Миллион паролей от Яндекс почты утекли в сеть

и "сервис проверки" подсуетили.

мыло туда вводить не стал, просто сменю пароль 🤪

---------- Добавлено 08.09.2014 в 01:16 ----------

предполагают что путем фишинга собрали.

Тоже побоялся вводить, хотя на Яндексе почта заведена для мелких нужд.

axel11feb, спасибо за инфу, пошел менять пароли)))

Скопирую из темы которую я создал из-за того что эту не нашел.

Интересно откуда случилась база? Пароли явно не брут ибо есть валидные ящики с зубодробительными паролями, которые явно брутом не снимешь. Фишинг? Хм, тогда я разочарован в хабрапользователях ибо они нашли свои ящики в базе.

Из камментов:

>Просто свое мыло я там нашел, пароль был текущий.

>Собственно, свою там и нашел, но, благо, почта ненужная, и пароль легко забрутфорсить.

>Интересный факт. Почта зарегистрированная год назад присутствует, а почты созданной в 2000 году нету.

>Тоже самое.

>Подтверждаю, почта зареганная весной этого года присутствует (и да, пароль подходит)

Пароли явно брут. Это видно по основной массе.

Остальное довольно хитрая подборка (на основе тех же данных в именовании ящика) или упорный брут в лоб.

Еще как вариант недавний брут Wordpress движков. Могли пройтись по базам окученных блогов на вордпрессе и оттуда надрать паролей.

По основной массе видно что пользователи дурачки, а то что брут - сомнительно ибо:

Ucacyzo*

CRjhjcNM13#

EfRdS#42Ghde

G47F56#^

не смеши, ага.

И действительно уперли, надо менять пароли.

Вот можно проверить, список потыреных логинов, пароли убрал. 🚬

https://yadi.sk/i/e42u-yi3bCzZe

А если нет? 🙄 Это миллион вбросили, а какие гарантии, что там не всю базу слили? 😮

Смысл? Базу с паролями уже на хабре выложили давно и по сети гуляет аж с 5 числа.

Да как бы инфа 146% что это не вся база, а только огрызок того что уже обработано или не имеет никакой ценности, да и как бы нужно прикрывать свои действия левыми логами ;) Так что на фоне "оооо прикольно зашел в чужой мыльник все работает" начинают снимать самое вкусное, те у кого база куда полнее.

Согласен! Нашел такое :) Q_0.0^5h--#r15g_

Ярик, и вот мне не кажется что люди с такими паролями легко повелись на фишинг, а уж хабрапользователи... Но при этом данные точно не дамп базы ибо там пароли все соленые хеши и не только (с) кто-то из яндекса.

Опять же 99% что эти пароли не из почтовых клиентов, я бы со своим зоопарком мыльников точно бы попал в базу.

Так же сомнительно, что люди делающие себе пароли на мыльники такие чтобы их не ломанули, идут на левые ресурсы и заводят себе учетку с таким же паролем как и на почте - отметаем бруты WP и других сервисов.

Пока как основную версию рассматриваю трояна ибо самый логичный вариант.