23:11
24/2/2012

Jak poinformował nas jeden z czytelników, na Twitterze pojawiła się lista kilku tysięcy haseł do adresów e-mail z domen polskich portali (m.in. interia, wp, o2). Poniżej przedstawiamy szczegółowe statystyki.

JurassicSec

Link do pliku z hasłami i e-mailami został udostępniony przez Jurrasic Sec. W pliku znajduje się informacja o ok. 5200 adresach e-mail wraz z odpowiadającymi im hasłami. W rzeczywistości jednak w pliku znajduje się 5160 e-maili, z czego tak naprawdę tylko 3536 adresów jest unikalnych. A więc udostępniona lista duplikuje kilkaset e-maili (Dlaczego? Być może lista ta jest złożona z kilku źródeł?).

jurrasicsec

jurassicsec: lista haseł do polskich skrzynek pocztowych

Najwięcej adresów e-mail znajdujących się na liście to skrzynki poczty od Wirtualnej Polski, zaraz potem poczta o2, interia i onet.

1633 wp.pl
1178 o2.pl
310 interia.pl
257 tlen.pl
88 poczta.onet.pl
41 go2.pl
15 tenbit.pl
7 poczta.fm
3 interia.eu
2 onet.eu
1 vp.pl
1 op.pl

Analiza haseł

Poniżej przedstawiamy analizę udostępnionych haseł. Nie różni się ona zbyt wiele od wcześniejszych analiz, które przeprowadziliśmy na innych wykradzionych bazach danych należących do polskich serwisów. Znów na pierwszym miejscu mamy hasło 123456 oraz niezrozumiałe dla nas, ale cieszące się popularnością hasła takie jak “polska” i “matrix” — potem standardowo imiona.

Oto lista 20 najpopularniejszych haseł z udostępnionego przez Jurrasic Sec pliku

40 123456
11 polska
11 matrix
8 maciek
7 monika
7 master
7 lukasz
6 marcin1
6 haslo1
6 1qazxsw2
6 12345
5 piotrek1
5 misiek
5 marcin
5 kasia
5 internet
5 dragon
5 dawid1
5 bartek
5 amiga

Analiza najpopularniejszych haseł nie daje żadnych wskazówek co do tego, skąd mogą pochodzić “wykradzione” hasła — obstawiamy więc, że dane zostały zebrane z botnetu/trojana/keyloggera.

Aktualizacja
Część danych z listy JurassicSec pochodzi z wcześniejszych kompilacji haseł do polskich skrzynek pocztowych, o których pisaliśmy w tekście 10 000 haseł do kont na polskich portalach.

Aktualizacja
JurassicSec w rozmowie z Niebezpiecznikiem potwierdziło, że dane pochodzą z botnetu. Dlatego wszystkim znajdującycm się na liście internautom zalecamy sprawdzenie swojego systemu pod kątem złośliwego oprogramowania.

PS. Pamiętajcie, że GMail ma dwuskładnikowe uwierzytelnienie, które od atakującego wymaga znania nie tylko hasła do waszego konta, ale również kodu, który Google wysyła każdorazowo SMS-em przed zalogowaniem się na skrzynkę e-mail.


Przeczytaj także:

68 komentarzy

Dodaj komentarz
  1. Można gdzieś obejrzeć te listę ? Mam skrzynkę na o2 i wolałbym jej nie stracić.

    • To profilaktycznie zmień hasło, sprawdź czy nie masz ustawionych “filtrów” na pocztę przychodzącą (często włamywacze ustawiają auto-duplikację poczty przychodzącej na swoje adresy, aby dalej móc ją czytać po zmienie hasła).

    • Leży sobie na pastebinie, żaden problem ją znaleźć, wystarczy odpowiednio pomęczyć Google.

  2. należy też zauważyć, że xxx@o2.pl = xxx@go2.pl = xxx@tlen.pl

    • Zapomniales podac jeszcze jednego aliasu: = xxx@prokonto.pl

  3. @Piotr, to szybciutko zmieniaj hasło..

  4. Jurassic nie Jurrasic. Chyba że celowo zaciemniacie kod ;)

  5. Ta lista zapewne jest złożona z jakiś starych list z których wyciekły hasła do skrzynek pocztowych. Zapewne to tłumaczy powtórzenia. Na liście jest login i hasło do mojego kumpla poczty które wyciekło ponad 1,5 roku temu.

    • Jest na to szansa. Przejrzeliśmy “historyczne” dumpy pod kątem kilkudziesięciu losowo wybranych rekordów z tej listy — bez sukcesów, niestety. Skąd/Jak wyciekło hasło Twojego kolegi?

    • https://niebezpiecznik.pl/post/wyciek-10-000-hasel-polskich-internautow-onet-pl-interia-pl-wp-pl-o2-pl/ wtedy mojego kumpla wyciekły dane wpis 2484 z tej dzisiejszej listy na pastebin. Dla wszystkich którzy chcą sprawdzić to dodam że kumpel od tego czasu nie korzysta z konta (bo mu przejęli dostęp) a wszystkie konta zarejestrowane na tego maila przeniósł.

  6. Możecie przeszukać plik względem mojego maila?

  7. Hehehe… mojego qwerty nie ma na liscie. :)

  8. Miałem kiedyś pocztę na o2.pl – wyciekła wtedy lista login/hasło (niebezpiecznik informował o tamtym zdarzeniu bodajże). o2 zablokowało więc wszystkie skrzynki, których hasła wyciekły, a żeby odzyskać dostęp kazali wysłać kopię dowodu osobistego (listownie). Oczywiście olałem ich i nigdy nie założę poczty na tym syfie ani nikomu nie polecę (wręcz zdecydowanie odradzam). Btw. hasło nie było wtedy mega łatwe, raczej średnio łatwe (niesłownikowe, [a-z]{6}[0-9]{3}).

  9. Dzięki za info.. mojego hasła nie ma na liście i jest myślę dość silne, ale na wszelki wypadek zmieniłem. =)

  10. o2 już przyblokowało podejrzane konta

  11. Co ciekawe konta nadal są aktywne

  12. Część z tych kont była już wcześniej publikowana wraz z hasłami. Więc całkiem świeże to nie jest.

    • Tym bardziej dziwi, że hasła są nadal aktualne…

  13. Na ich koncie pastebin jest rowniez obublikowana baza edaboard.com .

  14. Moze to zabrzmi malo wiarygodnie ale sa na ziemi miejsca do ktorych dochodzi internet z satelity a niestety telefony komorkowe milcza. A pozniej nie placi sie rachunkow na czas, bo kod nie doszedl :) wole juz karte kodow jednorazowych i wole jej strzec i pilnowac na kazdym kroku

    • Google pozwala na dwuetapową autoryzację poprzez:
      * SMS
      * Elektroniczny authenticator (iOS / Android)
      * Lista jednorazowych kodów

    • A ja po jednym wykładzie, który usłyszałem na Semaforze, pokasowałem swoje konta na gmailu. Nawet pięcioskładnikowe uwierzytelnianie mnie nie skusi ;)

    • Eh, no właśnie, wczoraj padł mi telefon, kabla nigdzie w pobliżu i ani GMail nie otworzę, ani przelewu nie zrobię. Przydałoby się coś lepszego.

    • @jamnik
      tak z ciekawości, dlaczego?

    • Phil Cryer miał dobrą prezentację nt. prywatności i praktyk dużych firm, które udostępniają nam różne usługi “za darmo”.
      Pdf jest tu:
      http://s3.amazonaws.com/ppt-download/isyourdatasafe-semafor2012-1-00-120223164044-phpapp01.pdf
      Warto przejrzeć, choć długie ;-)

  15. Sprawdziłem kilka losowych kont z interii. Większość już zablokowana.

  16. Teraz piszą na swoim Twitterze “Tango Down Gadu-Gadu”. Faktycznie, wczoraj przez dobre pół godziny leżały wszystkie serwery, jednak czy jest to jakoś ze sobą powiązane? Wpis pojawił się już po przywróceniu funkcjonowania komunikatora…

  17. To stary wyciek, są tam konta i hasła z wycieku sprzed 1,5 roku…

  18. <3 pastebin.com :]

  19. Jest moje stare konto email, na szczescie juz nieaktywne. Dziekuje za przypomnienie hasla!

  20. Polaczki biedaczki

    • Wyluzuj. Oszczędzisz układ krążenia.

  21. Lololololo, ten wyciek jest sprzed ~2 lat! Hasło które jest na liście jest nieaktualne. Sprawdzcie se: ca1ek@o2.pl

    • no shit sherlock

  22. Domyślam się, że te hasła pochodzą stąd (wczoraj dostałem takiego mejla na skrzynkę wp):

    Drodzy Wp.pl użytkownika!

    Twój wp.pl e-mail nie dotrzeć do kontyngentu, kliknij lub skopiuj i wklej poniższy link i wypełnij
    wymagane
    dane w celu uniknięcia
    wp.pl stracił konto e-mail.

    http://shrvl.com/R6xbi

    Dziękujemy za wybór wp.pl.
    Copyright©1995-2012 Wirtualne Pöls

    Elaine Turkington
    Johnson Associates
    905-877-5165

  23. Lista w dalszym ciągu jest na internetach, można sobie ściągnąć i przejrzeć. Linku nie będę podawał bo nie wiem czy nie łapie się to pod paragraf a samemu można sobie znaleźć w 3 minuty. Mojego maila na szczęście nie ma.

  24. Lista jest nieaktualna, ale to już wszyscy zauważyli. Jest tu również mój adres i dziwi mnie trochę jak Interia reaguje na to. Równie dobrze za pół roku, ktoś znowu wyciągnię to listę i znowu będę musiał dzwonić do Interii i płaszczyć się, tłumaczyć że to moja skrzynka. Najgorsze jest jednak to, że przez cały czas, gdy konto jest zablokowane nie oznacza to tylko, że nie można wejść na skrzynkę. Wysłałem właśnie próbnego maila z innej skrzynki i dostałem zwrot (550 550 5.2.1 Mailbox not available). To znaczy, że jeżeli ktoś lub coś do mnie pisze lub napisało przez ten czas, zostaje bezpowrotnie stracone. O ile ludzie dostaną zwrot i wyślą na inną skrzynkę, poczekają, skontaktują się, to różnorakie powiadomienia już do mnie nie dojdą. Interia sucks!

    • Jest prawie polnoc. Znajdujesz informacje, ze wyciekla lista kont i starasz sie chronic uzytkownikow. Czas gra role – w koncu lista jest powszechnie dostepna i ktos moze z niej zrobic niewlasciwy uzytek. Chodzi o uzytkownikow z ktorymi najczesciej nie masz zadnej formy szybkiego kontaktu. Czesc z nich nie ma pojecia, ze trzeba zmienic haslo (nic nie wie o tym zdarzeniu) a rownie duzo nie wie skad czerpac wiedze o tym co zrobic i jak sie chronic. To dosc ciekawe, ze gdyby portale nie zablokowaly to decyzje by skrytykowano, gdy blokuja szybko to tez sa niezadowolone osoby :)

    • Do kolegi S: jemu chodziło o niemożliwość dostarczenia maila, a nie o dostęp do skrzynki…

  25. przecież ta lista ma już chyba kilka miesięcy bo kiedyś znajomego powiadomiłem że jego email z hasłem jest tam zamieszczony, jakieś gnojki podszywają się pod czyjąś robote

  26. Niektórzy tutaj narzekają, że jak o2 zablokowało im konta po włamaniu, to musieli wysyłać skany dowodów osobistych. A jest to nie prawda, bo wystarczyło kliknąć przy logowaniu opcję: zapomniałem hasła i je na nowo ustawić. Ot cała zabawa…

    • Jak logowałem się używając wcześniejszego hasła to dostawałem informację: zablokowana skrzynka. Jakoś trudno mi uwierzyć, że zmiana hasła powoduje odblokowanie konta (co w takim razie z kontami celowo blokowanymi przez adminów za złamanie regulaminu? zmieniasz hasło i odblokowane ;]).

    • odblokujesz w ten sposob konto, jesli masz odzyskiwanie hasla SMS-em. co jest logiczne, bo to ty masz telefon.

  27. Jest w tej bazie hasło “654321” albo mój login ?

    • Ręce opadają :)

  28. Zauważyłem pewną zależność, ale nie wiem czy to się potwierdza. Nie ma żadnego hasła, które zawiera jeszcze jakieś inne znaki niż litery czy cyfry, np. “/ ? @ # $ %” (pomijając konta, gdzie nie da się takich ustawić).

    • Nie ma, bo takie hasła trudniej wyciągnąć z zakodowanych hash’y w MD5 albo SHA1. Ktokolwiek oryginalnie dobrał się do haseł dostał właśnie takie hash’e. Większość łatwo odkodować słownikowo. Tych które nie znalazł po prostu pominął.

    • Też nad tym myślałem i znalazłem jedno konto ze znakiem “$” w haśle (linia 2613).
      Ale nie wiem czy jest jeszcze jakieś z innym znakiem niż litery i cyfry

  29. na pare kont zalogowac sie na nk.pl mozna, bo ktos ma to samo haslo na maila i na nk… i pewnie wiele innych serwisow

  30. Chciałbym zauważyć, że ktoś nie domknął a i komentarze też są wyróżnione.
    Nie ma za co.

  31. W bazie znalazłem maila kumpla, hasło dział i pasuje nawet do innego jego maila :)
    Już go poinformowałem.

  32. Dane tych studentów opublikowane przez nich, są z Akademii Morskiej w Szczecinie :D

  33. […] JurassicSec, która wczoraj opublikowała kilka tysięcy haseł do polskich skrzynek pocztowych nie próżnuje. Na jej koncie w serwisie Twitter pojawił się link do danych ok. 1500 studentów. […]

  34. Cholera!!! Interia zablokowała mi dzisiaj konto; w poniedziałek będe dzwonić z jakiego powodu. Na tej liście nie jestem i dodam jeszcze, że hasło składało się z 10 znaków w tym 2 znaki specjalne i oczywiście na komputerach mam wiec linuxa wiec trojana wykluczam plus cały soft z reposytorium instalowany. Czy ktoś wie jak wyglada procedura odblokowania konta i czy robią z takies problemy?

  35. Słuchajcie. Zrobiłem małe śledztwo. Logowałem sie przy pomocy tych maili i hasła na portal nk.pl Praktycznie na każde konto na które udało mi się zalogować w “gościach” była osoba o normalnym imieniu i nazwisku, z zerową liczbą znajomych oraz avatarem “anonymous”. Goście ci, wchodzili na konta między 17 a 20 lutym, o różnych godzinach, nawet w nocy. Myśle, że zalogowałem się na około 50 kont, a na 40 była w gościach taka osoba. Oczywiście zaznaczam, że logowałem się i nic na kontach ludziom nie zmieniałem. Może ktoś zauważyl to co ja? Wydaje mi się to bardzo dziwne.

  36. to jest stara baza, która wcześniej wyciekła

  37. Heh, to chyba jest już przestępstwo. Można powiedzieć że włamanie na konta w nk … ..

  38. […] stare wycieki, bazy, które już jakiś czas krążą po sieci. I o ile opublikowaną 2 dni temu listę haseł do polskich skrzynek pocztowych czy też ujawnioną dziś listę użytkowników forum haker.com.pl można nazwać danymi […]

  39. Na liście odnalazłem swoje konto, ale hasło jest sprzed jakichś dwóch lat, więc w moim przypadku wygląda to na copypaste ze starej bazy.

    Nie zmienia to faktu, że konto zostało “profilaktycznie” zablokowane.

  40. […] Posiadają swój botnet wielkości 100 000 zainfekowanych maszyn. To z nich pochodzą listy haseł do polskich skrzynek pocztowych. Botnet Jurassic Sec został także użyty do ataków DDoS na strony rządowe w trakcie protestów […]

  41. […] co dzieje się na przestrzeni ostatnich kilku dni wspaniale pokazuje, dlaczego warto jest mieć osobne hasła do każdego serwisu. Hasła są […]

  42. To gdzie ta lista ? Może jest tam moje konto do którego rok temu zapomniałem hasła a nie ma sposobu na jego odzyskanie :(

  43. kiedy dojdzie do mnie link z nowym kontem

  44. to znaczy kiedy.czekam juz od rana

  45. Już nie ma tego na Pastebinie pod pierwotnym linkiem :/ Ciekaw jestem, czy jest tam moje konto spamowe? Ktoś ma jakieś kopie?

  46. czy ktos moglby sprawdzic czy na stronie znajduje sie haslo do pewnego adresu email?

  47. Ja na takiej stronie chciałam doładować eurogąbki dokładnie nA NK i udostepniłam hasło chakerom pisali inni że to oszuści i teraz zmieniłam hasło czy to coś pomoże proszę o szybką odpowiedz :( ponieważ jeśli sie nieda nic zrobić to usuwam nk

  48. Witam pilnie potszebuje zlamac haslo na mejla na onet.eu ,do mej sziewczyny logink znam

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: