Рубрика развивается при поддержке
Advertisement

В Telegram появился бот, который агрегирует все известные утечки баз данных. Можно узнать «слитые» пароли от почты Статьи редакции

Достаточно просто ввести email-адрес, а бот пришлёт известные от неё пароли.

Красным закрашены пароли от почты. Серым – email-адреса

В мессенджере Telegram появился бот под названием MailSearchBot, с помощью которого можно проверить, был ли ваш email-адрес в одной из утекших баз данных.

Всё, что нужно сделать — отправить боту в личных сообщениях адрес почты, а он в ответ пришлёт список «слитых» паролей от неё, если они находились в одной из баз. 8 из 10 сотрудников издательского дома «Комитет» нашли в базах бота свои старые пароли.

В разговоре с TJ создатель бота Батыржан Тютеев рассказал, что на данный момент в базе бота находится порядка 9 миллиардов записей в связке логин и пароль, а ещё более 3 миллиардов ждут своей очереди для загрузки. По его словам, бот «собран на коленке» и запущен на домашнем компьютере.

Я рекомендую сменить пароль в случае, если будет найден актуальный. Очень надеюсь, что никто не пострадает из-за работы моего бота.

Батыржан Тютеев
создатель MailSearchBot

Тютеев является основателем и техническим директором компании NitroTeam, которая занимается проведением тестов на проникновение в компьютерные системы, моделируя атаки злоумышленника.

По его словам, часть данных для бота ему предоставили такие же специалисты в области информационной безопасности (ИБ), как и он, но с условием, что он не будет монетизировать эти данные. Тютеев также уточнил, что он с коллегами старается аккумулировать большое количество данных в их собственных базах: «Мы собираем очень большое количество данных, но иногда мы не знаем, что со всем этим делать».

Идея реализовать подобный инструмент была уже давно, но мы всё никак не могли собраться и просто начать. Но чуть больше месяца назад мой коллега Александр Ким первый скинул в чат ссылку на одну из баз. И я начал её «парсить» (анализировать — прим. TJ) и загружать в базу. Потом другой коллега скинул следующую базу, и так один за другим мы начали собирать по кусочкам нашу собственную базу данных из утекших паролей.

Батыржан Тютеев
создатель MailSearchBot

Тютеев отметил, что в час ботом пользуются около 10 тысяч уникальных пользователей. Но он добавил, что о боте, возможно, никто бы никогда и не узнал, если бы его друг и специалист в области ИБ не опубликовал бота в своём Tелеграм-канале «Кавычка». «Именно после его публикации остальные каналы подхватили информацию об этом боте и начали её „форсить“», — заявил Тютеев.

Помимо MailSearchBot, Тютеев также разработал другого бота, который показывает по номеру телефона страницу абонента в Фейсбуке. С его помощью можно проверить свои настройки приватности или узнать владельца телефонного номера.

Разработчик пояснил, что создал эти сервисы, чтобы привлечь внимание к проблеме персональных данных. Тютеев живёт в Казахстане, и, по его словам, несмотря на то, что в стране есть закон о персональных данных, он не исполняется должным образом.

Дело в том, что у нас в Казахстане очень много интернет-сервисов, через которые можно сделать практически всё, что угодно. И да, это классно, это удобно. Но компании, которым вы доверяете свои персональные данные и которые обязаны их защищать на практике, относятся к ним халатно.

Проблема защиты наших персональных данных отходит на второй план в угоду удобству. Сейчас всем гораздо важнее, насколько быстро ты запустишь тот или иной сервис, и совсем неважно, насколько он будет защищён.

Батыржан Тютеев
создатель MailSearchBot
0
139 комментариев
Популярные
По порядку
Написать комментарий...

Не ало

10
Уполномоченный файл

Ну ты ещё раз 300 нажми, должно заработать.

102
Уполномоченный файл
72

Перезагружать пробовал если что

0

Комментарий удален

Мне ответил через 40 минут, отправил адрес на проверку, в итоге молчит уже 2 часа...

0

2сh в подписках - беда в семье

31

Комментарий удален по просьбе пользователя

6

Комментарий удален по просьбе пользователя

34
Уполномоченный файл

Комментарий удален по просьбе пользователя

10

Have I Been Pwned распространяет хэши паролей, и если мне так захочется, то я могу просто на компе без интернета сгенерировать хэш для своих паролей и пройтись по файлу с хэшами грепом. И пароль проверил, и не слил другим.

0
Уполномоченный файл

А если в базе старый пароль? Каждый раз, когда видишь в какой-нибудь базе свой e-mail, бежать менять пароль?

3

А что если показывать не весь пароль? 🤔

10

вот. бот Тютеева выдал мне старые пароли, которые я использую на каких-то одноразовых сайтах, поэтому и не парюсь особо после проверки

2

Бот сломался, кстати. Не отвечает на /start

8

Написал разрабу

0
Уполномоченный файл

Комментарий удален по просьбе пользователя

20

Cейчас просто он очень загружен, поэтому ответа приходится ждать долго. Не забываем, что бот работает на обычном домашнем компьютере

6
Уполномоченный файл

Его вот этот сломал

1

Бот сдох

7

Пассы зацензурили теперь. Этот казах сломался – несите нового.

6

Да, он скрыл некоторые символы в пароле по нашей просьбе

2

А кто просил?)

1

Кстати долго базы собирали?

0

Жалко, что бот сдох. Я пароль забыл от почты своей, думал покажет...

6
Уполномоченный файл

Опять кому-то потребовалась база e-mail адресов для спама?

4

Комментарий удален по просьбе пользователя

6

потом окажется что казах просто сделал бота ради проверки на валидность почт
зачем юзать бота если есть https://haveibeenpwned.com/? и открытая база в торе на 2 миллиарда паролей?

1

Ну мне написали что вскрыт на 8 сайтах, дальше что делать? Почту менять?

2

Комментарий удален по просьбе пользователя

0

ну как и ожидалось, на меил.сру пароль слит, а на гмейле все чисто

2

на гмейле пара адресов тоже ( но пароли какие-то древние совсем.

1
Уполномоченный файл

Да, всё показывает, в отличие от haveibeenpwned, который только факт взлома сообщает. Круто.

2
Уполномоченный файл

Комментарий удален по просьбе пользователя

1

Комментарий удален по просьбе пользователя

3

haveibeenpwned.com не показывает пароли же

1
Уполномоченный файл

Комментарий удален по просьбе пользователя

2
Уполномоченный файл

не показывает пароли же

Что правильно. А тут можно чекать чужие email получается?

1

Если в ботах в телеге где-то видно, какой никнейм или вообще какие-либо данные у того, кто отправил запрос в бота, то это просто идеальный способ деанонимизации телеграм юзверей

0
Уполномоченный файл

Телеграм никогда и не был анонимным мессенджером

3

Не робит, в тч гетфб. Но, блэт, это какие возможности казах открыл для скамеров и всяких псов сутулых из мэша и базы?(

1

Показал пароли, но не от почты, а от других учеток, которые привязаны к почте.

1

Комментарий удален по просьбе пользователя

1
Уполномоченный файл

Надо иконописный образ сделать Павлу.

0

А если почты такой нет, бот отвечает что-нибудь? А то у меня уже час молчит.

0

У меня тоже молчит

2

Бот так долго отвечает, потому что очередь большая

2

можешь какое нибудь сообщение с рандом текстом ему отослать, если ответит, значит имейлов введённые до этого в базе нет

1

да, он просто заигнорил первое сообщение, сейчас сразу ответил

0
Уполномоченный файл

Что за бред? Я никогда такие тупые пароли не ставил. Даже близко не угадал.

0

Комментарий удален по просьбе пользователя

2
Уполномоченный файл

А у меня действительно выдал мои школьные пароли.

1

Работает. Показал пароль к одной из моих старых почт, которой уже много лет не пользуюсь. При чём её походу давно взломали и ставили другие пароли, потому что бот показал несколько штук.

0

Есть здесь еще такой же больной ублюдок, который юзает только сгенерированные пароли и хранит их в «избранном» в протонмейле?

0

Комментарий удален по просьбе пользователя

1

Норм почта ты че

0
Уполномоченный файл

К сожалению я не настолько ублюдок. Доверился 1Password вместо православного KeePass. Но в целом на всех сайтах юзаю рандомные пароли и включаю 2FA.

0
Уполномоченный файл

Proton уже скурвился, ctemplar.com теперь модно

0
Уполномоченный файл

Выглядит как очередной Протон, который конечно же хранит твой приватный ключ на своих серверах и священно клянётся шифровать твой приватный ключ твоим паролем (но это не точно).

И конечно же нет IMAP, классика.

Короче хипсторы пусть дальше сидят на протонах и платят оверпрайс за мнимую безопасность, остальным могу посоветовать простой почтовый ориентированный на использование с почтовыми клиентами (то бишь поддерживает IMAP/SMTP) — https://mailbox.org ред.

0
Уполномоченный файл

Ахуеваю просто с этих программистов. Не хэшировать хотя бы обоссаным MD5 это уметь надо. Я уж молчу про использование соли и нормальных KDF-алгоритмов.

0
Уполномоченный файл

Обычно такого типа базы выкладывают расшифрованные, если удалось.

0
Уполномоченный файл

Операция хэширования необратима ведь. Нельзя "расшифровать" хэш. Разве что для каждого юзера пересчитывать хэши, в надежде угадать пароль. Плюс многие сайты используют (во всяком случае должны) уникальную соль для каждого юзера + пароль. Даже если соль и хэш утекают, перебирать для миллионой базы слишком затратно. Если используется KDF — подавно, слишком дорого.

0

Никто не понял, что вы написали

–1

Комментарий удален по просьбе пользователя

0

Тикай з городу.

0

Комментарий удален по просьбе пользователя

0

Моего нет, не знаю, что там за базы данных такие

0
Уполномоченный файл

Старые ящики на мэиле и яндексе есть, нормальный ящик не спален, приятно

0

бот выдал пароли, но не точные, лишь некоторые символы в рандомном порядке

0

Обнаружил, что три четыре старых пароля реально слиты. Плохо себе представляю как. Но некотрые указанные пароли я точно никогда не юзал.

0

Атеншн!! Проверил пароль - через полчаса - попытка входа в инсту из Мск

0
Уполномоченный файл

Ну так бот еще и проверил твои данные на актуальность)

0

Сработало частично. Выдало одну часть старого пароля, естественно от дырявого как петух мэйлру

0

Хороший сервис, собирает почтовые адреса и связывает их с хозяином аккаунта телеграм :)

0

Помоему всех тупо развели, и авторы канала только что узнали десятки тысяч реальных емейлов для рассылки рекламы и перепродажи этой базы...🤦‍♀️🤦‍♀️🤦‍♀️

0
Уполномоченный файл

Все эти письма попадают в папку спам. Толку нет

0

Работает так себек...

0

И зачем он начал скрывать пароли, я же не всех проверил

0

Нахуя зафорсили.
Можно было краденные аккаунты от Стима и ориджина чекать и играть.

0

Красавчик, мне сегодня вскрыли почту👍

0

Пароль-то зачем в ответ выдавать? Пусть даже и два символа замаскировано. Подобрать же можно... Уберите пароль в ответе!!! Достаточно просто написать, есть в базе или нет. Зачем офишировать для все то, что нашел один человек?

0

Так, ну хорошо - пароли известны. Но где конкретно меня взломали? Я не хочу/не могу менять их везде, это просто безумие. А как узнать какие именно мои аккаунты компрометированы?

0

Слободянюк двачер ололо диванон

–2
Читать все 139 комментариев
null