Stejný hacker, který prodával 164 (číslo se různí) milionů hesel z LinkedIn (viz Na prodej je 117 milionů hesel z LinkedIn, za 2 200 dolarů), v minulém týdnu nabídl na prodej 427 milionů hesel (ale jenom 360 milionů e-mailů) z MySpace. Což je jedna z prvních sociálních sítí, která by skutečně nějakých těch pár stovek milionů účtů mohla v určité době mít. Byť dnes už je to jenom pohrobek dřívější slávy.
Zajímavé na tomto dalším úniku je, že podle Hacker Tries To Sell 427 Milllion Stolen MySpace Passwords For $2,800 by mohlo jít skutečně o únik e-mailů a hesel používaných v MySpace, tedy pochopitelně opět, pokud budeme mírně ignorovat to, že e-maily a hesla lidé recyklují a Motherboardu se nepodařilo ověřit víc než několik e-mailů.
V úniku je větší množství hesel, protože k jednomu e-mailu jsou v některých případech poskytnuta hesla dvě. Vedle e-mailu, hesla/hesel obsahuje ještě uživatelské jméno. To je ale k dispozici pouze u 111 milionů záznamů. Někde primární hesla chybí a je k dispozici pouze heslo sekundární.
Kompletní únik mají k dispozici v LeakedSource.com a analýzu si můžete přečíst na jejich blogu. Uvádějí tam i to, že hesla byla uložena v šifrované SHA1 podobě, ale bez (zásadně nutného) dodání salt složky, proto je velmi lehké hesla získat (říkat SHA1 šifrování je dnes opravdu už poněkud nepatřičné). Zajímavé může být i to, že je zde 855 tisíc hesel „homelesspa“, která jsou zcela určitě výsledkem automatického generování.
TIP: Podívejte se například na SHA1 Free Online Encrypt & Decrypt, pokud si chcete zkusit, jak vypadá SHA1. A všimněte si, že v databázi už mají skoro 3 miliardy slov.
Nejpoužívanější hesla? Klasika
Když z následujícího přehledu vynecháte výše zmíněné „homelesspa“, tak nejpoužívanější hesla vlastně nejsou nijak překvapivá:
Heslo | Výskyt | |
1 | homelesspa | 855,478 |
2 | password1 | 585,503 |
3 | abc123 | 569,825 |
4 | 123456 | 487,945 |
5 | myspace1 | 276,915 |
6 | 123456a | 244,641 |
7 | 123456789 | 191,016 |
8 | a123456 | 165,132 |
9 | 123abc | 159,700 |
10 | (POSSIBLY INVALID) | 158,462 |
11 | qwerty1 | 141,110 |
12 | passer2009 | 130,740 |
13 | fuckyou1 | 125,302 |
14 | iloveyou1 | 123,668 |
15 | princess1 | 114,107 |
16 | 12345a | 111,818 |
17 | monkey1 | 106,424 |
18 | football1 | 101,149 |
19 | babygirl1 | 90,685 |
20 | love123 | 88,756 |
21 | a12345 | 85,874 |
22 | iloveyou | 85,001 |
23 | jordan23 | 81,028 |
24 | hello1 | 80,218 |
25 | jesus1 | 78,075 |
26 | bitch1 | 78,015 |
27 | password | 77,913 |
28 | iloveyou2 | 76,970 |
29 | michael1 | 75,878 |
30 | soccer1 | 74,926 |
31 | blink182 | 73,145 |
32 | 29rsavoy | 71,551 |
33 | 123qwe | 70,476 |
34 | angel1 | 70,271 |
35 | myspace | 69,019 |
36 | fuckyou2 | 68,995 |
37 | jessica1 | 67,644 |
38 | number1 | 65,976 |
39 | baseball1 | 65,400 |
40 | asshole1 | 63,078 |
41 | 1234567890 | 62,855 |
42 | ashley1 | 62,611 |
43 | anthony1 | 62,295 |
44 | money1 | 61,639 |
45 | asdasd5 | 60,810 |
46 | 123456789a | 60,441 |
47 | superman1 | 59,565 |
48 | sunshine1 | 57,522 |
49 | nicole1 | 56,039 |
50 | password2 | 55,754 |
51 | charlie1 | 54,432 |
52 | shadow1 | 54,398 |
53 | jordan1 | 54,004 |
54 | 1234567 | 51,131 |
55 | 50cent | 50,719 |
LeakedSource se prozatím nepodařilo rozlousknout všechna hesla, ale pro sestavení žebříčku nejpoužívanějších to stačí, SHA1 podoba má snadno spočitatelný počet výskytů. A protože jde o velmi snadná hesla, z nichž většina už dávno má SHA1 podobu známou, tak je snadné takovýto žebříček sestavit.
Nejvíce účtů z domény Yahoo
Pohled na nejpoužívanější domény u e-mailu uvedených při založení účtů ukazuje na 126 milionů výskytů @yahoo.com. Poměrně pěkná ukázka toho, jak významné před nějakými těmi pěti a více lety bylo Yahoo v USA. Pokud byste se chtěli podívat na delší přehled, tak viz výše zmíněný blog od LeakedSource.
Doména | Výskyt | |
1 | @yahoo.com | 126,053,325 |
2 | @hotmail.com | 79,747,231 |
3 | @gmail.com | 25,190,557 |
4 | @aol.com | 24,115,704 |
5 | @aim.com | 5,345,585 |
6 | @live.com | 4,728,497 |
7 | @hotmail.co.uk | 4,701,850 |
8 | @msn.com | 4,378,167 |
9 | @myspace.com | 4,257,451 |
10 | @comcast.net | 3,275,651 |
MySpace má dnes jen asi 50 milionů návštěvníků
Dnešní MySpace má už jenom nějakých 50 milionů návštěvníků měsíčně, ale je více než pravděpodobné, že v průběhu deseti let nasbírali stovky milionů účtů, které jsou vázané ke stále existujícím e-mailům. Samotné MySpace uvádí, že má miliardu registrovaných uživatelů.
Kdy došlo k úniku výše zmíněných e-mailů a hesel, známo není. Mohlo to být nedávno a hackeři se nemuseli dostat ke všem údajům, ale také před několika lety. Divíte se, proč se případný letitý únik snaží někdo prodat až teď? Většinou to bývá proto, že už pro data nemá žádné další využití. Už bylo vytěženo vše, co mohlo být, a s ohledem na stáří dat už nejsou kombinace e-mail+heslo dostatečně aktuální.
Jak navíc uvádí Motherboard, hacker (známý jako Peace) jim řekl, že data dal raději k prodeji, než je „idioti začnou šířit“. Nabízí je za 6 bitcoinů, tedy zhruba za 2 800 dolarů.
Co dělat, pokud jste byli uživateli MySpace?
Jako u každého úniku i zde platí, že heslo použité na daném webu musíte považovat za prozrazené, ať už v kombinaci s vaším e-mailem tam použitým, nebo dalšími e-maily, které používáte. Toto heslo byste už nikdy neměli nikde použít, pokud ho stále na MySpace máte, tak by bylo vhodné ho změnit – bez ohledu na to, zda MySpace používáte, či nikoliv.