Пароли от почты Mail.ru теперь известны всем. Спасибо vBulletin

29-08-2016 Пароли от почты Mail.ru теперь известны всем. Спасибо vBulletin

Недавно обнаруженная уязвимость в бесплатно распространяемом ПО доски объявлений (bulletin board) vBulletin привела к раскрытию регистрационных данных более чем 25 миллионов пользователей Mail.ru Уязвимость была использована посредством SQL-инъекции и привела к утечке конфиденциальных данных пользователей родственных сервисов:

  1. tanks.mail.ru - 3 236 254 аккаунта;
  2. parapa.mail.ru (форум) - 3 986 234 аккаунта;
  3. parapa.mail.ru (игра) - 5 029 530 аккаунта;
  4. cfire.mail.ru - 12 881 787 аккаунта;

Данные состояли из имён пользователей, их email-ов, дат рождения и хэшей паролей. Большим недостатком хранения хэшей паролей явился используемый в vBulletin алгоритм хэширования — устаревший MD5. Его расшифровка современными средствами достигается очень быстро.

Пресс-служба Mail.ru Group отреагировала на публикации об утечке, сообщив, что взломанные пароли уже не актуальны и владельцам скомпрометированных почтовых ящиков направлено уведомление о необходимости смены пароля. Однако даже в случае смены паролей пользователи почтового сервера Mail.ru лишились заметного пласта приватной информации — email пользователи из-за инцидента вряд ли будут менять, а дату рождения и вовсе не изменить. Комбинация уже только этих двух элементов может дать массу возможностей киберпреступникам для таргетированного спама и рассылки вредоносных вложений пострадавшим пользователям.

Автор:

Количество просмотров 1078 просмотров

← Шифровальщик CryptXXX распространяется через рассылкиСбои в почтовом сервисе Яндекса →

Новые и лучшие

03-06-2014
Очередные сбои от Mail.ru
Очередные сбои от Mail.ru

«Уважаемый пользователь! По техническим причинам Ваш почтовый ящик временно недоступен» - это весьма неприятное сообщение ожидало пользователей сервиса Майл.ру. Дальнейшее развитие событий и решение вопроса читайте в статье.

22-02-2015
Немного статистики о мошенничестве в доменных именах
Немного статистики о мошенничестве в доменных именах

Интернет, как явление глобальное масштаба, таит в себе немало опасных мест. Компания Architelos представила цифры как много и как часто они (места) появляются.

18-06-2014
«Lavaboom» - «островок» безопасности переписки
«Lavaboom» - «островок» безопасности переписки

В последнее время многих людей беспокоит вопрос о сохранности тайны личной переписки. Компании, предоставлявшие услуги безопасной почты были прикрыты. Но рынок предложил своё решение вопроса.

20-08-2015
Фальшивая рассылка «от Роскомнадзора»
Фальшивая рассылка «от Роскомнадзора»

Сообщение с вредоносным кодом рассылалось определенному кругу лиц, работавших с персональными данными.