В Telegram появился бот, который агрегирует все известные утечки баз данных. Можно узнать «слитые» пароли от почты Материал редакции

Достаточно просто ввести email-адрес, а бот пришлёт известные от неё пароли.

В закладки
Аудио
Красным закрашены пароли от почты. Серым – email-адреса

В мессенджере Telegram появился бот под названием MailSearchBot, с помощью которого можно проверить, был ли ваш email-адрес в одной из утекших баз данных.

Всё, что нужно сделать — отправить боту в личных сообщениях адрес почты, а он в ответ пришлёт список «слитых» паролей от неё, если они находились в одной из баз. 8 из 10 сотрудников издательского дома «Комитет» нашли в базах бота свои старые пароли.

В разговоре с TJ создатель бота Батыржан Тютеев рассказал, что на данный момент в базе бота находится порядка 9 миллиардов записей в связке логин и пароль, а ещё более 3 миллиардов ждут своей очереди для загрузки. По его словам, бот «собран на коленке» и запущен на домашнем компьютере.

Я рекомендую сменить пароль в случае, если будет найден актуальный. Очень надеюсь, что никто не пострадает из-за работы моего бота.

Батыржан Тютеев
создатель MailSearchBot

Тютеев является основателем и техническим директором компании NitroTeam, которая занимается проведением тестов на проникновение в компьютерные системы, моделируя атаки злоумышленника.

По его словам, часть данных для бота ему предоставили такие же специалисты в области информационной безопасности (ИБ), как и он, но с условием, что он не будет монетизировать эти данные. Тютеев также уточнил, что он с коллегами старается аккумулировать большое количество данных в их собственных базах: «Мы собираем очень большое количество данных, но иногда мы не знаем, что со всем этим делать».

Идея реализовать подобный инструмент была уже давно, но мы всё никак не могли собраться и просто начать. Но чуть больше месяца назад мой коллега Александр Ким первый скинул в чат ссылку на одну из баз. И я начал её «парсить» (анализировать — прим. TJ) и загружать в базу. Потом другой коллега скинул следующую базу, и так один за другим мы начали собирать по кусочкам нашу собственную базу данных из утекших паролей.

Батыржан Тютеев
создатель MailSearchBot

Тютеев отметил, что в час ботом пользуются около 10 тысяч уникальных пользователей. Но он добавил, что о боте, возможно, никто бы никогда и не узнал, если бы его друг и специалист в области ИБ не опубликовал бота в своём Tелеграм-канале «Кавычка». «Именно после его публикации остальные каналы подхватили информацию об этом боте и начали её „форсить“», — заявил Тютеев.

Помимо MailSearchBot, Тютеев также разработал другого бота, который показывает по номеру телефона страницу абонента в Фейсбуке. С его помощью можно проверить свои настройки приватности или узнать владельца телефонного номера.

Разработчик пояснил, что создал эти сервисы, чтобы привлечь внимание к проблеме персональных данных. Тютеев живёт в Казахстане, и, по его словам, несмотря на то, что в стране есть закон о персональных данных, он не исполняется должным образом.

Дело в том, что у нас в Казахстане очень много интернет-сервисов, через которые можно сделать практически всё, что угодно. И да, это классно, это удобно. Но компании, которым вы доверяете свои персональные данные и которые обязаны их защищать на практике, относятся к ним халатно.

Проблема защиты наших персональных данных отходит на второй план в угоду удобству. Сейчас всем гораздо важнее, насколько быстро ты запустишь тот или иной сервис, и совсем неважно, насколько он будет защищён.

Батыржан Тютеев
создатель MailSearchBot
{ "author_name": "Roman Slobodyanyuk", "author_type": "self", "tags": ["\u0443\u0442\u0435\u0447\u043a\u0438","\u0442\u0435\u0445\u043d\u043e\u043b\u043e\u0433\u0438\u0438","\u043d\u043e\u0432\u043e\u0441\u0442\u0438","\u0438\u043d\u0442\u0435\u0440\u043d\u0435\u0442","\u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u044c","telegram"], "comments": 139, "likes": 117, "favorites": 93, "is_advertisement": false, "subsite_label": "tech", "id": 102298, "is_wide": false, "is_ugc": true, "date": "Mon, 17 Jun 2019 19:22:11 +0300", "is_special": false }
0
139 комментариев
Популярные
По порядку
Написать комментарий...
10

Не ало

Ответить

Зеленый спрей

Другой
102

Ну ты ещё раз 300 нажми, должно заработать.

Ответить

Подземный кот

Зеленый
72
Ответить
0

Перезагружать пробовал если что

Ответить
67

Комментарий удален по просьбе пользователя

Ответить
3

Думаю, стоит биос перепрошить

Ответить

Пищевой корабль

Кирилл
3

Может стоит сначала перезагрузить модем? Тут же явно проблема с интернетом

Ответить
0

Да ну, явно провайдер виноват как всегда. Нужно звонить и жаловаться.

Ответить

Комментарий удален

0

Мне ответил через 40 минут, отправил адрес на проверку, в итоге молчит уже 2 часа...

Ответить
31

2сh в подписках - беда в семье

Ответить
6

Ну это перебор уже. Считаю, что подобные боты должны все же блокироваться самим сервисом. Зачем выдавать пароли в ответ на адрес почты? Достаточно простого ответа есть он в базе или нет.

Ответить
34

Комментарий удален по просьбе пользователя

Ответить

Средневековый череп

Kat
10

Ага, и сможешь проверять чужие почты и примерно знать пароли человека. И пройтись по популярным сервисам в попытке залогиниться в чужие аккаунты.

Ответить
23

Комментарий удален по просьбе пользователя

Ответить

Средневековый череп

Kat
5

Обывателю это объясни, ага.

Ответить
4

Комментарий удален по просьбе пользователя

Ответить
26

Комментарий удален по просьбе пользователя

Ответить

Рабочий месяц

Kat
3

говоришь людям чтобы не говорили "ложите", а они в ответ - ну зачем ты всем рассказываешь что правильно "кладите"

Ответить
1

Заебись у тебя доводы конечно.

Это как обвинять избитого в том, что тот не защищался в достаточной мере против нападавших.
А то, что как бы вина полностью на нападавших - на это ты глаза закрываешь.
Ахуеть у тебя логика, парнишка.

Ответить
3

Комментарий удален по просьбе пользователя

Ответить
0

Что бы избиения не происходило в дальнейшем, необходимо отгородить нападавших и принять меры безопасности для всех.
А не насмехаться над инвалидами, смеясь над их неспособностью защититься.
Твои доводы - лютый долбоебизм, ничего общего не имеющий с реальностью.
То, на сколько ты прошаренный, не делает их тебя вершителем судеб для остальных.

Ответить
9

Комментарий удален по просьбе пользователя

Ответить

Базовый рубин

Владимир
2

Сейчас бы сравнивать физическое и электронное. И оскорбляться на буковки не забудьте.

Ответить
0

Там лежат уже слитые пароли. То есть человек уже что то сделал не так.

Ответить
0

Что? Пароли бывает воруют из БД

Ответить
0

Бывает. Но не только.

Ответить
0

Have I Been Pwned распространяет хэши паролей, и если мне так захочется, то я могу просто на компе без интернета сгенерировать хэш для своих паролей и пройтись по файлу с хэшами грепом. И пароль проверил, и не слил другим.

Ответить

Звездный огонь

Dr.
3

А если в базе старый пароль? Каждый раз, когда видишь в какой-нибудь базе свой e-mail, бежать менять пароль?

Ответить
10

А что если показывать не весь пароль? 🤔

Ответить
4

Передал Тютееву идею. Сказал, что сейчас постарается переделать

Ответить
7

сделал, теперь отдает с * в начале и в конце

Ответить
1

Я вижу только 2 * в конце

Ответить
6

Фигасе интерактив

Ответить
0

Пару рандомных символов для 8-символьного было бы достаточно. Ну и дальше от сложности давать больше.

Чувак который это написал - не умеет в безопасность.

Ответить
2

вот. бот Тютеева выдал мне старые пароли, которые я использую на каких-то одноразовых сайтах, поэтому и не парюсь особо после проверки

Ответить
4

та же фигня, вот только у меня разных ящиков для фигни полно, например, @gmail @yandex @mail все очень старые, но дырявые только @mail оказались, вывод напрашивается сам.
p.s. гайз, в самом деле, пересаживайтесь на манагеры паролей уже.

Ответить
0

кстати да, по мейл ру прям чот неприятная стата у меня по слитию паролей :(

Ответить
8

Бот сломался, кстати. Не отвечает на /start

Ответить
0

Написал разрабу

Ответить

Средневековый череп

Roman
20

Напиши ему лучше, что выдавать пароли небезопасно. У многих людей пароли одинаковые, в боте можно будет узнать возможный чужой пароль по email и пройтись по популярным сервисам в попытке залогиниться в его аккаунт.
Именно поэтому haveibeenpwnd не выдаёт их. Очень недальновидно.

Ответить
0

Там ведь пароль не полностью выдает. Или сперва он выдавал полностью?

Ответить

Средневековый череп

Elian
0

Полностью

Ответить
6

Cейчас просто он очень загружен, поэтому ответа приходится ждать долго. Не забываем, что бот работает на обычном домашнем компьютере

Ответить
0

Вдс - это такая матрица в 2019.

Ответить

Недовольный кофе

Victor
3

Ты так говоришь, будто VDS это волшебная пилюля с неограниченной мощностью. Обычная вдска в разы слабей любого современного домашнего ПК.

Ответить
1

Мы не знаем, какой у него домашний комп, плюс VDS бывают разные. Ну мне так кажется. И еще мне кажется, что "на домашнем компьютере" хостят что-то только странные люди.

Ответить

Недовольный кофе

Victor
3

Камон, 90% ботов в телеге это однодневки написанные на коленке в качестве proof of concept. Тут такая же история. Побалуется да вырубит.

Ну вот у меня дома 8 ядер, 32 гигабайта ОЗУ. На VDS 2 ядра, 8 гигов, да ещё и ядра сильно так себе, плачу при этом почти в два раза больше, чем за интернет.

Ответить
0

Ну ладно, уговорил. :)

Ответить

Рабочий месяц

Интригатор.
1

Его вот этот сломал

Ответить
7

Бот сдох

Ответить
6

Пассы зацензурили теперь. Этот казах сломался – несите нового.

Ответить
2

Да, он скрыл некоторые символы в пароле по нашей просьбе

Ответить
1

А кто просил?)

Ответить
0

Кстати долго базы собирали?

Ответить
0

Месяц где-то

Ответить
0

Хорошая работа. Источник – один известный форум?

Ответить
6

Жалко, что бот сдох. Я пароль забыл от почты своей, думал покажет...

Ответить

Сухой Слава

4

Опять кому-то потребовалась база e-mail адресов для спама?

Ответить
6

Да тут теперь можно одноклассниц взламывать через бота в телеграме, масштаб спама на этом фоне как крошечки хлебы на асфальте

Ответить
1

потом окажется что казах просто сделал бота ради проверки на валидность почт
зачем юзать бота если есть https://haveibeenpwned.com/? и открытая база в торе на 2 миллиарда паролей?

Ответить
2

Ну мне написали что вскрыт на 8 сайтах, дальше что делать? Почту менять?

Ответить
0

Комментарий удален по просьбе пользователя

Ответить
0

Комментарий удален по просьбе пользователя

Ответить
2

Да то-то и оно что почта у меня уже 10 лет, там с некоторых пор стоит двухфакторка и пароль я несколько раз менял. То что куда-то утекли несколько паролей проблемы не создает. Вот если утек актуальный пароль, тогда да.

Ответить
0

а как там узнать на каких сайтах? Чот не вижу инфы

Ответить
2

ну как и ожидалось, на меил.сру пароль слит, а на гмейле все чисто

Ответить
1

на гмейле пара адресов тоже ( но пароли какие-то древние совсем.

Ответить

Французский паркур

2

Да, всё показывает, в отличие от haveibeenpwned, который только факт взлома сообщает. Круто.

Ответить

Средневековый череп

1

haveibeenpwned.com только через бота в телеге.

Ответить
3

Комментарий удален по просьбе пользователя

Ответить
1

haveibeenpwned.com не показывает пароли же

Ответить

Средневековый череп

Roman
2

Ну, он сервисы слитые показывает. А свои пароли там и сам знаешь.

Ответить
5

Комментарий удален по просьбе пользователя

Ответить

Средневековый череп

Никита
1

Мне кажется это как минимум небезопасным. У многих людей одни и те же пароли и разглашать их через бота в телеге — большая ошибка.

Ответить
0

Комментарий удален по просьбе пользователя

Ответить
0

Они и так открыты на https://haveibeenpwned.com/

Ответить

Восточный велосипед

Roman
1

не показывает пароли же

Что правильно. А тут можно чекать чужие email получается?

Ответить

Средневековый череп

Восточный
0

Именно.

Ответить
0

Если в ботах в телеге где-то видно, какой никнейм или вообще какие-либо данные у того, кто отправил запрос в бота, то это просто идеальный способ деанонимизации телеграм юзверей

Ответить

Успешный калькулятор

Михаил
3

Телеграм никогда и не был анонимным мессенджером

Ответить
1

Не робит, в тч гетфб. Но, блэт, это какие возможности казах открыл для скамеров и всяких псов сутулых из мэша и базы?(

Ответить
1

Показал пароли, но не от почты, а от других учеток, которые привязаны к почте.

Ответить
1

Комментарий удален по просьбе пользователя

Ответить

Французский паркур

Илюхер
0

Надо иконописный образ сделать Павлу.

Ответить
0

А если почты такой нет, бот отвечает что-нибудь? А то у меня уже час молчит.

Ответить
2

У меня тоже молчит

Ответить
2

Бот так долго отвечает, потому что очередь большая

Ответить
2

...Раньше в очередях за хлебом стояли.

Ответить
0

раньше и топоры были каменные

Ответить
0

Ты далеко перемотал.
Не настолько раньше

Ответить
1

Я за вами буду, молодой человек.

Ответить
1

можешь какое нибудь сообщение с рандом текстом ему отослать, если ответит, значит имейлов введённые до этого в базе нет

Ответить
0

да, он просто заигнорил первое сообщение, сейчас сразу ответил

Ответить

Звездный огонь

0

Что за бред? Я никогда такие тупые пароли не ставил. Даже близко не угадал.

Ответить
2

Комментарий удален по просьбе пользователя

Ответить

Недовольный кофе

Звездный
1

А у меня действительно выдал мои школьные пароли.

Ответить
0

Работает. Показал пароль к одной из моих старых почт, которой уже много лет не пользуюсь. При чём её походу давно взломали и ставили другие пароли, потому что бот показал несколько штук.

Ответить
0

Есть здесь еще такой же больной ублюдок, который юзает только сгенерированные пароли и хранит их в «избранном» в протонмейле?

Ответить
1

Комментарий удален по просьбе пользователя

Ответить
0

Норм почта ты че

Ответить
1

Комментарий удален по просьбе пользователя

Ответить
0

Поясни или балабол

Ответить
2

Комментарий удален по просьбе пользователя

Ответить

Недовольный кофе

Kat
2

Они недавно выкладывали либу реализующую OpenPGP для Go. Так вот, там неверно генерились ключи с эллиптическими кривыми. С вероятностью больше 50% публичный ключ не признавался валидным другим софтом (GnuPG, etc). Как это могло уйти в релиз (а может и их прод) — не ебу, такое должно отсеиваться тестами на этапе разработки.

По моей наводке пофиксили быстро, конечно, но пока курил проблему, окунулся в достаточно адовый говнокод и, к примеру, невозможность сгенерировать либой пару с хотя бы датой действия. При генерации можно указать только логин и домен (он формирует на их основе имейл). Имя, фамилия, другая мета — хуй. Ебись с ASN.1 сам.

И это публичный проект, лол. Если они даже тут вылизать не смогли, то что у них там в приватных репо валяется?

Ответить

Недовольный кофе

Кирилл
0

К сожалению я не настолько ублюдок. Доверился 1Password вместо православного KeePass. Но в целом на всех сайтах юзаю рандомные пароли и включаю 2FA.

Ответить
0

Proton уже скурвился, ctemplar.com теперь модно

Ответить

Недовольный кофе

Mikhail
0

Выглядит как очередной Протон, который конечно же хранит твой приватный ключ на своих серверах и священно клянётся шифровать твой приватный ключ твоим паролем (но это не точно).

И конечно же нет IMAP, классика.

Короче хипсторы пусть дальше сидят на протонах и платят оверпрайс за мнимую безопасность, остальным могу посоветовать простой почтовый ориентированный на использование с почтовыми клиентами (то бишь поддерживает IMAP/SMTP) — https://mailbox.org

Ответить

Недовольный кофе

Недовольный
0

Прошу заметить, про безопасность я тут не заикаюсь, это просто почтовый ящик за разумную цену. Хотите честный E2E, используйте OpenPGP с хардварными токенами от какого-нибудь Nitrokey, а не эту залупу от Протонов и им подобным.

Ответить

Недовольный кофе

0

Ахуеваю просто с этих программистов. Не хэшировать хотя бы обоссаным MD5 это уметь надо. Я уж молчу про использование соли и нормальных KDF-алгоритмов.

Ответить

Базовый рубин

Недовольный
0

Обычно такого типа базы выкладывают расшифрованные, если удалось.

Ответить

Недовольный кофе

Базовый
0

Операция хэширования необратима ведь. Нельзя "расшифровать" хэш. Разве что для каждого юзера пересчитывать хэши, в надежде угадать пароль. Плюс многие сайты используют (во всяком случае должны) уникальную соль для каждого юзера + пароль. Даже если соль и хэш утекают, перебирать для миллионой базы слишком затратно. Если используется KDF — подавно, слишком дорого.

Ответить

Базовый рубин

Недовольный
0

https://xkcd.com/1286/
Есть идеальный мир, а есть адоб, немелкая компания.

Ответить

Недовольный кофе

Базовый
2

Проорал с Adobe.

Я так понимаю большинство случаев это легаси-которое всем лень трогать. Тот же Adobe походу просто откладывал до последнего рефакторинг их SSO-сервиса, поэтому слили базу данных, которая по факту была спроектирована в каком-нибудь 98-году (судя по 3DES).

Но блять сейчас-то как можно писать такое говно и получать 300к в секунду? У меня на работе масса веб-сервисов, блок хэширования паролей при регистрации занимает 10 строк. Используются только современные, общепринятые крипто-стандарты, никаких велосипедов.

Горит, сука.

Ответить

Базовый рубин

Недовол…
0

Ну, все говорят что проблема этих сливов это наколенные сайты без внешней авторизации. По разным причинам всем нужно какое-нибудь говно типа кулинарного форума.

Ответить

Недовольный кофе

Базовый
1

Говно типа кулинарного форума как правило работает на каком-нибудь phpBB, где, я почти уверен, используется bcrypt или типа того из коробки. Поэтому не понимаю откуда пароли plaintext-ом сливают в таких масштабах.

Ответить

Базовый рубин

Недовол…
0

Мне было бы интересно, например, увидеть статистику о том, какой процент предпочитает хэшировать на клиенте и на сервере.

Ответить
–1

Никто не понял, что вы написали

Ответить
0

бот нашёл мою почту, только пароль там старый

Ответить
0

Тикай з городу.

Ответить
0

Не, я тоже буду тикать.

Ответить
0

Моего нет, не знаю, что там за базы данных такие

Ответить

Лесной цвет

0

Старые ящики на мэиле и яндексе есть, нормальный ящик не спален, приятно

Ответить
0

бот выдал пароли, но не точные, лишь некоторые символы в рандомном порядке

Ответить
0

Обнаружил, что три четыре старых пароля реально слиты. Плохо себе представляю как. Но некотрые указанные пароли я точно никогда не юзал.

Ответить
0

Атеншн!! Проверил пароль - через полчаса - попытка входа в инсту из Мск

Ответить

Восточный велосипед

Andrew
0

Ну так бот еще и проверил твои данные на актуальность)

Ответить
0

Сработало частично. Выдало одну часть старого пароля, естественно от дырявого как петух мэйлру

Ответить
0

Хороший сервис, собирает почтовые адреса и связывает их с хозяином аккаунта телеграм :)

Ответить
0

Помоему всех тупо развели, и авторы канала только что узнали десятки тысяч реальных емейлов для рассылки рекламы и перепродажи этой базы...🤦‍♀️🤦‍♀️🤦‍♀️

Ответить

Успешный калькулятор

Олег
0

Все эти письма попадают в папку спам. Толку нет

Ответить
0

Работает так себек...

Ответить
0

И зачем он начал скрывать пароли, я же не всех проверил

Ответить
0

Нахуя зафорсили.
Можно было краденные аккаунты от Стима и ориджина чекать и играть.

Ответить
0

Красавчик, мне сегодня вскрыли почту👍

Ответить
0

Пароль-то зачем в ответ выдавать? Пусть даже и два символа замаскировано. Подобрать же можно... Уберите пароль в ответе!!! Достаточно просто написать, есть в базе или нет. Зачем офишировать для все то, что нашел один человек?

Ответить
0

Так, ну хорошо - пароли известны. Но где конкретно меня взломали? Я не хочу/не могу менять их везде, это просто безумие. А как узнать какие именно мои аккаунты компрометированы?

Ответить

Предвыборный звук

–2

Слободянюк двачер ололо диванон

Ответить
Обсуждаемое
Новости
В России зафиксировали 1459 новых случаев коронавируса. Общее число заражённых превысило 10 тысяч
В стране Covid-19 зарегистрировали в 81 регионе.
Новости
Комиссия ВШЭ рекомендовала отчислить студента с военной кафедры. Он просил не поздравлять его с 23 февраля
И утверждал, что учится «только для того, что избежать призывного рабства».
Новости
В России зафиксировали 1786 новых случаев заболевания Covid-19. 18 человек умерли за сутки
Всего случаев заболевания — 11 917.
Популярное за три дня
Новости
«Проект» рассказал о даче Медведева в Астраханской области, построенной специально под рост бывшего премьер-министра
Как выяснили журналисты, землёй владеет офшор, связанный с Алишером Усмановым.
Новости
В больнице Петербурга, персонал которой жаловался на нехватку средств защиты, нашли коронавирус
Власти заявляли, что в это медучреждение таких пациентов не доставляют.
Новости
Бизнесмен, являвшийся доверенным лицом Собянина и Путина, выиграл рекордный тендер на поставку бордюров в Москве
Бизнесмен, являвшийся доверенным лицом Сергея Собянина и Владимира Путина, выиграл рекордный тендер на поставку бордюров в Москве. Стоимость контракта превышает 3 млрд рублей.

Прямой эфир