Przestępcy ujawnili miliony haseł i kont pocztowych

Jeśli się ktoś wystraszył, to stronka ogólna:

https://haveibeenpwned.com/

i szczególna:

https://isleaked.com/en.php

Jeśli się ktoś wystraszył, to stronka ogólna: https://haveibeenpwned.com/ i szczególna: https://isleaked.com/en.php

I broń Was Boże przed wpisywanie adresu email na nieznanych stronkach

A hasła/przecieki były dość dawno, część ludzi raportuje, że ich adres owszem i jest, ale hasło albo stare, albo nie związane z kontem gmail (np. jakiś śmieciowy serwis, na którym podaliście adres gmaila).

A od gmaila też Was broń Boże

Gdyby kolega więcej czytał, niż pisał, to by zauważył, że tam nie trzeba podawać pełnych adresów, a na jednej z nich zamiast adresu można dać np. swój nick z forum. Ale zawsze fajniej jest postraszyć (Stefek Król nawet nieźle z tego żyje).

Znając życie, to ludzie wpisują tam pełne adresy email, więc ostrzeganie przed ujawnianiem obcej stronie swojego adresu jest jak najbardziej na miejscu. Tyczy się to tak samo stronek oceniających siłę haseł. Jest to zwyczajnie głupie i naiwne. Jeśli ktoś się obawia, że jego hasło wyciekło, to jedyne co powinien zrobić, to natychmiast je zmienić i tyle.

Tyczy się to tak samo stronek oceniających siłę haseł. Jest to zwyczajnie głupie i naiwne.

Pełna zgoda. Był tam kiedyś fajny dowcip o tym, jak ludzie o różnych poziomach ogarniania rzeczywistości wymyślają hasła, i dlaczego.

Jeśli ktoś jest na tyle niedoświadczony, że bez obaw wpisuje swój email do takich formularzy, to na 99% jego adres i tak już siedzi w spamerskich bazach - jakie więc dodatkowe zagrożenie wynika z ewentualnego dopisania się do jeszcze jednej listy sprzedawców kanadyjskiej farmacji? Tu nie trzeba straszyć, tylko wyjaśniać, i to możliwie prosto, co się dzieje z komputerem. Ale jeśli eksperci zamiast prewencji wolą zarabiać na ofiarach niewiedzy (a straszenie by nie robić tego czy owego to żadna wiedza, tylko kolejny śmieć informacyjny pogłębiający chaos w głowie "zielonego" internauty), to niech te ofiary przynajmniej wiedzą, że są ofiarami.

Tylko, że to jest zwyczajne nakłanianie do łamania pewnych standardów, a tym samym zasad bezpieczeństwa oraz prywatności. Nie po to od dawna wkuwa się np. marketerom, bankowcom czy fakturowcom, by wysyłać maile tylko z jednej, klarownej domeny, nie po to kreuje się podejście do tego, by w oficjalnych mailach nie zamieszczać klikalnych linków oraz nie zachęcać do odwiedzenia strony z innej domeny lub gdy link ma niejasną postać, bo zwykły user przestanie odróżniać phishing od poprawnego maila. Zatem trzeba trzymać się ściśle pewnego schematu postępowań kierowanego właśnie do prostych userów, by nie klikali bezmyślnie linków, nie otwierali załączników z niewiadomego źródła czy właśnie nie wpisywali emaili/haseł/danych osobowych na obce stronki. To właśnie legitymizacja pewnych wyjątków robi najwięcej szkody i zamieszania. I nawet jeśli ten właśnie user już jest w bazach, to owe zasady mają uzmysławiać zagrożenie pozostałym.

BTW. Ustalmy jedno - te stronki nie są prowadzone przez żadnych "ekspertów". Każdy może taką stronkę postawić, a bazy z wycieków są w większości publiczne.

Nie wiem czy wszyscy sobie uświadamiają fakt, że żaden z szanujących się serwisów NIE PRZECHOWUJE HASEŁ użytkowników. O ile mi wiadomo Google też tego (mam nadzieję) nie robi. Zatem hasła nie mogły wyciec z serwerów google bo ich tam po prostu nigdy nie było, a jedynie skróty haseł, na podstawie których nie da się jednoznacznie odtworzyć oryginalnego hasła. Dla mnie oczywiste jest, że hasła, o których jest tu mowa, musiały zostać wprowadzone przez samych użytkowników na jakiejś innej (przestępczej) witrynie.

@tomak: Są skróty i są skróty. Wszystkie banalne hasła, a właściwie ich skróty, które ktoś wygenerował bez solenia, google odnajduje w ułamku sekundy.

@wilk: Wiadomo, że w ostateczności cała prewencja polega właśnie na nieklikaniu, niewpisywaniu itp. Problem w tym, że ludzie nie mają pojęcia dlaczego mają tak postępować i po napotkaniu nowych form nadużyć są bezradni. Efekty są takie, że niektórzy pracownicy firm np. histerycznie boją się podać komuś NIP, a mimo to łapią się na "darmowe bramki SMS" (czy inne atrakcyjne "usługi"), w których podaje się swój numer telefonu, a potem w formularzu przepisuje kod z otrzymanego sms-a. I ile trwa, zanim taki ludek się zorientuje, że sms-y, które od tej pory zaczynają przychodzić na jego numer, nie dość że są trudne do wyłączenia, to do tego jeszcze PŁATNE?

skróty haseł, na podstawie których nie da się jednoznacznie odtworzyć oryginalnego hasła.

Ależ da się da. A im bliżej hasłu do naiwności ("12345" itp.), to jest to tym szybsze. Dlatego też lepiej odgórnie uznać, że stronki do testowania haseł są zwykłymi harvesterami i lądują one w słownikach używanych haseł, co przyspiesza proces.

nie dość że są trudne do wyłączenia, to do tego jeszcze PŁATNE?

Fakt, ale przed głupotą nie da się przestrzec wszystkich. Można mówić "nie skacz" czy "nie przechodź na czerwonym", a i tak znajdzie się ktoś, kto skoczy lub przejdzie. Wbrew temu co piszesz smsy takie można wyłączyć łatwo jednym tylko smsem.

Wbrew temu co piszesz smsy takie można wyłączyć łatwo jednym tylko smsem.

Wbrew temu co piszesz smsy takie można wyłączyć łatwo jednym tylko smsem.

Akurat miałem kilku pacjentów z takimi sms-ami. Z reguły strony dezaktywujące są, ehm, "zepsute", albo takie udają, a wysłanie sms-a na tajny numer kończy się jakąś dziwną odpowiedzią. Na przykład, że usługa wcale nie jest włączona (a potem przychodzi kolejny płatny horoskop czy coś podobnego). Na wszelki wypadek trzeba atakować na wszystkich frontach (na stronie operatora, na stronie złodz... to znaczy usługodawcy i dodatkowo puścić wszystkim jeszcze sms-y z rezygnacjami - co też darmowe nie jest).

Fakt, ale przed głupotą nie da się przestrzec wszystkich.

Dlatego właśnie jęczę, żeby nie przestrzegać na zasadzie "nie skacz, nie idź, nie to, nie tamto", tylko tłumaczyć co się dzieje. Wtedy nieco zwiększy się użycie rozumu, co teoretycznie powinno przynosić korzyści.

Dlatego właśnie jęczę, żeby nie przestrzegać na zasadzie "nie skacz, nie idź, nie to, nie tamto", tylko tłumaczyć co się dzieje. Wtedy nieco zwiększy się użycie rozumu, co teoretycznie powinno przynosić korzyści.

To trzeba było tak napisać zamiast:

Gdyby kolega więcej czytał, niż pisał, to by zauważył, że tam nie trzeba podawać pełnych adresów, a na jednej z nich zamiast adresu można dać np. swój nick z forum. Ale zawsze fajniej jest postraszyć (Stefek Król nawet nieźle z tego żyje).

Z reguły strony dezaktywujące są, ehm, "zepsute", albo takie udają, a wysłanie sms-a na tajny numer kończy się jakąś dziwną odpowiedzią.

Odbiegamy nieco od problemu wycieku, aczkolwiek aby dokończyć temat: ale te smsy (subskrypcje) wysyła operator przecież, nie potrzeba wchodzić na jakąś "dezaktywującą stronę". Niemniej zgodzę się, że jeśli ktoś daje sobie wcisnąć taką usługę, to może mieć także problem z jej wyłączeniem.

Jeśli tylko wiesz na jaki numer wysłać (nie zawsze jest to ten sam z którego smsy otrzymujesz) i jaka ma być treść tego smsa z rezygnacją.

Wujek zawsze służy pomocą: https://www.google.pl/search?q=subskrypcja+sms+wy%C5%82%C4%85czanie

Przykładowo: http://www.prawokonsumenta.pl/2012/10/02/jak-wylaczyc-platne-smsy/

To trzeba było tak napisać zamiast

Zagadnienia poruszane w obu cytatach są rozłączne. Czemu miałbym jeść ziemniaki zamiast jeździć na rowerze?

wysyła operator przecież, nie potrzeba wchodzić na jakąś "dezaktywującą stronę"

Miałem takie sytuacje, że właśnie operator odmawiał wyłączenia usługi, twierdząc że nie jest włączona. To szemrane towarzystwo, które bardziej lubi grać w pomidora niż "nasze" banki - lepiej się od nich wypisywać na wszystkie możliwe sposoby.

 

Gdyby kolega więcej czytał, niż pisał, to by zauważył, że tam nie trzeba podawać pełnych adresów

Gdyby kolega uważał to wiedziałby że w zakładzie kto utnie sobie pierwszy głowę wystarczy tylko nadciąć szyję...

Proszę obu kolegów o więcej merytoryki, mniej złośliwości.

To było merytoryczne. Zachęcanie do podawania swoich danych na NIEZNANEJ stronie nie wiem jak określić.

Bywały już przypadki że pod pozorem ochrony, np. antywirus oszukiwano ludzi i wykradano ich dane.

No chyba że kolega ręczy za stronę. Ale to byłoby dziwne jakby ręczył za cudzą stronę nie znając mechanizmów jej działania dokładnie.