Только эксперты и компания LinkedIn разобрались с утечкой данных 117 млн пользователей, как на черном рынке появились пароли миллионов пользователей MySpaсe и Tumblr. Базы, содержащие 427 млн паролей от MySpace и 65 млн паролей от Tumblr продает тот же хакер, который ранее занимался распространением базы LinkedIn.
Уже есть подтверждения того, что информация подлинная.
MySpaсe
В минувшую пятницу, 27 мая 2016 года, операторы агрегатора утечек LeakedSource сообщили, что в их распоряжении оказался огромный дамп информации (email-адреса и пароли) пользователей MySpace. Информацию выставил на продажу хакер, известный под псевдонимом Peace_of_mind (или просто Peace). На подпольной торговой площадке The Real Deal он пишет, что в его распоряжении имеется более 360 млн email-адресов и паролей, которые он готов продать за 6 биткоинов (примерно $2,800). Когда данная информация была похищена, пока неясно. Напомню, что недавний слив паролей LinkedIn являлся результатом взлома 2012 года,
Ни сам Peace, ни представители LeakedSource не стали предоставлять прессе тестовый образец базы для изучения. При этом операторы LeakedSource пишут, что провели собственный анализ и выяснили, что в базе содержатся 427 484 128 паролей и 360 213 024 почтовых адреса. Для 111 341 258 аккаунтов также имеется имя пользователя, а для 68 493 651 аккаунта есть также вторичный пароль (при этом основного пароля может не быть).
Почти все пароли поставляются без соли, это хеши SHA1, взломать которые в наши дни не составляет труда. Операторы LeakedSource заявляют, что взломают 98-99% паролей до конца текущего месяца (то есть за несколько дней).
Происхождение базы остается загадкой и для самой администрации LeakedSource, с которой дампом поделился некий доброжелатель под псевдонимом Tessa88.
«Такова природа информации: трое могут хранить секрет, если двое из них мертвы», — говорят операторы LeakedSource. — «Как только информацию перепродали несколько раз, рано или поздно она попадёт в руки к кому-то, кто не умеет хранить тайны, после чего данные начнут распространяться так же, как разрастаются ветки дерева».
LeakedSource уже опубликовали 20 худших паролей и перечень самых часто встречающихся в базе почтовых доменов.
Tumblr
Еще одно сообщение о крупной утечке информации пришло от Троя Ханта (Troy Hunt), основателя агрегатора утечек Have I Been Pwned?
12 мая 2016 года разработчики Tumblr сообщали, что им стало известно о взломе, который произошел еще в 2013 году. Тогда компания уверяла, что атака затронула малое число пользователей. После проведения внутреннего расследования для всех пострадавших был инициирован сброс паролей.
Трой Хант пишет, что всё далеко не так радужно. На самом деле утечка данных касается 65 млн пользователей сервиса: в распоряжении исследователя оказались 65 469 298 уникальных сочетаний email-пароль. Хант сумел проследить утечку до конкретного магазина в даркнете: The Real Deal. Данные по цене 0,4255 биткоина (около $225) продает всё тот же Peace_of_mind.
В этом случае компания не сообщала, каким алгоритмом зашифрованы хеши, но известно, что пароли представлены не в виде простого текста, они зашифрованы и «посолены». Peace_of_mind подтвердил эту информацию, сообщив, что Tumblr использовал алгоритм SHA1, но из-за соли взломать пароли не так-то просто. Именно этим обусловлена низкая стоимость базы. Хакер пишет, что, по сути, это просто список email-адресов.
Разработчики WhatsApp (принадлежит Meta, признанной экстремистской и запрещенной в России) наконец-то решились на шаг, которого пользователи ждали годами. Мессенджер начал постепенно включать голосовые и видеозвонки прямо в WhatsApp Web, без установки десктопного приложения. Пока функция доступна не всем, но процесс уже запущен.
Первыми нововведение получают участники бета-программы WhatsApp Web. На стартовом этапе звонки работают в индивидуальных чатах: достаточно открыть диалог в браузере и нажать кнопку вызова — всё, как в привычных мобильных и десктопных версиях.
Все звонки в веб-версии защищены сквозным шифрованием. WhatsApp использует протокол Signal — тот же самый, что уже много лет защищает сообщения, звонки и статусы в приложениях для Android, iOS и компьютеров. Никаких дополнительных настроек включать не нужно: шифрование работает автоматически.
Веб-звонки поддерживают демонстрацию экрана — правда, только во время видеовызова. Функция работает так же, как в десктопных приложениях, и подойдёт для показов документов, презентаций или рабочих экранов. Впрочем, разработчики справедливо напоминают: делиться экраном стоит только с теми, кому вы действительно доверяете.
Особенно рады обновлению будут пользователи Linux. Официального десктопного клиента WhatsApp для этой ОС нет, и раньше для звонков приходилось доставать смартфон. Теперь полноценные голосовые и видеозвонки доступны прямо из браузера, что заметно упрощает жизнь.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
