне веселая история.

>> Как можно залочить 100 М пользователей, чтобы никто не заметил?
> Не обязательно сразу менять пароли тем, у кого включена двухфакторная авторизация.

С какого года она появилась? (1)
У большинства людей она не подключена (2) — в этом у меня нет никаких сомнений. Телефон привязан, и только. Не более того. Так что аргументация, что «если есть телефон, то значит включена двухфакторная аутентификация» — вранье.

Update 6 June: A VK spokesperson denied that the site had been breached, and told Motherboard in an email that the «VK database hasn’t been hacked. We are talking about old logins/passwords that had been collected by fraudsters in 2011-2012. All users’ data mentioned in this database was changed compulsorily. Please remember that installing unreliable software on your devices may cause your data loss. For security reasons, we recommend enabling 2-step verification in profile settings and using a strong password.»

Забавный там комментарий. Хочу все же знать технический способ как собрать 100М аккаунтов при том что в сети на тот момент их столько же. Мне реально интересно.

Нужно написать приложение для ВК и оттуда воровать пароли? Но даже приложение для ВК использует не каждый пользователь ВК :)) Как можно у ВСЕХ пользователей украсть ВСЕ данные? А самое главное, ведь не только l/p, но и поля базы другого характера (описывающие пользователя).

«Peace provided Motherboard with a dataset containing a total of 100,544,934 records, […] Peace claimed to have access to another 71 million accounts, but decided not to sell them yet.» — т.е. общий объем, да, 171М. Забавно.

Как тут выше писали про 2/3.

Более того, двухфакторая аутентификация у них появилась только в июне 2014 года: https://tjournal.ru/p/vk-2-factor

Я думаю, это снимает большинство вопросов:

INSERT INTO `members10` VALUES (10000851, ‘Фатима’, ‘Фатима’, ‘fadzaevserj@yandex.ru’, », », », », », », ‘bhbcnjy’, 0); INSERT INTO `members10` VALUES (10000853, ‘Анатолий Олегович’, ‘Жуковский’, ‘tolikzhukovskij@yandex.ru’, ‘Ленинград’, ‘tolikzhukovskij@yandex.ru’, ‘+79533442046’, ‘2307580’, ‘нету’, », ‘вераисакова’, 79533442046); INSERT INTO `members10` VALUES (10000854, ‘Саша’, ‘Никитин’, ‘nastusik2007@gmail.com’, », », », », », », ‘tfobl1’, 0); INSERT INTO `members10` VALUES (10000855, ‘Марина’, ‘Нужина’, ‘mnuzhina@yandex.ru’, », », », », », », ‘rjkjyrf’, 0); INSERT INTO `members10` VALUES (10000856, ‘Александра’, ‘Швабенландт’, ‘alexa_30@list.ru’, ‘находка’, ‘alexa_30@list.ru’, », », ‘406364721’, », ‘110630’, 0); INSERT INTO `members10` VALUES (10000860, ‘Profile’, ‘Deleted’, ‘theprince@bigmir.net’, ‘Земля’, », ‘80933461ё456’, ‘80000000000’, ‘FUQ’, », ‘bioffy5555’, 0); INSERT INTO `members10` VALUES (10000861, ‘Элеонора’, ‘Мышинова’, ‘sr-media@yandex.ru’, », », », », », », ‘mausik’, 0); INSERT INTO `members10` VALUES (10000862, ‘Олександр ph’, ‘Корінний’, ‘nightwish11@yandex.ru’, ‘Николаев’, ‘ua.jurconsult@gmail.com’, ‘0984034408’, », ‘570599292’, », ‘qwastygh’, 380984034408);

Оно тут все порезало, а тэг pre, наверно, не работает.

Если кому надо, купить можно тут:
http://trdealmgn4uvm42g.onion/listing/3716

Если кому интересен еще ряд комментариев, есть тут:
https://www.facebook.com/vovney/posts/1217312248292962

По первому же комментарию — у «кого-то другого» нет 100М [171M] аккаунтов.

Если вдруг комментарий там исчезнет: «Anton Rusakov: Вобщем полный пиздеж. Это База слитая с очень давних времен (нас туда включили). На самом деле ломали кого-то другого, потом проверая есть ли мыло в базе — фигачили тотже пароль что из другого сервиса взяли. Конкретно по нам — совпадает пара только у тех кто на всех порталах 12345 пароль делает.«

Единственный серьезный вопрос (непонимание) — плейн-текст пароли.

А там хз сколько уникальных на самом деле, вполне возможно, что невалид даёт какой-то процент. Вообще это база от маленьких соседей большой Индии, откуда она у них, нет инфы.

Нашел в слитой базе свой фейковый аккаунт, созданный до 2011 года. Я не пользовался им много лет и увести данные с моего компьютера точно не могли.

Не было возможности написать ранее, пишу сейчас.

Вот мне тут подкинули ссылочку на события ноября 2012 года.
https://habrahabr.ru/post/159565/

Обратите внимание, что в этот момент просили не только привязать телефон, но и сменить пароль.

Если предположить, что ВК знал о каком-то взломе/утечке в те годы (и если считать, что оно было), то ситуация вырисовывается куда как интереснее — знали, но скрыли, и попытались под шумок, привязывая телефоны, сменить пароли. Не раскрывая сути.

В прочем, я пока к этому отношусь настороженно.

____________
Два сильных факта, каждый из которых бьет в противоположную сторону, но объяснения им нет:
1. База имеет 100+ млн записей. Такую базу с пустого места не скомпоновать, ни одним ботнетом не собрать. Ни одного Российского сервиса такого нет, чтобы так билось по ВК.
2. Плейн-текст пароли в базе. Поверить, что в ВК хранили плейн-текстом — не могу. Но при таких пиарщиках, в целом, может и внутри черт знает что происходило на каких-то этапах.

Обратите внимание вот на этот комментарий, например:

>> Всем упомянутым в ней пользователям данные для входа на страницы менялись принудительно», — сообщил пресс-секретарь «ВКонтакте» Евгений Красников.
> Врет и не краснеет.
> Мой адрес там есть, хотя регистрировался в 2013 году. И данные принудительно не менялись. Пароль старый с самого начала стоял, пока не сменил сегодня.
> Генерация из KeePass2, 8 символов

https://geektimes.ru/post/276858/comments/#comment_9337150

Или вот этот:

> Моя почта на gmail, которую я использовал только (!) для контакта со сгенерированным паролем есть в этом дампе у знакомого почта старая в дампе (менял 1-2 года назад) из этого можно сделать вывод, что украли всю бд контакта двухлетней давности

https://geektimes.ru/post/276858/comments/#comment_9337226

Ждем, когда базу выкупит кто-нибудь и сольет just for lulz в паблик на торренте. Вот тогда посмотрим что и кто будет говорить, после того, что там обнаружим :)

Еще обратите внимание на этот комментарий из той статьи, 21 ноября 2012 года:

«Во-во, то же самое. Притом, во-первых, запретили ввести мой прекрасный пароль еще раз (хотя он используется только для контакта и соответствует всем требованиям секьюрности).

Во-вторых, при смене пароля что-то глюкнуло, и теперь я вообще не могу войти, а восстановление пароля не работает, т.к. пишет «Вы уже недавно восстанавливали пароль, подождите до 30 ноября» (!). Пришлось зарегать бота на другую симку, чтобы слушать музыку. Такие дела.

А тому идиоту, который это придумал — посылаю лучи ненависти.

https://habrahabr.ru/post/159565/#comment_5469143

Ужас в том, что этот слив открывает широчайшие возможности по взлому учетных записей в других сервисах.

Примерно месяц назад мне попытались сменить пароль на двух учетках WebMoney, одна из которых привязана на полузабытую гуглопочту. Оба ящика использовались для регистрации в ВК.

Это и база для спама (в т.ч. мобильного), и для мошенничества (по данным).

Но ужас тут в другом. Если реально взлом был, и если ВК был в курсе про него (и промолчал, а как бы хитренько попытался замять, вынудив пользователей менять пароли), то они подставили кучу людей на огромном временном периоде (считай — до сих пор). Потому что у многих (если не большинства даже) простых людей — пароли одинаковые на куче сервисов. У среднестатистического пользователя и в gmail будет такой пароль, и в банке, и где угодно. А данные его есть, в т.ч. e-mail, из которого можно почерпнуть и еще обилие сервисов (да и известных сервисов полно).

Если вся эта база реальная и она будет в паблике — будет «весело» некоторое время.

Еще один минус в эту историю — в базе нет моего аккаунта. (Он не использовался практически, хотя зарегистрирован был очень давно и без привязки телефона; ни на каких смартфонах не числился; никаких приложений или расширений для браузера для ВК не использовал; никто меня не ломал — т.е. утечка с моей стороны была невозможна). При этом, например, в базе взломанного (реально взломанного) rootkit.com, мой e-mail числится.

Пример фейковых баз (с большим числом пользователей) — 57 млн от mail.ru
https://roem.ru/06-05-2016/223742/mail-hackes-results/

Такие базы (где просто базы уникальных е-мейлов) можно собирать как раз годами (из всего, что угодно — парсинг веб, базы спамеров, взломанные компьютеры и парсинг их ящиков и всех контактов и т.д. и т.п. — т.е. это собрать не проблема вообще). Когда база состоит из двух полей: e-mail / пароль — огромные масштабные базы сварганить не проблема. И фейковую базу сделать тоже не проблема. (Пособирать разных данных и напихать).

В случае с ВК имеется как минимум одна «плохая вещь». База имеет чуть более сложный вид — т.е. собраны еще данные. Типа того же города, например.

Хотя с другой стороны, смешно. Почему же там нет полного расклада по таблице пользователей, а всего лишь какая-то дикая выжимка буквально из нескольких параметров.

В общем, чего-то я все больше опять начинаю склоняться к тому, что это фейк. Но фейк более интересный, чем обычные.

Например, в какие-то годы удалось схарвестить через различные дыры данные. Через дыры в API и т.п. Типа вот такого (хотя это сложно для использования и малоэффективно — нужна база валидных телефонов, привязанных к аккаунтам; или просто база телефонов; перебор всех номеров — бред):
https://habrahabr.ru/post/209178/

В общем, пока самый существенный вопрос — покрытие в 100 млн с общей информацией о пользователях. Как и откуда :)

Судя по всему скрысили не базу, а боковую табличку, куда сливали пароли в плэйнтексте для «специальных» нужд, точнее не саму базу, текстовка напоминает файлы бинлогов от mysql.

если ВК был в курсе про него (и промолчал, а как бы хитренько попытался замять, вынудив пользователей менять пароли), то они подставили кучу людей

в 2011? Неужели Дуров….? Нет, не может быть!

Конечно, не может быть. «Олимпиадники» Дурова (а ныне создатели самого защищенного мессенжера) не могли хранить пароли в открытом виде. И тем более не могли сами слить базу перед увольнением.

Странно, что никто не вспомнил СОРМ. Это ж такой простор для фантазии.

В общем, и все же, на текущий момент я, на основе всего собранного и проанализированного, склоняюсь к тому, что это фейк. Но не простой фейк, как делали с yandex.ru, mail.ru (несколько раз — и в последний раз — это 57 млн адресов), а более тонкий (т.е. часть данных действительно откуда-то как-то получена).

Более подробно излагаю и пишу тут (буду дополнять/исправлять по мере поступления новой информации):
http://sporaw.livejournal.com/428587.html

Очевидно, что это просто дамп таблицы у условных «хакеров», поэтому и в таком виде. Ни о чем это не говорит вообще.

И про Дурова, и про СОРМ — полнейшая чушь.

Забавный момент всплыл про plain-text.

Подкинули мне тут линков. Оказалось, что ранее была не генерация нового пароля, а реально присылали старый пароль. Т.е. то, что невозможно, если не хранить plain-text’ом. Смотрите:

Лет 6 примерно назад, процедура восстановления доступа в ВК заключалась в отправке пользовательского пароля на почту:
a) http://govnokod.ru/14304#comment208104
b) https://forum.mozilla-russia.org/viewtopic.php?pid=378766#p378766
c) http://artgorbunov.ru/bb/soviet/20101122/#alekseyrytov

Хотя не, какие-то спорные линки. Противоречащих им гораздо больше.

Пришло достоверное подтверждение: как минимум до 15 августа 2009 года ВК реально хранил пароли plain-text’ом. Подчеркну — как минимум.

Информацию в посте обновил.

Неочевидно, что база живая, но, если живая, то, очевидно, что это месть, а не нажива, первый купивший неприменно сольёт её на торент, так почему сразу не на торент? — о видимо хакеры заметают следы :) Если же это фэйк, который ты тут пиаришь и тогда, да, это мошенничество и нажива «хакеров» — есть такой тип пустоголовых «хакеров», которые орут громче всех на форумах по разными никами пиаря всякую х.ню для доверчивых лохов ;) которые, очевидно, купят эту базу за 1 биткоин — криптовалюта запрещённая в России, чтобы, очевидно, почитать переписку тёлочек на вк, не слишком ли завышенная цена для таких клиентов? = хз. Вобщем вся история какая то странная … прямо как то странно воняет гавном :)

Почитал умных людей, понял одно: Дуров, сваливая с ВК, прихватил с собой базу.