Летом 2016 г. хакер под ником Peace выставил на продажу сразу 100 млн. аккаунтов пользователей социальной сети ВКонтакте. Хакер не скрывал, что данные могли утратить свою актуальность: по его словам, взлом произошёл ещё в 2011-2013 гг. Администрация сайта отрицает факт взлома, объясняя кражу данных банальным фишингом. Вот только в те годы у ВКонтакте было как раз в районе 100 млн. пользователей… Перевод заметки Vice.
Новый день, новый взлом:
Украдены логины и пароли от 100 миллионов аккаунтов пользователей ВКонтакте (российский аналог Facebook)
Злоумышленникам удалось получить доступ к адресам электронной почты, паролям, номерам телефонов и именам 100 миллионов пользователей ВКонтакте. Украденные данные хакеры пытались продать на «черном» рынке.
LeakedSource (сайт, анализирующий сливы и утечки) узнал о взломе в начале июня 2016 г. Анализ полученных данных не занял много времени, но хакер, известный под ником Peace, успел выставить архив на продажу.
ВКонтакте очень похож на Facebook и особенно популярен в России и странах СНГ. Функционал в целом тоже схож с Facebook: обмен сообщениями, пользовательские профили, альбомы с фотографиями, лайки и т. д. Основатель ВКонтакте Павел Дуров продал свою долю в компании и успел запустить мессенджер Telegram. По данным TechCrunch, к 2014 г. ВКонтакте было зарегистрировано чуть больше 100 миллионов пользователей.
Peace предоставил MotherBoard архив, содержащий в себе 100 544 934 записи. Для проверки достоверности предоставленных данных LeakedSource составил свою выборку. В архиве содержались данные об именах и фамилиях пользователей, адреса их электронной почты, номера телефонов и пароли.
Если верить хакеру, ему не пришлось взламывать пароли каждого пользователя: на сайте они и так хранились в открытом виде. Peace выставил цену в 1 биткоин, что на июнь 2016 г. составляло примерно $570.
Мы проверили часть украденных данных. Из 100 случайно выбранных адресов электронной почты 92 соответствовали активным учётным записям. Наши друзья из России подтвердили, что пароли к их записям указаны верно.
Номера телефонов тоже оказались подлинными. Однако в украденной базе данных номер сотового указан далеко не у всех. На момент написания данной статьи при регистрации ВКонтакте вам придётся указать и свой номер, но так было не всегда.
Peace признаёт, что сайт был взломан между 2011 и 2013 гг., однако не уточняет когда именно. И это похоже на правду. Хакер утверждает, что у него есть доступ ещё к 71 миллиону аккаунтов, которые он пока не выставлял на продажу.
В публикации LeakedSource сказано, что данные им предоставил некто под ником «Tessa88». Этот же ник был связан и с недавним распространением украденных данных пользователей MySpace.
Согласно анализу LeakedSource, самым популярным паролем на сайте ВКонтакте был «123456», его использовало 709 067 пользователей. Другие популярные пароли также были весьма предсказуемы: «qwerty», «123123», «qwertyuiop» и т. д.
Подавляющее большинство пользователей (41 132 524 аккаунта), по данным LeakedSource, пользовались почтовым сервисом Mail.Ru. Другие российские сервисы также вошли в топ почтовых доменов.
Павел Дуров отказался давать комментарии.
Выводы
Огромный массив пользовательских данных (включая их логины и пароли) дрейфует где-то на просторах сети. Какие уроки мы должны извлечь из этой истории? Ну, во-первых, не стоит полагаться на столь простые и предсказуемые пароли. Придумайте что-то по-настоящему сложное. Причём вы должны использовать для каждого сайта свой уникальный пароль. Нельзя, чтобы ваши пароли повторялись, иначе любая утечка ставит под угрозу все ваши учётные записи. Это не прихоть и не бзик! Это действительно поможет остановить хакеров, которые попытаются нажиться на ваших данных. Чем популярнее сайт и чем деликатнее информация, которая на нём содержится, тем важнее придумать сложный и уникальный пароль.
UPD
Представители ВКонтакте отрицают факт взлома:
«Базы данных ВК не были взломаны. Речь идёт о старых логинах / паролях, собранных мошенниками ещё в 2011-2012 гг. Пароли пользователей, чьи данные были скомпрометированы, были изменены в принудительном порядке. Пожалуйста, не забывайте, что устанавливая неофициальный софт, вы рискуете потерять важные данные. В целях безопасности мы рекомендуем включить двухфакторную аутентификацию в настройках вашего профиля и использовать по-настоящему надёжный пароль».
Джозеф Кокс,
MotherBoard, Vice
6 июня 2016 г.
Что почитать?
- Хакер выставил на продажу данные 100 млн. взломанных аккаунтов ВКонтакте / RNS
- СМИ: Данные 100 млн. пользователей ВКонтакте выставлены на продажу / РИА Новости
- На продажу выставлены данные 100 млн. пользователей ВКонтакте / Xakep.ru
- Хакер выставил на продажу более 100 млн. аккаунтов ВКонтакте / Roem.ru
- Взлом ВКонтакте: украдены данные 171 млн. пользователей / Хабрахабр
- Данные более 100 млн. аккаунтов ВКонтакте: статистика паролей и почтовых сервисов / Хабрахабр
- Администрация ВКонтакте прокомментировала сообщения о взломе 100 млн. пользователей / РБК
- Статистика активных пользователей ВКонтакте на 2011 г. / Хабрахабр