0:19
25/1/2012

Ktoś przypuścił słownikowy atak na Gadu-Gadu i opublikował listę 9999 numerów GG wraz z ich hasłami:

Atak na GG

Opublikowana w internecie lista numerów wraz hasłami nie jest wynikiem wycieku danych na skutek włamania na serwery Gadu-Gadu. Ktoś po prostu wybrał sobie kilka słabych haseł (123456, qwerty, kasia, etc.) i próbował przy ich pomocy logować się na każdy numer Gadu-Gadu. Jeśli logowanie się udało, numer wraz z odpowiednim hasłem lądował na liście. W ten sposób zebrano 9999 par numery-hasła.

hasla gg

Lista numerków GG ze słabymi hasłami

Wbrew pozorom, “atak słownikowy” nie jest dziełem Anonimowych. Te same dane zostały jeszcze w grudniu 2011 opublikowane przez Unn4m3d, który nota bene, wystosował do Anonimowych specjalną notatkę:

jaah

Kolejny raz potwierdza się teza, że niektóre z osób podpisujących się jako “Anonimowi” lubią sobie przywłaszczać czyjąś “pracę”… Takie akcje działają na niekorzyść wizerunku Anonymous.

P.S. To trochę przerażające, ile osób, pomimo tak licznych próśb (por. Jakie jest najpopularniejsze hasło w Polsce), ciągle korzysta z tak banalnych haseł… W pewnym sensie, sami są sobie winni.


Przeczytaj także:

66 komentarzy

Dodaj komentarz
  1. Aj aj, a ja właśnie kliknąłem wyślij ;)

    Śmiesznie musi wyglądać baza danych. Pewnie w ramach optymalizacji założyli sobie tabelkę w której przyporządkowują konta do słabych haseł a nie hasła do kont :P

    • Kodowanie Huffmana?

  2. Ojap. WIzerunek Anonimowych jest w Twojej czaszce. Myślę, że obecność Hałabały przyćmiewa Anonimowych – silnie to czuję. Poza tym księguję właśnie DNA wszystkich Anonimowych. Anonimowo oczywiście.

  3. Nie wykluczone, że tego typu akcje są prowokacją mającą na celu kompromitację w mediach ludzi walczących z ACTĄ.

  4. To przerażające… To przerażające, że mimo wielu prób tyle Polaków wdaje się w rozmowy na Gadu-Gadu nawet z silnymi hasłami, a nie jeździ porozmawiać na World Economic Forum do Davos.

  5. Dziwne że GG nie banuje IP za ileś tam błędnych prób logowania

    • To nie jest dziwne, to jest gg ;)

    • Dziwne to jest, że trzymają hasła plain textem w bazie.

    • @kasper93: toś dowalił cegłą w płot. Przeczytaj jeszcze raz, ZE ZROZUMIENIEM artykuł:)

    • #kasper93 czytaj ze zrozumieniem kolego, zastosowana metoda ataku nie polegala na wykradnieciu bazy danych, ale na logowaniu sie przy pomocy pewnej ilosci popularnych hasel.

    • Panowie, ja nawiązywałem do sieci GG ogólnie, a nie konkretnie do tej listy numerów. Może faktycznie słabo to zabrzmiało, ale na swoją obronę powiem, że przed pojawieniem się tutaj artykułu komentowałem na wykopie tę sytuację i pisałem dokładnie to samo co w tym artykule, po za tym jako pierwszy wspomniałem o Unn4m3d. A hasła trzymają w czystym tekście, bo podczas odzyskiwania radośnie wysyłają stare hasło.

    • I dobrze, że gg nie banuje. Pewnie dużo było przypadków, że ludzie wielokrotnie źle hasło wpisywali. Linie telefoniczne by się urywały;)

  6. prosił bym o wszystkie podanie numery gg bym chciał sprawdzać czy mój i mej przyjaciółki gg jest na liście

    • Czyli nie wiesz czy Twoim hasłem do gg jest wspomniane “123456, qwerty, kasia, etc.”?
      Social Engineering fail ;)

    • mistique <- "etc." można by już uznać za mocne hasło, nie? ;-)

  7. Jaka baza? Jaki plain? Przecież facet sobie wybierał numerki i leciał skryptem na pałe słownikowo. Przeczytacie kilka fachowych slowek i już znaFstwo sie wlacza w komentarzach..

    • Wytłumaczymy i Tobie. Podjęte zostały 2 wątki dyskusyjne: pierwszy – o ataku słownikowym na konta GG; drugi – o trzymaniu haseł w plan-text przez GGNet. Jeden nie ma nic wspólnego z drugim ale dzięki trollom oba wątki się niepotrzebnie przenikają.

  8. Dziwne jest to, że niektórzy potrafią pisać ale czytać już nie :þ

    • Policjanci? ;-)

  9. @kasper93 nie wiem, skąd ten wniosek, że trzymają hasła w plain-tekście ? W opisie jest dokładnie opisana metoda ataku – bruteforce słownikowy. Nie ma nic wspólnego z bazami gadu-gadu. Odnośnie zaś samego procesu logowania w protokole Gadu-Gadu, dość dokładny opis masz tu: http://toxygen.net/libgadu/protocol/#ch1.3.

    • Polecam sprawdzić jak zadziała opcja przypomnienia hasła do Twojego gg. Dostaniesz hasło planetextem w mailu :)

    • Ta fajnie – mechanizm logowania jest spoko, ale daj sobie “przypomnij hasło” w gg i na maila Ci przyjdzie Twoje hasło w plaintekście

  10. Niby wszystko fajnie, atak słownikowy, czyli posiadacze długich i skomplikowanych haseł są bezpieczni. Jednak z drugiej strony na liście znajdują się też mocno nietypowe i długie hasła (nie ma ich zbyt wiele, ale jednak zdarzają się). Czy ktoś potrafi to wyjaśnić?

    • Część kont mogła zostać założona tylko po to, aby podać hasła do nich. Bądź zostały otrzymane na jakiejś stronce phishingowej.

  11. A może wyciekły hashe i te bardziej znane zostały od razu rozszyfrowane?

    • No proszę Cię… “123456” można złamać w jakieś 5-10 sekund na celeronie 2,0Ghz. “qwerty” w jakies pol do minuty. Nie potrzeba do tego żadnych leaków.

    • szkoda, że twoja wypowiedź nie ma nic wspólnego z moją.

  12. No ale z innej bajki czy GG nie trzyma haseł w plain-tekście? Wystarczy użyć opcji przypomnienia hasła, a dostajemy nasze aktualne hasło na email …

  13. Ja daję hasła typu: identyczny z loginem, bądź ‘12345’ w przypadku kiedy potrzebuję się zarejestrować, ale z konta w późniejszym czasie korzystać nie zamierzam, więc jak ktoś mi się włamie, to rozpaczać nie będę. Więc te 10K “zhakowanych” kont, zostały stworzone przez użytkowników, którzy z drugiego numeru lubią nabijać się ze znajomych albo inne tego typu akcje. Nie wykluczone również, że tak proste hasła to zasługa lekkomyślnych użytkowników. Tą teorię potwierdza to, że Gadu podało informację, w której zaznaczają, że większość upublicznionych kont jest nieaktywna. Można przypuszczać, że użytkownicy albo w ogóle nie korzystali z ww. kont albo przez bardzo krótki okres.

  14. No dobra super naprawdę ale jakoś na żaden numer nie da się zalogować. Nie podejrzewam żeby wszystkie 9999 osób zmieniło numer w ciągu 6 godzin. Wychodzi na to że to było raczej w stylu napisz numer – dopisz hasło może nikt nie sprawdzi że nie działa.

    • Niekoniecznie, z tego co się orientuje to GG się już zorientowało, mogli wymusić reset haseł.

  15. To nie fake. Też najpierw pomyślałem, że śmieszna próba “hakowania” gg, bo są gotowe narzędzia co przeszukują hasła słownikowo + lista haseł typu 123456, ale nagle moje oko wychwyciło takie hasło: “as85bk05dk1103” co chyba oznacza, że administracja GG to kompletni idioci, bo nie zahaszowali listy haseł! Za takie coś musimy zbojkotować GG i namówić znajomych, żeby przenieśli się na inny komunikator.

  16. Nie jestem pewien co do metody słownikowej -na liście widziałem numery PESEL, daty urodzenia, prawdopodobnie też numery telefonów i bardziej skomplikowane ciągi znaków jako hasła. Oczywiście jest ich mało, no ale są.
    Może ktoś to wyjaśnic?

    • @Janex: Jeśli tych bardziej ‘nietypowych’ haseł jest na liście tylko kilka to niewykluczone, że gościu sam je sobie stworzył, żeby dodać sobie powagi ;-)

  17. Zaczynam się zastanawiać jakie ja mam hasło do GG… przez ten czas kopiowałem tylko plik z ustawieniami… i mi się zapomniało…
    a tak na poważnie to gdzieś słyszałem, że GG ma zabezpieczenie przed wielokrotną próbą zalogowania się po którejś tam próbie następuje blokada czasowa czy coś w ten deseń…

    • Tylko raczej chodzi o próbę zalogowania do danego numeru, ale jeśli “Jaah” leciał po wszystkich numerach najpierw jednym hasłem, potem kolejnymi to tego uniknął bo pewnie odstęp czasowy pomiędzy kolejnymi próbami zalogowania do danego numeru był spory.

      @Adam, dawniej jak prosiłeś o przypomnienie hasła to przysyłali Ci Twoje hasło na maila, ale to było bardzo dawno temu i nie wiem jak jest teraz.

  18. choć nie mam pojęcia czy jest tam mój nr to zmieniłem chasło z 8 znaków na 16 ponoć bezpieczne :) .

    Ciekaw jetem czy Gadu gadu poinformuje o tym na stronie ???

    A po drugie zastanawia mnie dlaczego takie systemy przyjmują tak proste hasła (Mówie o hasłach z artykułu https://niebezpiecznik.pl/post/jakie-jest-najpopularniejsze-haslo-w-polsce/ ), Napewno można stworzyć skrypt odrzucania tych haseł jak się mylę to poprawcie mnie

  19. Żeby było śmieszniej to w sieci można znaleźć gotowe programy do robienia takich psikusów ;)

  20. A ja się dziś z poziomu klienta (GG, Pidgin) nie mogłem zalogować (od razu uprzedzam – mam bardziej skomplikowane hasło niż 12345), wchodziło za to przez WebGG. Gadu-Gadu specjalnie coś zablokowało, czy sieć była przeciążona?

    • Może walczą przeciw ACTA? :>

  21. Hmm nie chce siać paniki wobec tego co się dzieje ostanimi dniami ale od wczoraj wieczora mam cyrki z kontem pocztowym na onecie o ile web mail dziala OK, o tyle ich serwery raz odrzucają autoryzacje na pop3 a za chwile wpuszczaja na pop3 a nie wpuszczaja smtp oczywiscie dane logowania sprawdzone tysiac razy i sa ok :)
    czy ktos doswiadczyl podobnej niedogodnosci ? :) oczywiscie pomijajac fakt posiadanego juz konta na gmail ;)

  22. ciekawe jest to co pan Unn4m3d robi z tymi kontami … z resztom dociekliwi znajda a biznes sie kreci

  23. Wie ktoś jak odzyskać numer ? :)
    E-mail też został zmieniony …

    • Napisz do GGNet, opisz zaistniałą sytuację, podaj poprzednie hasło, poprzedni e-mail oraz przypuszczalny zakres adresów IP z jakich się logowałeś. Sprawdzone, przetestowane, oddają konto.

    • Po jakim czasie się można spodziewać odpowiedzi ?

    • 48h

  24. […] listę pokazywał, że jest to lista, w której większość haseł jest taka sama: 123456. Serwis Niebezpiecznik.pl nazwał ten wyciek „atakiem słownikowym” tłumacząc, że ktoś wybrał sobie po prostu kilka słabych haseł i próbował przy ich pomocy […]

  25. http://www.gadu-gadu.pl/informacja-nt-wycieku-hasel-do-gg?utm_source=gg&utm_medium=hover#all-comments

    widać rok temu nie zareagowali :)…

  26. “(..) W pewnym sensie, sami są sobie winni.”

    No z taką opinią bym uważał jednak, bo to jak powiedzieć ofiarze gwałtu, że była wyzywająco ubrana i sama jest sobie winna. Nie powielajcie toku myślenia tych na górze, przeciw którym protestujecie od niedawna. Włam to włam, nawet bez hasła…

  27. Uff rząd jest kryty, nie było hasła “admin1” ani “admin2” ;-)

  28. Zapomniałbym.. http://ctrlv.it/id/MjgwMTcx – same, niepowtarzające się hasła.

    • Prawdopodobnie wynik dodania danych z informacjami dot. danego numeru (nick/imię) do słownika.

    • Piotrze to nie jest atak słownikowy . shackowano mi konto a moje hasło zawierało male i duze litery i cyfry i znajduje sie na tej liscie z tego postu podejrzewam skąd jest ten wyciek ale to na priv

  29. […] Niebezpiecznika, numery te i hasła zostały zdobyte metodą słownikową, nie ma więc powodów do obaw […]

  30. Kiedyś napisałem program, który w dużej mierze może przyczynić się do podobnego “wycieku” http://blog.grabowski.ostrowwlkp.pl/kursy/libgadu-pomocy-zapomnialem-swojego-numeru-gg :)

  31. elektryk_ po tym włamaniu na forum Gadu-Gadu ponoć poszedł dalej i ma baze komunikatora :x Tak słyszałem na chacie. Jeżeli to prawda (na 70% prawda) to ma hasła w plain jak wiemy?

  32. Administratorzy serwisów powinni zablokować możliwość ustawiania łatwych haseł z listy top 100 najpopularniejszych. Serwisy powinny być idioodporne.

  33. omg, dajcie spokoj, te komentarze sa smiechu warte. gg blokuje po 4-6 nieudanych logowaniach wiec robisz sobie liste top 6 i przeczesujesz cale zakresy numerów… i cala magia prysła lól

  34. Cóż, wpadłem na to w 2007 roku :) Owszem po paru próbach zalogowania się do danego nr gg, następuje blokada 30 minutowa i nie da się nawet zalogować z dobrym hasłem. Serwer po otrzymaniu pakietu logowania zrywał połączenie. Ale! Ograniczenie to było na numer gg, idąc numery po kolei nie doprowadzało się do jego zablokowania :) Jakie hasła pasowały? Głownie imiona, zwierzęta i marki sprzętu :D Screeen: http://i42.tinypic.com/15d868h.jpg

    • Hmmm. Wlasnie ja dostałem bana na gg.pl. Zapomniałem hasła i na gg i na pocztę. I tak próbowałem wpisując rózne uzywane przeze mnie hasła i nawet użyłem bruteforce. I tak o to mnie zbanowali . Ban zejdzie ? Bede miał z tego jakieś konsekwencje?

  35. od dawna wiadomo, że łatwiej przyporządkować login do hasła, niż na odwrót :)

  36. A czy ktoś może powiedzieć czy atak na gg jest możliwy za pomocą brutusa ?

    • Jasne że jest możliwy… pytanie tylko ile czasu by trwał taki atak…
      Skoro sprawdzanie haseł odbywa się ok 2-4 na sekundę, więc przy 5 znakach mamy 5 do potęgi 23 możliwości.
      Ewentualnie można to podzielić na parę wątków.

  37. ponad połowa z tych (losowo wybranych) jest nieprawdziwa.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: