0:51
4/9/2010

Tuscl.net, strona skupiająca światowe kluby ze striptizem została obnażona zaatakowana. W wyniku ataku, do sieci wyciekły hasła i e-maile zarejestrowanych użytkowników. Niedawno podobny wyciek przytrafił się Filmweb.pl — spójrzmy zatem na zestawienie i porównanie najpopularniejszych haseł stosowanych przez internautów.

Witamy czytelników Wirtualnej Polski :-) Jeśli interesuje was “mroczna strona internetu”, zapraszamy do innych artykułów oraz naszych szkoleń z atakowania i ochrony stron WWW. Miłej lektury!

Popularne hasła: gołe i wesołe

Miłośnicy nagich ciał i tańca na rurze najczęściej wybierali następujące hasła:

  • password – 269
  • 123456 – 173
  • tuscl – 84
  • stripper – 67
  • qwerty – 62
  • 12345 – 49
  • 12345678 – 47
  • 1234 – 42
  • baseball – 36
  • monkey – 36
  • princess – 34
  • stripclub – 33
  • strip – 32
  • jennifer – 32
  • abc123 – 32
  • mustang – 31
  • pussy – 29
  • lapdance – 27
  • andrew – 27
  • jmh1978 – 27
  • letmein – 27
  • fuckyou – 27
  • 696969 – 27
  • michelle – 26
  • harley – 25
  • dallas – 25
  • 111111 – 25


Jak widać, duża zbieżność z najpopularniejszymi hasłami użytkowników Twittera oraz użytkowników Filmwebu, którzy według różnych analiz filmwebowej bazy danych pojawiających się w sieci również gustowali w hasłach typu 123456, qwerty, imionach oraz odniesieniach do serwisu typu $nazwa_domeny_serwisu, film (tutaj: tuscl, strip, stripclub, stripper, lapdance, pussy, 696969). Potwierdza się więc reguła, że duży procent użytkowników danego serwisu ma banalnie proste hasła — por. Popularne Polskie Hasła.

Przejęcie konta na Tuscl.net nie da atakującym żadnych profitów, ale jeśli użytkownik ma takie samo hasło również do swojej skrzynki e-mailowej, sprawa zaczyna być poważna. W dodatku baza 80 tys. osób zainteresowanych striptizem może być całkiem łakomym kąskiem dla spamerów “marketingowców”.

Tucsl.net hacked

Atakujący wyciągnął dane dzięki SQL injection, a następnie opublikował posta z linkami do haseł i e-maili na liście full-disclosure. Hasła w bazie nie były szyfrowane. Włamywacz próbował się wcześniej kontaktować z właścicielem The Ultimate Strip Club List, ale nie uzyskał żadnej odpowiedzi — nas to nie dziwi, właściciel strony o strip-clubach pewnie spędza swój czas w ciekawszych miejscach niż przed komputerem ;-)

Przypominamy, że przełamywanie zabezpieczeń lub logowanie się na cudze konto internetowe w oparciu o znalezione w internecie dane dostępowe może być przestępstwem. Redakcja Niebezpiecznika nie pochwala tego typu działań.

Informację jako pierwszy podesłał j00ru.

Przeczytaj także:

14 komentarzy

Dodaj komentarz
  1. A może to był atak SQL Inception? ;)

  2. Sprawdźcie proszę Was freeconet. Mam konto w tlenofonie, które teraz zostało przeniesione do freeconet. W poniedziałek dostaję maila, a w nim:
    Do obu paneli można zalogować się za pomocą dotychczasowego loginu i hasła:
    login: mój login
    hasło: moje hasło (plaintext)

    Czy mam czekać aż SQL injection dotknie freeconet?

  3. Jakoś nie jestem przekonany co do popularności tych haseł… jeśli na próbie 30k emaili najwięcej wspólnych ma `password` – powtarzający się 269x, a kolejne co raz rzadziej to czy jest się czym przejmować? To tylko niecały 1% wszystkich haseł.

  4. Najpopularniejsze hasło to raptem 3,36 promila a to jeszcze dawka śmiertelna nie jest.

  5. Co wy mówicie, to był atak SQL ejaculation! :P

  6. może od razu Squirt SQL? ;)

  7. […] Niebezpiecznik.pl przygotował zestawienie najpopularniejszych kodów. Słowo “password” powtórzyło […]

  8. A czy jeśli zaloguje się na konto Guest do panelu opisanego jako Demo
    za pomocą danych znalezionych na stronie tj loginu Guest i Hasła Guest
    to to też jest przestępstwem

  9. wp.pl powołuje się na Niebezpiecznik.pl ;>

    http://tech.wp.pl/kat,1009785,title,Ukradziono-hasla-i-maile-80-000-fanow-striptizu,wid,12641920,wiadomosc.html

  10. Mędrzec: tak, to przestępstwo. Niestety albo na szczęście nie wolno Ci niczego tknąć nawet jeżeli system nie jest zabezpieczony.

    Gratuluję! :-) Wirtualna już Was cytuje: http://tech.wp.pl/kat,1009785,title,Ukradziono-hasla-i-maile-80-000-fanow-striptizu,wid,12641920,wiadomosc.html?ticaid=1ad82

  11. @wolny @kas: dzięki za informację — mamy nadzieję, że inne nasze teksty też zainteresują czytelników Wirtualnej Polski :-)

  12. A tak w temacie haseł – przed chwilą dostałem maila z działu zajmującego się rekrutacją w jednej z firm z wielkiej czwórki z danymi mojego konta. “Twój login to:…. twoje hasło to:…”. Rozumiem, że robi tak przysłowiowy pan Kazio, ale na litość boską – korporacja zatrudniająca ~100 tysięcy ludzi, która oferuje usługi doradcze z zakresu bezpieczeństwa informacji??? Ręce opadają. Ale też ta sama firma oferuje kandydatom m.in. “sprawdzoną metodologię” (WTF?).

  13. Poszukuję dobrej dużej listy POLSKICH popularnych haseł. Chcę dodać do jednej z moich aplikacji webowych funkcję weryfikacji hasła pod kątem bezpieczeństwa. Sprawdziłem kilka skryptów które niby to robią, ale potrafią wskazać całkiem popularne hasło jako mocne, tak więc chce weryfikację rozszerzyć o test słownikowy. Mam bazę kilkuset milionów haseł, ale jej przeszukanie za długo trwa, szukam więc czegoś mniejszego tak ok. 5-10 tys haseł.

    • sedem opytaj co n-te hasło :P

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.