Вы достигли предела
По курсу — карьерное препятствие
Что дальше?
Рубрика развивается при поддержке HP logo
Технологии
Артём Мазанов
3191

«Ъ»: в открытом доступе оказались пароли 500 тысяч пользователей сайта о трудоустройстве Материал редакции

Конкуренты не видят в этом проблемы: сайт не популярный, а пароли с него «вряд ли кому-то интересны».

В закладки

На хакерских форумах опубликовали базу данных, якобы содержащую информацию о 500 тысячах пользователей сайта для поиска работы jobinmoscow.ru. Об этом сообщил «Коммерсантъ».

Основатель DeviceLock Ашот Оганесян, специализирующийся на утечках, рассказал, что помимо общедоступной информации, база содержит логины и пароли. Журналисты подтвердили актуальность некоторых данных, но после того, как они сообщили сайту об утечке — в аккаунты уже нельзя было войти.

Владелец сайта считает, что «нарушений законодательства с их стороны нет». «Наши специалисты анализируют любые возможные угрозы технической безопасности сайта и предпринимают необходимые шаги по недопущению неправомерного использования сайта», — пояснил он.

Оганесян считает, что один из сценариев использования таких данных — сообщение кандидату, что он принят на работу, но ему нужно за что-то доплатить. В Group-IB назвали такой способ мошенничества известным. «Мошенники предлагают устроить в крупную компанию вахтовым методом, и мало того, что вахтовики платят за это деньги, в итоге они приезжают в Сибирь, например, но ни работа, ни жильё их там не ждут», — рассказали там.

Основатель SuperJob Алексей Захаров считает, что существенных угроз от этой утечки нет: jobinmoscow.ru не входит в число крупнейших участников рынка, а пароли с него «вряд ли кому-то интересны».

И это не новость ИА «Панорама»
{ "author_name": "Артём Мазанов", "author_type": "editor", "tags": ["\u0443\u0442\u0435\u0447\u043a\u0438","\u043d\u043e\u0432\u043e\u0441\u0442\u0438"], "comments": 29, "likes": 13, "favorites": 3, "is_advertisement": false, "subsite_label": "tech", "id": 128532, "is_wide": false, "is_ugc": false, "date": "Thu, 28 Nov 2019 08:25:12 +0300", "is_special": false }
Создан для будущего Узнайте больше HP Neverstop Laser HP Neverstop Laser
Объявление на TJ Отключить рекламу
Иннотех
Не нарушая зоны комфорта: секреты успеха участия в онлайн-хакатоне
Удаленная работа и события этого года привели нас к тому, что люди стали ценить повседневный комфорт: удобная одежда и…
0
29 комментариев
Популярные
По порядку
Написать комментарий...

Этнический дебаркадер

23

То, что у подавляющего большинства юзеров стоит один и тот же пароль на всех подряд ресурсах мы конечно учитывать не будем

Ответить

Христов корабль

Этнический
1

А что бы такого не было нужно хорошо прятать блокнот с логинами и паролями, либо обладать превосходной памятью

Ответить

Новогодний ключ

Христов
6

Вот комикс в тему. 

Ответить

Христов корабль

Новогод…
1

Опять же, если в наличии 2 десятка различных аккаунтов, то через полгода из головы вылетит добрая половина паролей, во всяком случае у меня. Поэтому единственная надежда, что ворюгу-домушника не заинтересует старый драный блокнотик с каракулями.

Ответить

Новогодний ключ

Христов
1

Наша память так устроена, что то, что не используется - удаляется. Поэтому всю важную информацию нужно перезаписывать. Для этого есть мощные инструменты: интервальные повторения и мнемоника.
https://ru.wikipedia.org/wiki/%D0%98%D0%BD%D1%82%D0%B5%D1%80%D0%B2%D0%B0%D0%BB%D1%8C%D0%BD%D1%8B%D0%B5_%D0%BF%D0%BE%D0%B2%D1%82%D0%BE%D1%80%D0%B5%D0%BD%D0%B8%D1%8F
https://ru.wikipedia.org/wiki/%D0%9C%D0%BD%D0%B5%D0%BC%D0%BE%D0%BD%D0%B8%D0%BA%D0%B0

Ответить
0

Всё это красиво, но для 150+ паролей малоприменимо.
А сторонний менеджер паролей, как тут ниже советуют, я лично считаю лишним уязвимым неподконтрольным звеном.

Ответить
–1

а что менеджер паролей начать использовать религия не позволяет, ну тогда вы обрекаете себя на то, что рано или поздно вас либо взломают, либо сами потеряете доступ к аккаунтам

Ответить

Христов корабль

Игорь
0

Я опасаюсь, что программы для хранения паролей имеют дыры. Нет у меня к ним доверия.

Ответить
0

Есть программы с открытым исходным кодом, и если будете пользоваться одной из популярных, то думаю информация о дырах уже бы давно появилась в интернете.
Лично я пользуюсь KeePass.

Ответить
0

И потом, ну допустим и есть дыры, и что, я же вас не призываю направо и налево архив с всеми вашими паролями хоть и зашифрованными выкладывать направо и налево, да найдут зайтра дыры и что, вы же архив никому не сливали, значит воспользоваться дырой чтобы получить ваши пароли никто не сможет. Но!!! конечно лучше этот архив беречь, никуда не выкладывать и никому не показывать, так же лучше на незнакомые устройства не копировать, а если уж есть острая нужна скопировать, то после использования ОБЯЗАТЕЛЬНО удалять. А лучше запускать с флешки, благо программа портативная.

Ответить

Невысокий Паша

Христов
4

Либо обеспечивать процедурную генерацию паролей.
Например, берётся название сайта (tjournal) и каждая буква в нём разбавляется символом из верхнего ряда клавиатуры (t!j@o#u$r%n^a&l). Или реверсируется и забивается цифровыми значениями (t1j2o3u4r5n6a7l) причём цифры могут быть годом рождения или другой памятной датой. Или перекодируются русскими буквами (tеjоoщuгrкnтaфlд) или реверируются и перекодируются (tljaonurrunoajlt). Для телефонов есть свои приёмы. Также можно запомнить неизменяемый код, добавляемый в начале каждого пароля типа &^C0$ (или не в начале а после третьего символа), и тогда всё ещё сильнее усложнится.
Эти простые методы уже известны, но если их комбинировать и усложнить, то можно спокойно делать разные сложные пароли для каждого сайта.

Ответить

Новогодний ключ

Невысок…
1

 Также можно запомнить неизменяемый код, добавляемый в начале каждого пароля типа &^C0$

Будет достаточно 2 утекших паролей, чтобы эта последовательность стала известна

Ответить
0

Какова вероятность, что ты окажешься в двух слитых базах?

Ответить

Новогодний ключ

Тёма
1

100% ?
Вот что показывает https://haveibeenpwned.com/
В этом году было 3 утечки, в которые я попал.

Ответить

Невысокий Паша

Новогод…
0

Если последовательность будет достаточно сложной - её нельзя будет выявить по 2-3 утечкам, а запомнить всё равно можно. Например представить верхний ряд символов как бесконечный закольцованный ряд и выбирать из этого ряда каждый N-й символ пока не превысишь значение M в этом ряду, где M - длина названия сайта, умноженная на 3.

Вариантов, повторю, много. Просто людям удобнее использовать pass123

Ответить

Людской бас

Невысок…
0

Любите по$баться на ровном месте? Есть же lastpass или 1password 

Ответить
0

а может просто начать использовать менеджер паролей и запомнить только один пароль от него, + менеджеры паролей умеют сами вводить в поля данные

Ответить
1

Блокнот с логинами и паролями это самая большая дыра в системе безопасности ever которую не залатает ниодин программист.

Это зло, не делай так

Ответить
0

техника дворца памяти, настало твоё время

Ответить
–1

Чтобы взломать тебя не нужен хакер, нужет только хороший карманник

Ответить

Христов корабль

Илья
0

Скорее домушник. А какие ещё варианты? На память не возможно, то что редко используется - забывается.

Ответить
–1

@Myemptyblog расписал часть возможных вариантов

Ответить
0

На ресурсах где нечего воровать — почему бы и нет. Вот взломают мой аккаунт на тж, и что

Ответить
0

вдобавок к всему и ещё вида: qwerty98 или vasya25 такие юзеры сами виноваты

Ответить
1

"Оганесян считает, что один из сценариев использования таких данных — сообщение кандидату, что он принят на работу, но ему нужно за что-то доплатить."
У нас в городе столько приезжих вахтовиков (ну или кто только собирался приехать работать вахтовым методом) на этом разводе погорело. Каждую неделю по несколько сообщений о факте мошенничества по этому сценарию. 

Ответить
1

Забавно что неинтересая база продается за $25, что зверски! Могли бы уж и скидку сделать в честь черной пятницы

Ответить
0

jobinmoscow.ru

25 баксов

Это что база дворников?

Ответить
0

москвичи, что с них взять...

Ответить
0

У нас, оказывается, есть хакерские форумы!? Роскомнадзор, ты где? Много лещей поймал? 

Ответить

Комментарий удален

Обсуждаемое
Технологии
Два года с «Яндекс.Станцией»: проплаченный (мной) опыт эксплуатации
За 389 р./мес.
Интернет
«ВКонтакте» начала отмечать страницы умерших пользователей. Об этом могут попросить родные владельца аккаунта
Либо страницу могут удалить.
Спорт
Умер Диего Марадона
Ему было 60 лет.
Популярное за три дня
Истории
Как СССР хотел построить в Финляндии «демократическую республику», но лишь подтолкнул её к союзу с Третьим рейхом
Недооценка противника, пропагандистские мифы и геополитические просчёты сделали для Кремля сомнительной номинальную победу в полузабытой Зимней войне.
Истории
Власти Мурома заплатили 113 млн рублей изобретателю «вечного двигателя». Учёные сочли его мошенником, но суд оправдал
Чиновники только спустя несколько лет заметили, что изобретение бесполезно. Но разорвать контракт уже оказалось невозможно.
TJ
Вы предложили собрать деньги на помощь детям и сделали это. Отчитываемся, куда пошли средства
Уважение сообществу!

Комментарии

null