0:51
4/9/2010

Tuscl.net, strona skupiająca światowe kluby ze striptizem została obnażona zaatakowana. W wyniku ataku, do sieci wyciekły hasła i e-maile zarejestrowanych użytkowników. Niedawno podobny wyciek przytrafił się Filmweb.pl — spójrzmy zatem na zestawienie i porównanie najpopularniejszych haseł stosowanych przez internautów.

Witamy czytelników Wirtualnej Polski :-) Jeśli interesuje was “mroczna strona internetu”, zapraszamy do innych artykułów oraz naszych szkoleń z atakowania i ochrony stron WWW. Miłej lektury!

Popularne hasła: gołe i wesołe

Miłośnicy nagich ciał i tańca na rurze najczęściej wybierali następujące hasła:

  • password – 269
  • 123456 – 173
  • tuscl – 84
  • stripper – 67
  • qwerty – 62
  • 12345 – 49
  • 12345678 – 47
  • 1234 – 42
  • baseball – 36
  • monkey – 36
  • princess – 34
  • stripclub – 33
  • strip – 32
  • jennifer – 32
  • abc123 – 32
  • mustang – 31
  • pussy – 29
  • lapdance – 27
  • andrew – 27
  • jmh1978 – 27
  • letmein – 27
  • fuckyou – 27
  • 696969 – 27
  • michelle – 26
  • harley – 25
  • dallas – 25
  • 111111 – 25


Jak widać, duża zbieżność z najpopularniejszymi hasłami użytkowników Twittera oraz użytkowników Filmwebu, którzy według różnych analiz filmwebowej bazy danych pojawiających się w sieci również gustowali w hasłach typu 123456, qwerty, imionach oraz odniesieniach do serwisu typu $nazwa_domeny_serwisu, film (tutaj: tuscl, strip, stripclub, stripper, lapdance, pussy, 696969). Potwierdza się więc reguła, że duży procent użytkowników danego serwisu ma banalnie proste hasła — por. Popularne Polskie Hasła.

Przejęcie konta na Tuscl.net nie da atakującym żadnych profitów, ale jeśli użytkownik ma takie samo hasło również do swojej skrzynki e-mailowej, sprawa zaczyna być poważna. W dodatku baza 80 tys. osób zainteresowanych striptizem może być całkiem łakomym kąskiem dla spamerów “marketingowców”.

Tucsl.net hacked

Atakujący wyciągnął dane dzięki SQL injection, a następnie opublikował posta z linkami do haseł i e-maili na liście full-disclosure. Hasła w bazie nie były szyfrowane. Włamywacz próbował się wcześniej kontaktować z właścicielem The Ultimate Strip Club List, ale nie uzyskał żadnej odpowiedzi — nas to nie dziwi, właściciel strony o strip-clubach pewnie spędza swój czas w ciekawszych miejscach niż przed komputerem ;-)

Przypominamy, że przełamywanie zabezpieczeń lub logowanie się na cudze konto internetowe w oparciu o znalezione w internecie dane dostępowe może być przestępstwem. Redakcja Niebezpiecznika nie pochwala tego typu działań.

Informację jako pierwszy podesłał j00ru.

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

14 komentarzy

Dodaj komentarz
  1. A może to był atak SQL Inception? ;)

  2. Sprawdźcie proszę Was freeconet. Mam konto w tlenofonie, które teraz zostało przeniesione do freeconet. W poniedziałek dostaję maila, a w nim:
    Do obu paneli można zalogować się za pomocą dotychczasowego loginu i hasła:
    login: mój login
    hasło: moje hasło (plaintext)

    Czy mam czekać aż SQL injection dotknie freeconet?

  3. Jakoś nie jestem przekonany co do popularności tych haseł… jeśli na próbie 30k emaili najwięcej wspólnych ma `password` – powtarzający się 269x, a kolejne co raz rzadziej to czy jest się czym przejmować? To tylko niecały 1% wszystkich haseł.

  4. Najpopularniejsze hasło to raptem 3,36 promila a to jeszcze dawka śmiertelna nie jest.

  5. Co wy mówicie, to był atak SQL ejaculation! :P

  6. może od razu Squirt SQL? ;)

  7. […] Niebezpiecznik.pl przygotował zestawienie najpopularniejszych kodów. Słowo “password” powtórzyło […]

  8. A czy jeśli zaloguje się na konto Guest do panelu opisanego jako Demo
    za pomocą danych znalezionych na stronie tj loginu Guest i Hasła Guest
    to to też jest przestępstwem

  9. wp.pl powołuje się na Niebezpiecznik.pl ;>

    http://tech.wp.pl/kat,1009785,title,Ukradziono-hasla-i-maile-80-000-fanow-striptizu,wid,12641920,wiadomosc.html

  10. Mędrzec: tak, to przestępstwo. Niestety albo na szczęście nie wolno Ci niczego tknąć nawet jeżeli system nie jest zabezpieczony.

    Gratuluję! :-) Wirtualna już Was cytuje: http://tech.wp.pl/kat,1009785,title,Ukradziono-hasla-i-maile-80-000-fanow-striptizu,wid,12641920,wiadomosc.html?ticaid=1ad82

  11. @wolny @kas: dzięki za informację — mamy nadzieję, że inne nasze teksty też zainteresują czytelników Wirtualnej Polski :-)

  12. A tak w temacie haseł – przed chwilą dostałem maila z działu zajmującego się rekrutacją w jednej z firm z wielkiej czwórki z danymi mojego konta. “Twój login to:…. twoje hasło to:…”. Rozumiem, że robi tak przysłowiowy pan Kazio, ale na litość boską – korporacja zatrudniająca ~100 tysięcy ludzi, która oferuje usługi doradcze z zakresu bezpieczeństwa informacji??? Ręce opadają. Ale też ta sama firma oferuje kandydatom m.in. “sprawdzoną metodologię” (WTF?).

  13. Poszukuję dobrej dużej listy POLSKICH popularnych haseł. Chcę dodać do jednej z moich aplikacji webowych funkcję weryfikacji hasła pod kątem bezpieczeństwa. Sprawdziłem kilka skryptów które niby to robią, ale potrafią wskazać całkiem popularne hasło jako mocne, tak więc chce weryfikację rozszerzyć o test słownikowy. Mam bazę kilkuset milionów haseł, ale jej przeszukanie za długo trwa, szukam więc czegoś mniejszego tak ok. 5-10 tys haseł.

    • sedem opytaj co n-te hasło :P

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: