24/7/2012
A przy okazji 8,2 milionów adresów e-mail należących do użytkowników tego serwisu. Plik z bazą waży 478 MB i jest dostępny do pobrania na jednym z internetowych for…
Wyciek bazy z Gamigo
Z pobieżnych analiz opublikowanej bazy wynika, że znajdują się w niej dane ok. 3 milionów Amerykanów, 2.5 milionów Niemców i ponad milion Francuzów. Wśród użytkowników są pracownicy tak dużych firm jak IBM, Siemens, Deutche Bank czy Allianz (i to zapewne ich hashe będą łamane w pierwszej kolejności).
Baza hashy MD5 pojawiła się na znanym już forum InsidePro, na którym pojawiły się także bazy serwisów LinkedIn, LastFm i Formspring czy eHarmony. Za atakami najprawdopodobniej stoi użytkownik 8in4ry_Munch3r, a jeden z użytkowników forym InsidePro twierdzi, iż złamał już 94% hashy (co sugeruje iż nie były solone).
To czy wasze dane wyciekły, możecie sprawdzić np. w serwisie Pwndlist — ale warto zdawać sobie sprawę, że podawanie swojego adresu e-mail na pierwszym lepszym serwisie nie jest zbyt roztropne.
Amigo należy do niemieckiego koncernu Axel Springer. Jego pracownicy potwierdzili, że w marcu 2012 odnotowali incydent bezpieczeństwa — ale ponoć zaraz po nim poinformowali wszystkich dotkniętych nim użytkowników serwisu.
Standardowo: miałeś tam konto, zmieniaj hasło w każdym miejscu, w którym było takie same. Ciekawe ile jeszcze baz serwisów pojawi się niebawem w internecie? Wyciek hashy z LinkedIn zapoczątkował dziwny trend próśb o pomoc w łamaniu wykradzionych hashy i jakby ośmielił atakujących do publicznego dzielenia się swoją zdobyczą…
tak z ciekawości – jako, że plik zalinkowany na pierwotnym forum już nie jest dostępny – skąd wiesz jakie były domeny wśród “ofiar”? zdążyłeś pobrać?
to chyba o ten wyciek chodzi? http://i.imgur.com/QmF8r.png http://forum.gamigo.com/showthread.php?2-Important-Change-your-passwords!&p=2#post2 ? :>
Mój mail wyciekł. Wie ktoś, jak sprawdzić, jakie teraz miałem hasło na Gamigo (przed chwilą je zresetowałem, bo nie mogłem się zalogować)?
niestety nie pomogę, bo mam bazę z samymi hashami haseł, bez emaili; czy ktoś ma może listę samych kont? czy serwis ten nie wymuszał złożoności haseł na żadnym poziomie? bo w dumpie, który mam jest sporo np. haseł 5 znakowych
a tak swoją drogą, czy pwndlist pobierając opłaty (jak rozumiem od firm) nie popełnia przestępstwa? przynajmniej patrząc czysto hipotetycznie z punktu widzenia prawa polskiego
Pisalem o tym na email niebezpiecznika w marcu..:P Poniewaz otrzymalem email z prosba o zmiane hasla:)
Potwierdzam, maila z informacją o wycieku danych użytkowników i o tym że hasło zostało zresetowane przez Gamigo dostałem już jakiś czas temu.
Jak to dobrze że jest coś takiego jak aliasy antyspamowe ;)