19:25
5/2/2018

Wczoraj jeden z naszych Czytelników, poinformował nas, że przypadkiem w internecie natknął się na plik zawierający 143 725 rekordów (e-mail, hasło). Przyjrzeliśmy się informacjom znajdującym się w tym pliku i wiele wskazuje na to, że są to dane użytkowników serwisu autocentrum.pl

Oto lista 100 najpopularniejszych haseł, wraz z liczbą oznaczającą to, ile kont posiadało takie hasło. Popatrzcie co jest na pozycji piątej:

$ cut -f 2 -d ":" dump.txt|sort|uniq -c|sort -r|head -n 100
476 123456
247 qwerty
172 12345
169 zaq12wsx
110 autocentrum
97 polska
97 123qwe
94 misiek
92 monika
86 marcin
74 michal
69 bartek
69 123456789
66 lukasz
64 kacper
62 kasia
62 agnieszka
61 dawid
59 samsung
59 madzia
59 111111
57 1qaz2wsx
56 matrix
56 maciek
55 myszka
53 qazwsx
53 mercedes
53 marcin1
52 qwerty1
52 niunia
52 damian
50 piotrek
48 tomek1
48 passat
47 robert
47 monika1
47 kasia1
47 Kjsa71K92mss
47 1qazxsw2
46 qwe123
46 karolina
44 polska1
44 kochanie
44 666666
43 siemens
43 mateusz
43 alamakota
41 wojtek
41 master
40 haslo1
40 haslo
39 nokia
39 mariusz
39 marek
39 maniek
39 andrzej
38 michal1
37 zxcvbnm
37 weronika
37 pawel
37 patryk
37 1q2w3e
37 1234
37 000000
36 tomek
36 misiek1
36 magda
36 dominika
36 daniel
35 wiktoria
34 polonez
34 marek1
34 kurwamac
34 dupa123
34 11111
33 maciek1
33 honda
32 polonez1
32 piotrek1
32 justyna
32 aaaaaa
32 123123
31 zxcvbnm12
31 nissan
31 marta1
31 marta
31 magda1
30 warszawa
30 vectra
30 qwerty123
30 pawel1
30 komputer
30 darek
30 azsxdc1234
30 Dell1599!
29 sylwia
29 misiaczek
29 krzysiek
29 dawid1

Jak widać, najpopularniejsze hasła to sekwencje na klawiaturze, nazwa własna serwisu, imiona (niekiedy z cyfrą na końcu) oraz — co zrozumiałe w związku ze specyfiką serwisu — marki samochodów. Przoduje Mercedes.

Jak zwykle wysoko jest “polska” i “matrix” — popularność tych dwóch haseł wśród Polaków zawsze nas dziwi. Ale w pliku jest też kilka ciekawostek, np. hasło “Kjsa71K92mss” czy “Dell1599!”. Oba prawdopodobnie odpowiadają za tzw. multikonta. W pliku jest też nieśmiertelny “samsung”, czyli zapewne hasło inspirowane napisem na monitorze albo telefonie, jaki przed oczami ma internauta zakładający konto w serwisie.

Przy okazji możemy też dowiedzieć się, gdzie Polacy zakładają swoje skrzynki pocztowe:


34922 wp.pl
18451 o2.pl
18149 gmail.com
12511 interia.pl
9543 op.pl
8870 poczta.onet.pl
4695 tlen.pl
3959 poczta.fm
3410 vp.pl
2051 gazeta.pl
1657 onet.eu
1362 go2.pl
1270 onet.pl
1176 neostrada.pl
1090 interia.eu
666 autograf.pl
647 hotmail.com
625 yahoo.com
550 buziaczek.pl
344 plusnet.pl
279 tenbit.pl
230 orange.pl
213 amorki.pl
209 hoga.pl
205 yahoo.pl
201 yahoo.co.uk
187 poczta.wp.pl
186 pf.pl
174 polbox.com
170 wp.eu
164 post.pl
160 chello.pl
157 poczta.onet.eu
135 kki.net.pl
126 idea.net.pl
125 googlemail.com
124 xl.wp.pl

Czy to na pewno wyciek tylko z Autocentrum?

Pewności brak — lista przecież może być skompilowana z wielu różnych wycieków. Udało nam się jednak potwierdzić wśród kilku znajomych, że ich e-maile i hasła, które znajdują się w tym pliku są rzeczywiście takie same, jak te, które faktycznie ustawili w serwisie Autocentrum. Dwóch znajomych w wycieku jednak nie było — ale obaj twierdzili, że mieli ustawione długie, losowe hasła (generowane managerem haseł).

Patrząc na hasła w ujawnionej liście, rzeczywiście są one dość “słabe”, co sugeruje, że lista składa się jedynie z tych kont, do których komuś udało się złamać hasła. A jak wiadomo, najpierw łamie się hasła słabsze.

Dodatkową przesłanką za tym, że wyciek ma coś wspólnego z serwisem Autocentrum jest liczba kont, które zostały zarejestrowane na e-maila w domenie “autocentrum.pl” — 23. Oto niektóre z nich:

konkurs@autocentrum.pl
bok@autocentrum.pl
reklama@autocentrum.pl
anony@autocentrum.pl
redakcja@autocentrum.pl
rezygnacja@autocentrum.pl
zachar@autocentrum.pl

Te ogólne e-maile sugerują, że kradzież danych nastąpiła nie tylko z sekcji dla użytkowników. I na koniec jeszcze jedna ciekawa statystyka. Liczba wszystkich haseł, które zawierały słowo “autocentrum” (w różnych kombinacjach, z prefiksami i sufiksami):

$ cut -f 2 -d ":" dump.txt | grep -i autocentrum | wc -l
292

Co na to Autocentrum?

Dziś rano zwróciliśmy się z pytaniami w tej sprawie do Autocentrum.pl. Kontakt był szybki, ale prezes firmy, Zachar Zawadzki, odpowiedział nam początkowo, że to nie mogą być adresy z bazy serwisu.

Nazwa autocentrum jest bardzo popularna, więc sam string autocentrum nie oznacza, że to ma jakikolwiek związek z nami. Widać oczywiście kilka nawiązań do portalu, ale to są dane dostępowe do kont mailowych, które zostały stworzone do rejestracji w portalu. Email nie jest u nas loginem, więc to nie jest zestaw danych ani pozwalający się zalogować do nas, ani też pochodzący od nas.
Jedyne, co może martwić, to maile z naszej domeny, a więc problem byłby wewnętrzny, bo portal nie udostępnia publicznie kont pocztowych. Z tym, że wszystkie bez wyjątku konta z listy są od lat nieaktywne i nie sposób sprawdzić czy hasła kiedykolwiek pasowały (tu też mam wątpliwości, bo są za proste). Anyway: wcześniejszy serwer pocztowy (pochodzący od zewnętrznego dostawcy) już nie jest używany.

Tę odpowiedź dostaliśmy w południe. Nieco później — po godzinie 13:00 – Zachar Zawadzki napisał:

“być może maile są rzeczywiście od nas”

O godznie 16:57 dotarła do nas kolejna wiadomość:

Po przeanalizowaniu przesłanych informacji doszliśmy do wniosku, że baza adresów częściowo pokrywa się z naszą bazą, ale posiada spore braki. Oznacza to, że dane mogą pochodzić z pierwszej połowy 2016 roku. Warto zaznaczyć, że informacje zawarte w przesłanym zrzucie nie są wystarczające do zalogowania się do serwisu autocentrum.pl.
Pomimo to na wszystkich kontach pokrywających się z naszą bazą danych zostanie wymuszona zmiana hasła. Planujemy także zmienić politykę haseł oraz sposobu przechowywania adresów email. Wystosowana zostanie również oficjalna informacja do użytkowników serwisu.

Braki w bazie już wytłumaczyliśmy — dump zawiera najprawdopodobniej tylko złamane hasła. Użytkownicy z silniejszymi mogą spać spokojnie.

Prawdą jest także to, że e-mail nie jest loginem do serwisu autocentrum.pl. Ale uwaga! Tego typu wyciek nie jest w pierwszej kolejności zagrożeniem dla kont użytkowników w serwisie, z którego wykradziono dane, czyli autocentrum.pl! Powiedzmy sobie szczerze, kont na tym serwisie nie da się “zmonetyzować”. Nie ma tam ani podpiętych kart płatniczych, ani innych sposobów na “zarabianie”.

Mam konto na Autocentrum.pl — co robić, jak żyć?

Prawdziwym problemem dla osób, które znalazły się w tej bazie jest to, że ktoś sprawdzi, czy hasło, jakie ustawili do autocentrum.pl (które teraz jest publicznie dostępne) pasuje do ich innych serwisów, np. do Allegro, PayPala, Facebooka, banku czy po prostu samego e-maila.

I jeśli hasło będzie pasowało, to będzie to spory problem dla takiej osoby. Jej dane mogą zostać wykradzione i — jak pokazuje ostatnio opisywany przez nas przypadek osoby, której ktoś włamał się na skrzynkę e-mail — to może się nawet skończyć kradzieżą pieniędzy z banku (por. Przekierowali mu telefon i okradli konto w banku)

Dlatego, jeśli miałeś konto w Autocentrum.pl i gdziekolwiek używałeś takiego samego albo podobnego hasła, to jak najszybciej zmnień je na inne.

Jak wykradzino bazę?

Wiemy, że ekipa Autocentrum.pl rozpoczęła “analizy posiadanych logów oraz wykresów, aby określić potencjalny wektor ataku“. Serwis ma też zostać poddany analizie kodu pod kątem potencjalnych luk bezpieczeństwa. Póki co, nie wiadomo, jak dane zostały wykradzione.

My, jak zwykle, przed publikacją przejrzeliśmy naszą obszerną redakcyjną skrzynkę pod kątem innych doniesień dotyczących serwisu Autocentrum.pl. I naszym oczom ukazał się taki e-mail od jednego z Czytelników, jeszcze z marca 2016 roku:

Być może serwer bazodanowy był wystawiony na świat i ktoś skorzystał z tych informacji?


Aktualizacja 6.02.2018, 10:09
Jeden z Czytelników informuje, że Autocentrum.pl już wymusza reset haseł podczas logowania. Ale, niestety, wygląda na to, że serwis wciąż nie powiadomił swoich klientów o tym co się stało i zamiast prosić ich O ZMIANĘ HASEŁ W INNYCH SERWISACH, bo to jest teraz najważniejsze, to wyświetla im komunikat proszący o zmianę hasła w autocentrum.pl bo “dawno się nie logowali”. Nawet tym, co logowali się kilka dni temu:

po zalogowaniu na autocentrum taki komunikat:
Ponieważ dawno nie logowałeś się na swoje konto, ze względów bezpieczeństwa musisz zaktualizować swoje hasło.
Na podany podczas rejestracji adres e-mail wysłaliśmy link do zmiany hasła.

a logowałem się w piątek…

Nie tak to powinno wyglądać…


Aktualizacja 6.02.2018, 13:47
Kolejni czytelnicy informują, że teraz komunikat brzmi “ze względów bezpieczeństwa”. Ale wciąż internauci proszeni są o zmianę swojego hasła tylko do autocentrum.pl


Aktualizacja 7.02.2018, 09:18
Wczoraj wieczorem Autocentrum rozesłało e-maila do części ze swoich użytkowników o następującej treści:

Drodzy Użytkownicy,

Z przykrością informujemy, że nastąpił wyciek danych z naszej bazy. Mimo szyfrowania haseł, niektóre z nich mogły zostać złamane. Prosimy dlatego o ustawienie nowego hasła przy logowaniu do serwisu.

Jeśli tego hasła używaliście gdziekolwiek indziej (np. serwisy społecznościowe, konta e-mail), również tam zmieńcie je jak najszybciej.

W tym momencie wprowadzamy dodatkowe zabezpieczenia na serwerach, jednocześnie sprawdzając przyczyny wycieku danych.

Przepraszamy za niedogodności. Zrobimy wszystko, aby podobne zdarzenia nie miały miejsca.

Pozdrawiamy,
Redakcja AutoCentrum.pl

Ten komunikat jest już bardzo dobry. Doszły nas jednak słuchy, że nie wszyscy e-maila otrzymali. Jeśli Autocentrum wysłało taką wiadomość tylko do użytkowników, których e-maile były na liście z wyciekiem, to nie jest to poprawne działanie. Taka wiadomość powinna zostać wysłana do wszystkich użytkowników — a nie tylko tych których hasła komuś udało się kiedyś złamać. Lepiej taką wiadomość wysłać do wszystkich tych, których dane zostały wykradzione, nawet jeśli nie ma ich na liście “złamanych” kont. Lepszy słownik, więcej czasu i dane innych użytkowników zostaną złamane…

Tworzenie bezpiecznego serwisu internetowego i odpowiadanie na ataki to nie jest łatwa sprawa. Jeśli chcesz dowiedzieć się jakich błędów unikać i jak bezpiecznie programować aplikacje webowe, zapraszamy na nasze bestsellerowe szkolenie “Atakowanie i Ochrona Webaplikacji“. Jego najbliższy termin odbędzie się w Krakowie, 8-9 marca i zostało na niego jeszcze tylko 5 wolnych miejsc. Jeśli chcesz zobaczyć opinie o tym szkoleniu pochodzące od uczestników ostatnich edycji, to znajdziesz je tutaj.

Psst. Planujemy też terminy w innych miastach. Ich aktualną listę znajdziesz na naszej podstronie z wszystkimi szkoleniami.

Przeczytaj także:

48 komentarzy

Dodaj komentarz
  1. Na mało istotnych forach nikt nie przejmuje się silnym hasłem. I słusznie

    • Słusznie?
      1. A co jeśli konto na takim “mało istotnym forum” email i hasło ma identyczne jak do “bardziej istotnego” serwisu?
      2. Nie ma czegoś takiego jak mało istotne forum. Bo nagle ludzie mówią że mail, lub facebook są też mało istotne no bo “przecież ja tam nic nie mam”: https://niebezpiecznik.pl/post/jak-strata-telefonu-na-wyjezdzie-moze-wygenerowac-spore-dlugi/

    • Raczej chodzi o to, że stopień skomplikowania haseł dobiera się do ważności miejsca, w którym jest ono stosowane. Korzystanie z generatora haseł przy zakładaniu konta na jakimś forum to przerost formy nad treścią.

    • Przerost formy nad treścią to jest wymyślanie i pamiętanie pierdyliona słabych haseł zamiast zapamiętanie jednego, powtarzam: jednego, ale skomplilkowanego do managera haseł.

      Co gorsza ludzie nie rozumieją po co hasła do serwisów mają być unikalne,
      tylko starają się ten wymóg “spełnić” jak najmniejszym kosztem – np. to samo hasło w paru odsłonach, np: “MargaretThatcheris110%SEXY@facebook”, “MargaretThatcheris110%SEXY@gmail”, …

      Przykład idzie z “góry”, no bo przecież jutuber to ekspert z zakresu cyberbezpieczeństwa: https://youtu.be/e4WcjzBjj8E?t=5m17s

      P.S. Niebezpiecznik należałoby kolegę Masnego, czy jak on tam się nazywa, zgnoić za puszczanie w eter takich głupot.
      To jest smutne, że później jakieśtam kampanie banków dotyczące bezpieczeństwa są realizowane we współpracy nie z ekspertami ale z ludźmi, którzy mają rozpoznawalną buźkę.
      Potem automatycznie wszystkie “rady” pochodzące od tych “buziek” są uznawane za dobrze przemyślane.

      P.S.2 Snowdenowe “MargaretThatcheris110%SEXY” jest słabym hasłem.

    • Teraz patrzę, że ten filmik Masnego to już był w ramach kampanii z BIK i Policją. Rewelacja, rewelacja …

    • Popieram. Jeśli chcę tylko przeglądać forum, a wymaga logowania to wtedy:
      Temp mail. jakiś login oraz jakieś hasło zwykle równa się jakiś login. Zapisane w FF lub w innej przeglądarce. Hasła i loginy rozbieżne, ze standardowym “oficjalnym” schematem.
      P.

    • @vucalur Masz rację, ta rada jest bardzo słaba. Generalnie, jeśli ktoś chce zapamiętywać hasła (błąd) to lepszym podejściem do ich generowania jest coś takiego:

      “płatek odnowa komin zawracanie”

      Hasła powinni być przede wszystkim

      1. unikatowe (bo najpopularniejszy problem to użycie hasła z jakiegoś wycieku do dostępu do drugiego konta ofiary na innym serwisie)

      2. długie (żeby się długo “łamały”, jak pocieknie baza)

      a najlepiej nie do zapamiętania. Bo nie powinniśmy ich pamiętać, a trzymać w managerze haseł. (Ok, 2 wyjątki – hasło do komputera i hasło do managera haseł ;)

    • @Piotr podrążycie temat z Masnym?
      Przydało by się z jego strony przynajmniej jakieś sprostowanie.
      Ja tam nie chciałem, bo co innego jakiś vucalur a co innego Ojciec Dyrektor Niebezpiecznika.

      Czytając komentarze pod filmikiem, sprawdzają się wszystkie memy z Georgem Carlinem.
      No a przygód Janusza Hakera lub 10 Porad społeczeństwo nie czyta, bo za długie, bo za trudne ;(

      Co do schematu haseł, to jakby nie było “płatek odnowa komin zawracanie”, nawet poprzekręcane jakimś l33tem, jest dalej złożone z poprawnych słów.
      Zacząłem robić kiedyś research na ten temat, ale stwierdziłem że zapamiętanie randomowego ciągu ok.20 znaków zajmie mi mniej czasu :)

      A co jak się zarażę amnezją w autobusie i moje 20-znaków szlag trafił?
      Można mieć schowane w bezpiecznej lokalizacji wydrukowane hasło ze zmieniomymi paroma znakami oraz backup haseł pod pieczą zaufanej osoby.

  2. 47 Kjsa71K92mss to jest bardzo dziwne, jakby nie patrzeć trudne hasło a jednak też się pojawiło….

    • Możliwe że ktoś do marketingu założył 47 kont z tym samym hasłem

    • Może to było pseudorandomowe hasło przesyłane nowym userom?

  3. Mnie zastanawia gdzie ludzie trafiają na takie wycieki? I jak?

    • Googlając swój adres e-mail.

    • lub używając haveibeenpwned

    • Mam konto na AC, w miarę słabe hasło ale guglanie mojego maila daje zero trafień, czyżby mnie nie było na liście? Gdzie ten plik leży?

    • a jakiego masz mejla?

  4. Jeśli dump zawiera tylko złamane hasła, to jak doszli do tego “Kjsa71K92mss”?

    • To hasło mogło być użyte w innym serwisie, z którego był wyciek i w ten sposób trafić do jakiegoś słownika.

    • może ktoś ustawił hasło takie samo jak login

    • Bo znajdowało się w słowniku z innych wycieków?

    • Może hash tego hasła pojawił się już gdzieś w innej bazie złamanych haseł? ;)

  5. Większość to pewnie konta tymczasowe więc pewnie nikt nie dba o hasła. Bardziej ciekawi mnie hasło typu Dell1599! Co jest raczej nietypowe i podejrzewam multikonta dla agencji reklamowych i marketingu szeptanego

  6. Szkoda Zachara. Ciekawe czy zrobi o tym filmik.

  7. po zalogowaniu na autocentrum taki komunikat:
    Ponieważ dawno nie logowałeś się na swoje konto, ze względów bezpieczeństwa musisz zaktualizować swoje hasło.
    Na podany podczas rejestracji adres e-mail wysłaliśmy link do zmiany hasła.

    a logowałem się w piątek…

    • i nowe hasło mailem przysłali…

  8. Druga lista (ta z e-mailami) jest źle posortowana.

  9. To polbox.com jeszcze żyje???

    • Jest down od dobrych paaru lat…

  10. Coś sortowanie skrzynek się nie udało ;-). Posortowane znakowo, zamiast liczbowo.

  11. To są hasła tak słabe że nie można ich ustawić do skrzynki pocztowej czy konta bankowego. Chyba że ktoś ustawiał ze 20 lat temu i serwis nie wymusza zmiany, ale to już jest problem tego serwisu.

  12. tenbit.pl kki.net.pl polbox.pl jakieś parchy z głębokiego zapomnianego darknetu :D

  13. “vucalur

    Przerost formy nad treścią to jest wymyślanie i pamiętanie pierdyliona słabych haseł zamiast zapamiętanie jednego, powtarzam: jednego, ale skomplilkowanego do managera haseł.”

    I to jest niezła myśl.

  14. Zalogowałem się dzisiaj (06.02), aby skasować konto. Zmiana hasła “Ze względów bezpieczeństwa”, anie z powodu zbyt długiego czasu bez logowania.

  15. Może wyjdę na głąba ale: kto w postaci otwartego tekstu przechowuje hasła w bazie danych i w jakim celu to robi?? Przecież lepiej i bezpieczniej jest trzymać wartość SHA1 i porównywać ją z wartością otrzymaną z hasła przesłanego POSTEM w formularzu podczas logowania… Kto ten serwis projektował…

    • Zgodnie z hipotezą z artykułu – hasła nie były przechowywane jako plain text, a lista zawiera te, które zostały złamane przy pomocy tęczowych tablic, porównywania haszy z innymi bazami złamanych haseł itp.

  16. @vucalur

    Używam znacznie prostszej i efektywniejszej metody. Wystarczy wziąć fragment ulubionej piosenki lub wiersza i wpisać kolejno pierwsze litery każdego wyrazu np.

    Banb-ojp.Kpg:t,kbspgzsl,ct,ksomnIwwkim?

    W tym przykładzie posłużyłem się najsłynniejszym fragmentem z Hamleta. Aby jeszcze bardziej utrudnić złamanie hasła, można wstawić znaki specjalne, dodać liczby i pozmieniać wielkość liter.

    B@nb-*1p.Kpg:t,kb$pgz$l,2t,k$0mn1wwk7m?

    Skomplikowane i poste do zapamiętania. Niech NSA spróbuje złamać takie hasło!

  17. na wszystkich forach mam te samo haslo polska123 konta zakladane na 10minute mail lub podobne
    jak mi ukradna to zaloze nowe z tym samym haslem bo zadna strata. maila mam 10 lat na wp nawet nie pamietam hasla jest w programie pocztowym.
    facebooka nie mam banku internetowego nie mam, net czytam na proxy lub wget. zero problemow

  18. Dostałem maila od autocentrum:

    “Drodzy Użytkownicy,

    Z przykrością informujemy, że nastąpił wyciek danych z naszej bazy. Mimo szyfrowania haseł, niektóre z nich mogły zostać złamane. Prosimy dlatego o ustawienie nowego hasła przy logowaniu do serwisu.

    Jeśli tego hasła używaliście gdziekolwiek indziej (np. serwisy społecznościowe, konta e-mail), również tam zmieńcie je jak najszybciej.

    W tym momencie wprowadzamy dodatkowe zabezpieczenia na serwerach, jednocześnie sprawdzając przyczyny wycieku danych.

    Przepraszamy za niedogodności. Zrobimy wszystko, aby podobne zdarzenia nie miały miejsca.

    Pozdrawiamy,
    Redakcja AutoCentrum.pl”

    • Potwierdzam, też dostałem.

    • Dokładnie, ja też dostałem takiego e-maila. Już informują o wycieku.

  19. Mam konto na autocentrum którego nie używałem dawno. Dziś się zalogowałem i żadnej wymuszonej zmiany hasła nie mam.

  20. Zalogowałem się na AC starym hasłem. Żadnej informacji o zmianie hasła, ani maila. Hmm?

  21. Dobry wieczor,

    jak mozna sprawdzic czy moje dane wyciekly? Z tego co pamietam na AC do logowania byl login, a nie email.

    Czy moge poprosic serwis o informacje czy moj email byl w bazie? Czy mozna domagac sie rekompensaty jesli moje dane wyciekly?

    Pozdrawiam serdecznie

    • podaj mejla to Ci tu sprawdzimy (serio) :D

  22. “AutoCentrum – Niezależny portal motoryzacyjny”

    jaka niezależność, taki profesjonalizm

  23. A mnie zawsze zastanawia przy takich wyciekach ilość osób leworęcznych w narodzie. Tutaj pozycje 1-4 i 7 z najczęstszych haseł.

  24. Wszystko pięknie ładnie – zareagowali itp.
    Tylko teraz nie da się zresetować hasła, od kilku dni próbuję korzystając z formularza odzyskiwania hasła po podaniu maila – i nic nie przychodzi na maila :-)

    Chyba przesadzili z zabezpieczeniami :-)

  25. Czesc. Możliwe ze to przypadek, ale wczoraj późnym wieczorem (23:50), miałem dwie nieudane próby zalogowania się na FB (ten sam adres mailowy/rejestracyjny co na autocentrum, na którym miałem/mam konto).

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.