4/9/2010
Tuscl.net, strona skupiająca światowe kluby ze striptizem została obnażona zaatakowana. W wyniku ataku, do sieci wyciekły hasła i e-maile zarejestrowanych użytkowników. Niedawno podobny wyciek przytrafił się Filmweb.pl — spójrzmy zatem na zestawienie i porównanie najpopularniejszych haseł stosowanych przez internautów.
Popularne hasła: gołe i wesołe
Miłośnicy nagich ciał i tańca na rurze najczęściej wybierali następujące hasła:
- password – 269
- 123456 – 173
- tuscl – 84
- stripper – 67
- qwerty – 62
- 12345 – 49
- 12345678 – 47
- 1234 – 42
- baseball – 36
- monkey – 36
- princess – 34
- stripclub – 33
- strip – 32
- jennifer – 32
- abc123 – 32
- mustang – 31
- pussy – 29
- lapdance – 27
- andrew – 27
- jmh1978 – 27
- letmein – 27
- fuckyou – 27
- 696969 – 27
- michelle – 26
- harley – 25
- dallas – 25
- 111111 – 25
Jak widać, duża zbieżność z najpopularniejszymi hasłami użytkowników Twittera oraz użytkowników Filmwebu, którzy według różnych analiz filmwebowej bazy danych pojawiających się w sieci również gustowali w hasłach typu 123456, qwerty, imionach oraz odniesieniach do serwisu typu $nazwa_domeny_serwisu, film (tutaj: tuscl, strip, stripclub, stripper, lapdance, pussy, 696969). Potwierdza się więc reguła, że duży procent użytkowników danego serwisu ma banalnie proste hasła — por. Popularne Polskie Hasła.
Przejęcie konta na Tuscl.net nie da atakującym żadnych profitów, ale jeśli użytkownik ma takie samo hasło również do swojej skrzynki e-mailowej, sprawa zaczyna być poważna. W dodatku baza 80 tys. osób zainteresowanych striptizem może być całkiem łakomym kąskiem dla spamerów “marketingowców”.
Tucsl.net hacked
Atakujący wyciągnął dane dzięki SQL injection, a następnie opublikował posta z linkami do haseł i e-maili na liście full-disclosure. Hasła w bazie nie były szyfrowane. Włamywacz próbował się wcześniej kontaktować z właścicielem The Ultimate Strip Club List, ale nie uzyskał żadnej odpowiedzi — nas to nie dziwi, właściciel strony o strip-clubach pewnie spędza swój czas w ciekawszych miejscach niż przed komputerem ;-)
Informację jako pierwszy podesłał j00ru.
A może to był atak SQL Inception? ;)
Sprawdźcie proszę Was freeconet. Mam konto w tlenofonie, które teraz zostało przeniesione do freeconet. W poniedziałek dostaję maila, a w nim:
Do obu paneli można zalogować się za pomocą dotychczasowego loginu i hasła:
login: mój login
hasło: moje hasło (plaintext)
Czy mam czekać aż SQL injection dotknie freeconet?
Jakoś nie jestem przekonany co do popularności tych haseł… jeśli na próbie 30k emaili najwięcej wspólnych ma `password` – powtarzający się 269x, a kolejne co raz rzadziej to czy jest się czym przejmować? To tylko niecały 1% wszystkich haseł.
Najpopularniejsze hasło to raptem 3,36 promila a to jeszcze dawka śmiertelna nie jest.
Co wy mówicie, to był atak SQL ejaculation! :P
może od razu Squirt SQL? ;)
[…] Niebezpiecznik.pl przygotował zestawienie najpopularniejszych kodów. Słowo “password” powtórzyło […]
A czy jeśli zaloguje się na konto Guest do panelu opisanego jako Demo
za pomocą danych znalezionych na stronie tj loginu Guest i Hasła Guest
to to też jest przestępstwem
wp.pl powołuje się na Niebezpiecznik.pl ;>
http://tech.wp.pl/kat,1009785,title,Ukradziono-hasla-i-maile-80-000-fanow-striptizu,wid,12641920,wiadomosc.html
Mędrzec: tak, to przestępstwo. Niestety albo na szczęście nie wolno Ci niczego tknąć nawet jeżeli system nie jest zabezpieczony.
Gratuluję! :-) Wirtualna już Was cytuje: http://tech.wp.pl/kat,1009785,title,Ukradziono-hasla-i-maile-80-000-fanow-striptizu,wid,12641920,wiadomosc.html?ticaid=1ad82
@wolny @kas: dzięki za informację — mamy nadzieję, że inne nasze teksty też zainteresują czytelników Wirtualnej Polski :-)
A tak w temacie haseł – przed chwilą dostałem maila z działu zajmującego się rekrutacją w jednej z firm z wielkiej czwórki z danymi mojego konta. “Twój login to:…. twoje hasło to:…”. Rozumiem, że robi tak przysłowiowy pan Kazio, ale na litość boską – korporacja zatrudniająca ~100 tysięcy ludzi, która oferuje usługi doradcze z zakresu bezpieczeństwa informacji??? Ręce opadają. Ale też ta sama firma oferuje kandydatom m.in. “sprawdzoną metodologię” (WTF?).
Poszukuję dobrej dużej listy POLSKICH popularnych haseł. Chcę dodać do jednej z moich aplikacji webowych funkcję weryfikacji hasła pod kątem bezpieczeństwa. Sprawdziłem kilka skryptów które niby to robią, ale potrafią wskazać całkiem popularne hasło jako mocne, tak więc chce weryfikację rozszerzyć o test słownikowy. Mam bazę kilkuset milionów haseł, ale jej przeszukanie za długo trwa, szukam więc czegoś mniejszego tak ok. 5-10 tys haseł.
sedem opytaj co n-te hasło :P