12:58
10/9/2014

Wczoraj na jednym z rosyjskich forów internetowych opublikowano listę prawie 4 929 090 adresów e-mail i haseł, które później jednak zostały usunięte (co nie znaczy, że nie można ich znaleźć…). Publikujący je użytkownik o pseudonimie tvskit pochwalił się screenshotem z hasłami i internauci potwierdzili — znaczna ich część ciągle działa.

gmail-passwords-5m

Czy ktoś włamał się do Google?

Raczej nie. Opublikowana wczoraj lista jest trzecią z kolei (po Yandex.ru — lista ponad miliona kont i Mail.ru — lista 4,5 miliona kont). W żadnym z tych przypadków dane nie pochodzą z włamania — ciężko też mówić o “wycieku”. Listy nazw użytkowników wraz z hasłami zostały najprawdopodobniej skompilowane z działań takich jak:

  • phishing — użytkownicy sami podali swoje dane na fałszywej, ale łudząco podobnej do oryginału stronie www, wierząc, że wysłany im e-mail z linkiem do tej strony rzeczywiście pochodzi od administracji danego serwisu (zazwyczaj pod pretekstem “weryfikacji” bądź “odblokowania” danych).
  • złośliwego oprogramowania – urządzenie użytkownika zostało zainfekowane złośliwym oprogramowaniem, które przechwytuje wpisywane hasła (funkcja keyloggera). Malware mógł zostać zainstalowany przez samego użytkownika (“pobierz kodek aby obejrzeć ten film”) albo na skutek tzw. ataku drive-by-download — najczęściej scenariusz wygląda tak: ofiara wchodzi na stronę internetową (prawdziwą, ale zhackowaną przez atakujących lub specjalnie przygotowaną przez samych atakujących np. z szokującymi wiadomościami) ale jej przeglądarka posiada niezaktualizowaną wtyczką Javy. Skutkiem jest wykorzystanie błędu w pluginie Javy do cichego zainfekowania komputera ofiary.
  • Innych “zhackowanych” serwisów internetowych — przestępcy często korzystając z tego, że użytkownicy korzystają z jednego hasła do wielu serwisów, po ataku na np. słabo zabezpieczone i zapmniane forum o czajnikach elektrycznych, łamią hashe haseł do tego forum i sprawdzają, czy hasło z którym zarejestrował się użytkownik pasuje też do jego adresu e-mail (również użytego do rejestracji).
    Niektóre z osób z listy informują, że podane przy ich adresie e-mail hasło nigdy nie było przez nie używane w GMailu, za to pochodzi z innego serwisu internetowego — jest więc możliwe, że listy te nie są jeszcze w pełni zweryfikowane przez przestępców i zawierają hasła z innych serwisów, w którzych użytkownik użył swojego adresu GMail do rejestracji.

Pojawiają się — zwłaszcza w kontekście ostatnich doniesień dotyczących wycieku nagich zdjęć gwiazd z chmury iCloud — także hipotezy, że atakujący zdobyli hasła wykonując ataki “zgadywania haseł”, ale olbrzymia liczba kont na liście sugeruje, że takie zdobycie danych jest (przynajmniej w naszej opinii) bardzo mało prawdopodobne.

Z dużym prawdopodobieństwem należy jednak założyć, że lista powstawała przez wiele lat (i jest kompilacją innych list). Być może o części z tych danych wspominał ostatnio Alex Holden, mocno krytykowany za enigmatyczność swoich wypowiedzi.

Czy jestem na liście?

Jeśli zjada Was ciekawość, zawsze możecie sprawdzić to na tej stronie (my jak zwykle odradzamy wpisywanie adresów e-mail na nieznanych stronach).

Mój e-mail jest na liście – co robić, jak żyć?

Zastosuj się do wskazówek dotyczących sprzątania po przejęciu konta e-mailowego — opisaliśmy je w artykule poświęconym przejmowaniu kont Google (na przykładzie Wieźmina 3).

W skrócie: zmień hasło (pamiętaj, że hasła są jak majtki), włącz dwuskładnikowe uwierzytelnienie i sprawdźcie filtry w skrzynce pocztowej pod kątem takich, które forwardują pocztę do innych (nie waszych) skrzynek.

Nie należy też zapominać, o tym, aby zmienić hasła do serwisów internetowych, na których założyłeś konto przy pomocy tego adresu e-mail (niewykluczone, że atakujący “podejrzał” lub “przypomniał” sobie Twoje hasło).

Generalnie, skuteczne i proste w zastosowaniu wskazówki, które podniosą bezpieczeństwa waszego komputera i waszych kont w sieci znajdziecie w naszym darmowym poradniku “10 rad“.

Jakie jest najpopularniejsze hasło wśród ofiar?

Jako ciekawostkę można podać najpopularniejsze hasło wśród użytkowników znajdujących się na liście Yandex. Jest nim — zgadliście — 123456. Podobnie jak w Polsce zresztą.

A jeśli chodzi o listę Google, oprócz standardowego, króluje hasło abc123 — a ponieważ jak się zapewne domyślacie, to hasło nie spełnia wymagań Google, dane muszą w znacznej części pochodzić z baz serwisów trzecich, na których ktoś założył konto podając jako adres e-mail swoją skrzynkę GMailową.

Lista 10 najpopularniejszych haseł:
47778 123456
11524 password
11145 123456789
8083 12345
5908 qwerty
5241 12345678
3515 111111
3008 abc123
2968 123123
2904 1234567

15:00
Jeden z naszych czytelników, który niestety znajduje się na liście ofiar, informuje, w jaki sposób wyciekło jego hasło:

Odnosząc się do “wycieku” z GMaila sprawdziłem swój email (oczywiście takie jakby fejk nie prywatny), jest w bazie, hasło się zgadza ALE zostało zmienione na inne ok. 11mcy temu. Poza tym hasło nie możliwe do złamania żadnym bruteforcem także pishing odpada, powiem jedno w Międzyzdrojach na wakacjach (2013) dałem się złapać na odpalenie pliku exe przez router w ośrodku (kazał pobrać plik exe żeby połączyć się z internetem) i rzeczywiście po odpaleniu się połączył (taka ciekawość geeka mnie zjadała, do tej pory dziwi mnie to że po ściągnięciu exeka (oczywiście na VM) działał tylko IE) umyślnie logowałem się na strony do których stracenie dostępu i tak mi nie zaszkodzi i bum, jest rezultat.

23:00
Google twierdzi, że tylko 2% danych w wycieku była prawidłowa (tzn. hasła aktualnie pasujące do kont).


Przeczytaj także:





122 komentarzy

Dodaj komentarz
  1. Dane muszą być dość stare. Jest tam mój mail z hasłem, które zmieniłem ponad półtora roku temu.

    • Zdecydowanie są stare. Figuruje tam skrzynką którą usunąłem na początku tego roku…

    • Dokładnie, mi też pokazuje że wyciekło, jednak przedstawia hasło, którego nigdy nie użyłem na GMailu. Czyli dostali się do bazy jakiegoś serwisu :)

  2. Z ciekawości sprawdziłem na tej stronce, korzystając z opcji z użyciem gwiazdek i pokazało mi, że jest tam moje hasło, więc sprawdziłem ponownie normalnie i pokazało, że jest i dwie pierwsze litery hasła, które jednak prawdziwe nie są, więc jeśli już to jest to bardzo stara lista (możliwe, że kiedyś takie hasło miałem faktycznie)

    • Podobnie u mnie, z tym że ja wiem że nigdy takiego hasła nie miałem.

  3. Faktycznie mój śmieciowy mail jest na liście. Tylko hasło to co podali było 2 lata temu

  4. Widzę że ktoś wam DDoS-a robi, Cloudflare co rusz się włącza.

  5. To samo, mój mejl (z gwiazdkami) niby ma być w bazie, ale dwie pierwsze litery z hasła się nie zgadzają i nie pamiętam, żebym kiedykolwiek takie miała.

  6. haha, znalazłem swojego starego maila do którego hasła nie pamiętam, niestety procedura google w odzyskiwaniu hasła do konta na, które dawno się nie logowałem skutecznie uniemożliwia zmianę hasła :D

  7. user który ustalił hasło z literami, cyframi, małpą i procentem, miałby paść ofiarą phishingu? nie wydaje mnie się.

  8. No cóż, mój mail niby tam jest, ale dwie pierwsze litery hasła są starsze niż moja babcia, więc powodzenia ;)

  9. Sprawdziłem najpierw w .txt, jest tam mój mail. Przełamałem się (no skoro i tak go mają) i sprawdziłem na isleaked. Podaje takie hasło jakiego nigdy (100% pewności) nie było na tym koncie (chodzi o pierwsze 2 znaki). Jakaś lipa z tym.

    • Możliwe, że to po prostu maile+hasła z jakichś randomowych śmieciowych serwisów? Może kiedyś dawno temu gdzieś się zarejestrowałem na tego maila.
      Hasło i tak zmieniłem mimo dwuskładnikowego.

  10. Nie ma ktoś tej listy z loginami bez haseł? Nie będę korzystał z tej strony bo śmierdzi :D

  11. Mój mail też znalazł się na liście. Jakoś 3 miesiące temu dostałem maila od Google, że zablokowali moje konto, bo ktoś logował się na nie z USA. Wtedy używałem właśnie tego hasła. Prawdopodobnie sytuacje te są ze sobą powiązane.

  12. jest gdzieś kopia pełnej listy wraz z całymi hasłami?

    • użyj google. Oto keyword: google_5000000.7z

    • jest

    • potwierdzam jest

    • w google_5000000.7z jest pełna lista ale bez haseł, przynajmniej w tych które ja ściągnałem. No nic, skoro mowicie ze kopia z haslami nadal jest to poszukam po pracy

    • Jesteście pewni, że lista zawierająca hasła jeszcze gdzieś jest ? Sprawdziłem z 15 plików i wszystkie mają 28mb i same loginy :/ Mój mail też tam jest (z jakimś dziwnym hasłem, isleaked.com podaje dwa pierwsze znaki których nie kojarzę) – co prawda na 100% nie jest to moje hasło do Gmaila, ale ciekaw jestem do czego z jakiego serwisu wyciekło :/

    • Jest, poszukaj coś o 10_millions_emails_yandex_mailru_gmail_w_passwords_2014 

  13. Moje stare konto także znajduje się na tej liście. Najlepsze jest to, że na tym koncie było zdefiniowane dosyć długie, bo prawie 20 znakowe hasło, które nie było używane nigdzie więcej (całkowicie unikalne). Na to konto nie logowałem się od co najmniej 3 lat, ponieważ mam tam przekierowanie wszystkich wiadomości na inny adres. Jedynym prawdopodobnym wektorem ataku wydaje się być brute-force…

  14. Mój email też jest i pierwsze dwa znaki hasła nawet się zgadzają i należą do hasła, które podawałem kiedyś w najmniej ważnych dla mnie miejscach, jakichś forach czy innych stronach gdzie musiałem się na szybko zarejestrować. Na pewno z gmaila nie wyciekło.

  15. Już nie trzeba sam znalazłem. Szybciej jest znaleźć niż czekać na zatwierdzenie posta :E

  16. Tez jestem, nie wiem z jakiego powodu i do tego pierwsze litery hasla sie zgadzaja. Czas wszedzie pozmieniac haslo.

  17. “666999” , “572610” , “118666” – WTF ?!
    1) Hydra, Burp czy każdy inny ‘engine’ sprawdza takie hasełka na śniadanie!
    2) Kto przy zdrowych zmyslach POZWOLIŁ na używanie takich haseł (dev ops fail?)
    3) Kto jest na tyle GŁUPI i LENIWY żeby takich hasel używac…

    Moja propozycja brzmi: “KILL ALL PASSWORDS && USE 2FA”

    • >Kto przy zdrowych zmyslach POZWOLIŁ na używanie takich haseł (dev ops fail?)

      Przez pierwsze lata istnienia gmail chyba w ogóle nie sprawdzał “trudności” hasła. Mam do dziś konto do spamu, hasło to 4 małe litery.

  18. to nie jest wyciek haseł do gmaila tylko wyciek haseł powiązanych z gmail hasło powiązane z moim adresem to hasło którego nigdy nie ustawiałem na gmail tylko na mało istotne usługi … co nie zmienie że cześć pewnie się zgadza z hasłami do gmaila :)

    • No nareszcie sensowna odpowiedz!

    • Doszedłem do takiego samego wniosku – mój email jest, ale 2 pierwsze znaki hasła odpowiadają hasłu jakie używałem na “serwisy śmieciowe”. Ponadto od ponad pół roku używam keepassa i wszędzie już zmieniłem hasła na losowe i unikalne.

      Oznacza to, że faktycznie wyciek jest z serwisu/serwisów powiązanych i to z dość starej bazy.

    • Potwierdzam – identyczna sytuacja jest u mnie.

  19. Mojego maila nie ma ;)

  20. 196 maili ma dopisek +xtube, jeśli to wyciek z jakichś serwisów raczej można łatwo określić z jakich :)

    • Ale raczej nie tylko tych. Ja na nich kont nie mam, a mój e-mail też jest na liście.

  21. Na liście mój mail sprzed kilku lat, hasło się zgadza. Po zalogowaniu na maila, 2maile od google że 27 i 28 marca ktoś logował się moim hasłem jednak zostało to zablokowane. Lokalizacja logowania: Anhui, Chińska Republika Ludowa.

  22. Zdobycie takiej listy jest banalnie proste – tworzy się keyloggera i kupuje instalacje – jest wiele firm które za grosze (nawet za 1 centa) instalują soft na komputerach użytkowników, w pełni legalnie – kwestia tego że użytkownicy klikają “next, next” jak coś pobiorą. Warto by o tym napisać artykuł żeby zwiększyć świadomość społeczeństwa. I robią to nawet duzi gracze – np. Adobe doinstalowuje coś z Flashem, Chrome kupuje tak instalacje itd.

  23. a mojego adresu e-mail tam nie ma ;] 2 etapowe logowanie i jest ok ;)

  24. Mail na liście jest, hasło się zgadza. Tylko że konto ponad dwa lata temu usunięte.

  25. Zmieńcie Waszą ochronę przed DDOSem. Wymaganie przez serwis taki jak Niebezpiecznik zezwolenia na wykonywanie js to czysta hipokryzja.

    • Zmienimy, jak tylko staniesz przed serwerem i mieczem bedziesz odganial pakiety lepiej niz robi to cf obecnie. :)

  26. Wszzedłem na stronę, aby sprawdzić czy jestem na liście. Dostałem po rusku taką odpowiedź:
    Да! Почта xxx@gmail.com обнаружена в базе! Первые два символа пароля: po. Немедленно смените его!

    Tak! Poczta xxx@gmail.com w bazie danych! Pierwsze dwa znaki z hasła: PO. Natychmiast zmienić!

    Tylko moje hasło na PO się na pewno nie zaczyna :)

    • Raczej RO niż PO

    • Bo p po rusku czyta się R

  27. If you don’t like to specify your full email address for any reason, you can replace up to 3 characters with asterisk sign (e.g., for myaccount@gmail.com enter myac***nt@gmail.com), thus we’ll show you a count of matches for this pattern. We respect your privacy.

  28. Jest i mój mail na liście i hasło, które zmieniłem około roku temu.
    Na phishing raczej nie nabrałem się nigdy. Możliwe, że podawałem to hasło przy rejestracji w innych serwisach. Kilka razy logowałem się u kogoś, na niesprawdzonym sprzęcie. Co najgorsze mam to hasło ustawione chyba jeszcze gdzieś. Właśnie zaczynam sprawdzanie gdzie i zmianę gdzie się da.
    PS Dwuskładnikowe uwierzytelnianie mam aktywne od dawna ;).
    PPS Sprawdziłem maile kontaktów z Google i nikogo nie ma na liście. Co zrobiłem nie tak? :/

  29. “Lista 5 milionów kont (loginy i hasła) opublikowana w internecie — są na niej Polacy”
    no są, są…
    http://imgur.com/SlvUDHZ

    • Hmm… a haseł pasujących do dupa\.8 jest dokładnie 8. Przypadek?

    • Przypomniała mi się Seksmisja :).

  30. Informuję, że moje hasło do emaila raczej pochodzi z hashu md5 z jakiegoś forum. Gdyż nigdy takiego hasła nie miałem do poczty. :)

    Musieli komuś wykraść BD

  31. Mój mail też jest, ale hasło sprzed coś koło 4 lat… Do tego dwuetapówka jest włączona, więc luz.

  32. już widzę te nagłówki na onecie: WŁAMANIE NA GMAILA! ZHAKOWANO MILIONY KONT GOOGLA! FATALNE ZABEZPIECZENIA GOOGLA…EHHH

  33. Ściągnąłem sobie listę w .txt z TPB i niestety jest tam mój mail alternatywny. Hasło się zgadza.

  34. Jest i mój e-mail, ale co ciekawe z hasłem, które nie było używane na skrzynce ale na wszelkiego rodzaju forach internetowych. Jest to mój tzw. śmieciowy mail, którego często używałem na forach jednorazowego wejścia. Hasło się zgadza, ale nie do skrzynki pocztowej – nigdy takiego hasła nie było na poczcie.

  35. Mój e-mail na liście jest i hasło się zgadza z tym co miałem jakieś 2 lata temu. I w sumie wyjaśnia się skąd na koncie Google miałem wtedy zanotowane logowanie z Rosji…

    Niestety nie powiem w którym innym serwisie hasło było użyte, bo… W tamtych czasach wszędzie miałem to samo hasło :o

    Tak, ten błąd już dawno naprawiłem ;)

  36. Mój email jest ale hasło jakie tam pokazuje to hasło używane tylko w jednym serwisie! Mianowicie torr****.org ktoś też ma tam konto i znalazł email?

  37. Listę pobrałem nie ma mojego adresu, ale przy okazji sprawdziłęm w ustawieniach gmaila>szczegół a tam takie dziwne logowania:
    “IMAP () Ukryj szczegóły Stany Zjednoczone (66.54.67.69) 09:00 (10 godzin temu)”
    o co chodzi ktoś ma dostęp do mojego konta czy to coś innego?

    • USA? Pewno rutynowa kontrola NSA, czy nie prowadzisz działalności cyberterrorystycznej…

  38. Miałem tam konto parę lat temu aktywne, hasło się zgadza, ale rejestrowałem się tam innym mailem, niż znaleziony w bazie, pomocniczym. I też jakoś w lipcu miałem wejście z Kalifornii na konto.

  39. To raczej wyciek z jakiejś strony, bo hasło które widnieje przy moim mailu jest hasłem śmieciowym, do samej poczty mam zupełnie inne + 2 etapowa weryfikacja.

    Więc jest to wyciek jakiejś bazy z jakiegoś forum czy innej strony. Co ciekawe żadne hasło na liście nie ma wielkich liter, więc albo wszystkim dali lowercase albo ci co mieli wielkie litery w haśle są bezpieczni.

  40. Lista w sieci krąży ;)
    Znaleziona w przeciągu 5ciu minut ;)

    http://vpx.pl/i/2014/09/10/dowod3df47a.jpg

    Pozdro :)

  41. http://www.ghacks.net/2014/09/10/find-out-if-your-gmail-password-was-stolen/
    W tym artykule masz link do Mega, a tam lista maili w txt (po rozpakowaniu około 100 MB).

  42. Mam konto na gmail od ładnych paru lat. Mojego adresu akurat nie ma w bazie. Przypuszczam, że to dlatego że ten na gmail służy tylko do wysyłania i odbierania prywatnej poczty, a wszelakie fora rejestruje na innym adresie który nie jest na serwerze gmail.
    Więc pewnie baza została odczytana z jakiegoś serwisu.

  43. Ten link dziala –> http://bit.ly/1uwiBlU

  44. Mam na gmailu 9 kont zakładanych w przeciągu 6 lat i żadnego z nich nie ma na tej liście, więc raczej wątpię, żeby to był wyciek z gmaila

  45. […] Poinformował nas o tym jeden z czytelników. I możnaby powiedzieć, że dziś najwyraźniej dzień wycieków… ale w przypadku znalezionych przez naszego czytelnika danych nauczycieli, sprawa nie jest […]

  46. Skąd można pobrać listę ?

    • Synku!! Czytaj wyzej – sam podalem linka a obok mnie 3 inne osoby …

  47. Czy ktoś mógłby podać link albo przesłać mi listę z hasłami? Mój mail jest, chcę tylko sprawdzić jakie hasło.
    thx.

  48. maile się powtarzają z różnymi hasłami. leacked podaje 2 pierwsze litery tylko dla pierwszego dopasowania.

  49. Strona isleaked.com wygląda w porządku, można zakryć ostatnie trzy znaki loginu gwiazdkami bojąc się o wykorzystanie adresu.

  50. mój jest w bazie tyle,że hasło (podano dwiae pierwsze litery) jest chyba z przed 4 lat!

  51. @AdNEt ok, dzięki tatku. Nie odświeżyłem strony i twojego postu nie widziałem.

  52. Mhm, mail mojej dziewczyny był z bardzo starym hasłem (słownikowym).

  53. To stara baza ktora wyciekla z Sony, ktos ja sortuje teraz domenami i robi sensacje.

  54. Mój mail też jest na liście, hasło jest poprawne, ale nie do konta google, to śmieciowe hasło, którego używałem do mało istotnych usług.

    Mały offtop: Przy tej okazji postanowiłem pozmieniać hasła w co istotniejszych miejscach i oto jakim komunikatem poczęstowało mnie Allego: “Hasło jest zbyt długie” – 22 znaki… padłem.

  55. znalazłem tam swój email ale hasło które było nie jest od mojej skrzynki, tylko służyło mi do rejestracji na stronach o niskiej wiarygodności – bo użyłem tam swojego najsłabszego hasła, które może być przeznaczone do ujawnienia bez szkody… Więc musiała to być jakaś publiczna strona na której musiałem założyć konto aby coś pobrać, stąd wykradli moje hasło…

  56. tak sobie przeglądam i wśród haseł i polskich adresów całkiem często pojawiają się wariacje na “allegro” :)

  57. Mój adres e mail był także w bazie, ale tego hasła nigdy nie miałem ustawionego.

    Owszem, używałem tego hasła i emalia ale do logowania w innych serwisach, nigdy na poczcie.

    Wydaje mi się, że to hasło wyciekło z innego serwisu.

  58. A wystarczy ściągnąć sobie tą bazę i wydać polecenie na konsoli linuxa:

    cat plik.txt | grep login@gmail.com | sort

    i ma się posortowaną listę pasujących emali :)

  59. “IsLeaked.com registered 2 days before Gmail leak public”

    http://jameswatt.me/2014/09/10/isleaked-com-registered-2-days-before-gmail-leak-public/

    Skoro baza był stara i niezweryfikowana, to może to nie atak hakerski, a socjotechniczny, a celem pozyskanie bazy aktywnych adresów email.

  60. jeden z moich maili jest w bazie ale hasło ktore strona twierdzi ze mam jest nieprawdziwe, i nigdy tez nie mialem hasła ktore sie zaczyna od takich liter. na maila sie nie logowalem od roku.

  61. Typuję Atari. Dostałem kiedyś od nich maila o wycieku haseł, a hasło jakie wypluła mi strona nigdy nie było użyte jako hasło do maila. Hasło pokrywa się z tym starym od Atari. Nie mogę wykluczyć innych serwisów, ale z historii rejestracji, to albo jest to to albo ew. jeszcze nexusmods.com
    W większości rejestruje się za pomocą 10minutemaila, dlatego łatwo mi prześledzić historię rejestracji.

  62. Moj adres iniestety sie tam znalazl, a haslo nie pasuje do maila tylko (pasowalo) do wowa ktorego mi jakims dziwnym trafem ktos podpierdzierlil kilka lat temu

  63. Mój e-mail jest ale hasło obok nigdy nie było do tej skrzynki. Za to hasło które widnieje używam do śmieciowych serwisów do których włam jest mi zupełnie obojętny albo rejestruje się tam jednorazowo bo coś. Do innych serwisów mam do każdego inne hasło więc gdyby było to coś ważnego to wiedziałbym skąd jest wyciek.

  64. ”(my jak zwykle odradzamy wpisywanie adresów e-mail na nieznanych stronach).” <3

  65. a z nudow sprawdzilem 1 i ostatnie
    1 nie dziala a ostatnie
    “Konto Google zostało wyłączone ze względu na podejrzaną aktywność”

  66. To raczej wyciek haseł z serwisu a nie z gmaila.
    W moim przypadku było to hasło, które miałem ustawionie tylko na stronie daz3d i nigdy nie było używane w innych serwisach czy jako hasło maila.

  67. Brak e-maila, hasło 20 znakowe + uwierzytelnianie dwu składnikowe. E-mail nie podawany tak więc wykluczyć mogę wyciek z google.

  68. cat gmail-5mil-passwords2.txt |grep kurwamac
    :-)

  69. znalazłem mój adres i 2 literki hasła i mogę powiedzieć, że adres mailowy + hasło pochodzą z innych serwisów gdyż hasło mam zupełnie inne, a ten adres mail używam do rejestracji na niepewnych serwisach. Jeśli ktoś podał to samo hasło do danego serwisu i posiada takie samo do gmaila to ma problem.

  70. Jest mój email, ale hasło się nie zgadza. Zmieniam na tym koncie hasło co pół roku, ale takiego jak podane w pliku nigdy nie miałem.

  71. Sprawdzałem wczoraj poprzez tą stronę isleaked, mój mail był i początki liter się zgadzały. Przed chwilą ściągnąłem listę z hasłami zobaczyć jaka modyfikacja hasła się tam znajduje (bo używałem kiedyś samą kombinację liter, a le i też dodawałem cyfry na koniec). I było hasło z samymi literami, które nigdy nie używałem w gmailu, a na innych stronach np. na G4G na którym też kiedyś wykradziono dane i Origin.

  72. Po liście stwierdzam, że najpopularniejsze hasło w Polsce to k****mac :D

  73. W moim przypadku hasło prawie poprawne. Okrutnie stare i do tego tylko fragment.

  74. troche nie na temat, ale za to na temat tego polecanego dwuskladnikowego uwierzytelniania – mnie szlag juz trafia juz z tymi podejrzliwymi webmasterami. dawniej przesadzali ze skomplikowaniem dozwolonych hasel a teraz z tym podwojnym uwierzytelnianiem. mam wszedzie gdzie moge wylaczone dwuskladnikowe uwierzytelnianie a tak czy tak sie mnie czepiaja. Gwoli wyjasnienia – jestem Polakiem, mieszkam na stale w Hiszpanii i jezdze sporo po swiecie. Moja poprzednia podroz – nie moglem korzystac z konta na yahoo.es, bo jakis webmaster w czapce z amelinium, zyjacym od paru lat w serwerowni na bazie pizzy, uznal za podejrzane ze sie loguje z Indii, z innego IP niz zwykle. Wymagal nagle odpowiedzi na pytanie pomocnicze ktore zapomnialem juz jakichs 10 lat temu i po trzech nieudanych probach zablokowal konto. Dobrze ze nie zablokowal tego przez komorke, przez program pocztowy od yahoo.
    Aktualna podroz – jestem w Chinach i O2 zablokowal mi mozliwosc wysylania maili. Pewnie wydalo im sie podejrzane ze ktos z Chin probuje wyslac z polskiego maila wiadomosc po hiszpansku. I teraz najlepsza czesc – mozna odblokowac za pomoca Captcha, tyle tylko ze uzywaja skryptow do captcha od Google. Czyli d* zbita, bo za wielkim murem Google wyciety. Dobrze ze chociaz mozliwosci czytania maili nie zablokowali, ale i tak czekaja mnie 3 tygodnie bez pisania maili z tego konta, no chyba ze jakies proxy sobie znajde. No tyle ze jak znajde proxy, to znowu inny IP i znowu czlowiek bedzie podejrzany i bedzie sie musial tlumaczyc ze nie jest wielbladem…
    Jak dla mnie od zawsze rozwiazaniem jest kasowanie wrazliwych danych a nie ich przechowywanie na skrzynkach za haslami. Kiedys serwis gmx.de automatycznie kasowal stare maile po 3 miesiacach, ale rewolucja gmailowska oduczyla ludzi rozsadnego zarzadzania pojemnoscia konta. Wydziwiania z haslami natomiast oduczylem sie juz jakies 15 lat temu, jak musialem przez pol godziny w podrozy w kafejce internetowej kombinowac z mapowaniem stron kodowania w terminalu, zeby zalogowac sie przez telnet haslem ktore w srodku mialo pare znakow specjalnych takich jak np #
    Dobrze, ze wtedy jeszcze nadgorliwcy nie blokowali po 3 nieudanych probach…

    • To nie jest paranoja postmasterów tylko realia, niestety spamerzy często sobie używają na serwerach pocztowych i stąd to. BTW gmail z hasłami jednorazowymi nie wystarczy ? u mnie się sprawdza idealnie

    • gmaila akurat nie mam :-)
      Jakos nie zalapalem sie jak byl boom na zakladanie, bo mialem juz wtedy chyba 3 rozne konta, a potem to juz nawet nie chcialem z powodu obaw, ze wielki brat jednak troche za duzo jak na moj gust bedzie o mnie wiedzial.

  75. Sprawdziłem siebie w pliku z pełnymi danymi. Jest mój e-mail, ale hasło jest z innego serwisu. Ponieważ dokładnie zapisuję sobie gdzie jakiego hasła używam i nigdy się ono nie powtarza to dokładnie wiem z którego ;). Faktycznie rejestrowałem się tam w 2009.10 za pomocą konta z gmaila.

    Ciekawa sprawa, bo to jeden z tych serwisów co odsyłają w mailu rejestracyjnym nasze dane do logowania jawnym tekstem. Nadal mam je w skrzynce. Może ten wyciek jest efektem skanowania jakichś fragmentów treści maili z gmaila.

  76. Cóż… mój mail się tam znalazł. Hasło na szczęście jakie jest to takie “randomowe” jakie używam do zarejestrowania się, pobrania czegoś i zapomnieniu o jakiejś stronie. Tylko, że nie pobieram z jakich nie waidomo stron (ruskich czy co) i aż tyle kont nie potworzyłem… Jestem ciekaw z czego i jak ktoś te hasło wydębił.
    Za to najbardziej boję się jednego – wraz z udostępnieniem tej listy maili (nawet bez haseł) spamerzy dostaną spamerowego nergazmu i pewnie mój mail zamiast 1 spam na dzień będzie otrzymywał ich znacznie, znacznie więcej :/

    • A, i jeszcze teraz sobie zdałem z tego sprawę.
      Od ponad 2 lat rejestrując się na takich stornach krozystam z ztw. “temporary e-mails” na 60 minut albo z wp/onet przeznaczonych na spam. W takim razie jestem ciekaw skąd ta lista się wzięła…

  77. Tymi danymi nie można się logować do konta gmail czyli wniosek z tego, że są stare czy z innych serwisów?

  78. Pomożecie dotrzeć do listy maili zawierającej hasła? Nigdzie nie mogę znaleźć – tylko lista maili. Dzięki

  79. moje hasło na liście jest sprzed dwóch lat.

  80. Damian, a skąd wziąłeś listę z hasłami?

    • Andrzej wygoogluj hasło “google_5000000.7z”

    • Na ale właśnie problem w tym, że znajduję tylko pliki z samymi adresami. Podpowiecie?

  81. A ja nie sprawdzałem tego, czy mój mail jest na liście, najpierw nie mogłem wejść na forum, później doszedłem do wniosku, że nie chcę niczego takiego na kompa ściągać, a z tej podejrzanej rosyjskiej stronki nie będę korzystać…Zmieniłem hasła profilaktycznie, chociaż zmieniałem je już przy ostatnim wycieku.

  82. Faktycznie, ciężko już znaleźć plik z hasłami. Doszedłem tylko do tego, że ma podobno 66,8 MB. Ma ktoś gdzieś prywatnie?

  83. Mojego maila tam nie ma. Moze dlatego ze zmieniam haslo co jakis czas i jest bardzo skomplikowane

  84. Faktycznie jest mój adres jednakże hasło jest to które podaje zawsze logując się na śmieciowe serwisy (czyli takie które spokojnie mogę powiedzieć każdemu). Więc widzę że nie jest tak do końca że te hasła są faktycznie prawdziwe. Nigdy tego hasla nie używałem do poczty więc…. wzięli pewnie mój email jako nazwa użytkownika w jakimś serwisie zaś hasło własnie z tego serwisu. Nawet im się nie chciało sprawdzić czy jest poprawne.

  85. Jedno z dwóch moich kont google było na liście, co ciekawe google zablokował dostęp do mojego konta z Chin około roku temu o czym zostałem powiadomiony, nie wydaje mi się żeby to był przypadek.

  86. Niby mój mail jest na liście ale hasło (a raczej dwa pierwsze znaki) jakie mi wyświetla jest nieaktualne już grubo od ponad roku. Zmieniłem je mniej więcej w momencie gdy po zalogowaniu na skrzynkę gmail ostrzegł mnie o nietypowym logowaniu na moje konto. Z tego co pamiętam logowano się wtedy z Chin.

  87. […] Dropboksa a następnie przechowywała to hasło, czy może sytuacja bardziej przypomina niedawny “wyciek 5 milionów haseł do GMaila”, za którym tak naprawdę kryło się wiele włamań do baz danych wielu serwisów i jedynie […]

  88. Jedno z tych kont widnieje na tej liście, co ciekawe zamknąłem je jakies 2 lata temu, typowo spamowe, na badziewie, ktorego nie chcialem w zwyklej skrzynce. Haslo zawieralo 2 litery i 6 cyfr bynajmniej nie 1234…

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: