«Ъ»: в открытом доступе оказались пароли 500 тысяч пользователей сайта о трудоустройстве Статьи редакции

Конкуренты не видят в этом проблемы: сайт не популярный, а пароли с него «вряд ли кому-то интересны».

На хакерских форумах опубликовали базу данных, якобы содержащую информацию о 500 тысячах пользователей сайта для поиска работы jobinmoscow.ru. Об этом сообщил «Коммерсантъ».

Основатель DeviceLock Ашот Оганесян, специализирующийся на утечках, рассказал, что помимо общедоступной информации, база содержит логины и пароли. Журналисты подтвердили актуальность некоторых данных, но после того, как они сообщили сайту об утечке — в аккаунты уже нельзя было войти.

Владелец сайта считает, что «нарушений законодательства с их стороны нет». «Наши специалисты анализируют любые возможные угрозы технической безопасности сайта и предпринимают необходимые шаги по недопущению неправомерного использования сайта», — пояснил он.

Оганесян считает, что один из сценариев использования таких данных — сообщение кандидату, что он принят на работу, но ему нужно за что-то доплатить. В Group-IB назвали такой способ мошенничества известным. «Мошенники предлагают устроить в крупную компанию вахтовым методом, и мало того, что вахтовики платят за это деньги, в итоге они приезжают в Сибирь, например, но ни работа, ни жильё их там не ждут», — рассказали там.

Основатель SuperJob Алексей Захаров считает, что существенных угроз от этой утечки нет: jobinmoscow.ru не входит в число крупнейших участников рынка, а пароли с него «вряд ли кому-то интересны».

0
29 комментариев
Написать комментарий...
Чеченский завод

То, что у подавляющего большинства юзеров стоит один и тот же пароль на всех подряд ресурсах мы конечно учитывать не будем

Ответить
Развернуть ветку
Строительный паук например

А что бы такого не было нужно хорошо прятать блокнот с логинами и паролями, либо обладать превосходной памятью

Ответить
Развернуть ветку
Специфический теркин30см

Вот комикс в тему. 

Ответить
Развернуть ветку
Строительный паук например

Опять же, если в наличии 2 десятка различных аккаунтов, то через полгода из головы вылетит добрая половина паролей, во всяком случае у меня. Поэтому единственная надежда, что ворюгу-домушника не заинтересует старый драный блокнотик с каракулями.

Ответить
Развернуть ветку
Специфический теркин30см

Наша память так устроена, что то, что не используется - удаляется. Поэтому всю важную информацию нужно перезаписывать. Для этого есть мощные инструменты: интервальные повторения и мнемоника.
https://ru.wikipedia.org/wiki/%D0%98%D0%BD%D1%82%D0%B5%D1%80%D0%B2%D0%B0%D0%BB%D1%8C%D0%BD%D1%8B%D0%B5_%D0%BF%D0%BE%D0%B2%D1%82%D0%BE%D1%80%D0%B5%D0%BD%D0%B8%D1%8F
https://ru.wikipedia.org/wiki/%D0%9C%D0%BD%D0%B5%D0%BC%D0%BE%D0%BD%D0%B8%D0%BA%D0%B0

Ответить
Развернуть ветку
Eireen K

Всё это красиво, но для 150+ паролей малоприменимо.
А сторонний менеджер паролей, как тут ниже советуют, я лично считаю лишним уязвимым неподконтрольным звеном.

Ответить
Развернуть ветку
Игорь Янович

а что менеджер паролей начать использовать религия не позволяет, ну тогда вы обрекаете себя на то, что рано или поздно вас либо взломают, либо сами потеряете доступ к аккаунтам

Ответить
Развернуть ветку
Строительный паук например

Я опасаюсь, что программы для хранения паролей имеют дыры. Нет у меня к ним доверия.

Ответить
Развернуть ветку
Игорь Янович

Есть программы с открытым исходным кодом, и если будете пользоваться одной из популярных, то думаю информация о дырах уже бы давно появилась в интернете.
Лично я пользуюсь KeePass.

Ответить
Развернуть ветку
Игорь Янович

И потом, ну допустим и есть дыры, и что, я же вас не призываю направо и налево архив с всеми вашими паролями хоть и зашифрованными выкладывать направо и налево, да найдут зайтра дыры и что, вы же архив никому не сливали, значит воспользоваться дырой чтобы получить ваши пароли никто не сможет. Но!!! конечно лучше этот архив беречь, никуда не выкладывать и никому не показывать, так же лучше на незнакомые устройства не копировать, а если уж есть острая нужна скопировать, то после использования ОБЯЗАТЕЛЬНО удалять. А лучше запускать с флешки, благо программа портативная.

Ответить
Развернуть ветку
Телефонный браслет

Либо обеспечивать процедурную генерацию паролей.
Например, берётся название сайта (tjournal) и каждая буква в нём разбавляется символом из верхнего ряда клавиатуры ([email protected]#u$r%n^a&l). Или реверсируется и забивается цифровыми значениями (t1j2o3u4r5n6a7l) причём цифры могут быть годом рождения или другой памятной датой. Или перекодируются русскими буквами (tеjоoщuгrкnтaфlд) или реверируются и перекодируются (tljaonurrunoajlt). Для телефонов есть свои приёмы. Также можно запомнить неизменяемый код, добавляемый в начале каждого пароля типа &^C0$ (или не в начале а после третьего символа), и тогда всё ещё сильнее усложнится.
Эти простые методы уже известны, но если их комбинировать и усложнить, то можно спокойно делать разные сложные пароли для каждого сайта.

Ответить
Развернуть ветку
Специфический теркин30см
 Также можно запомнить неизменяемый код, добавляемый в начале каждого пароля типа &^C0$

Будет достаточно 2 утекших паролей, чтобы эта последовательность стала известна

Ответить
Развернуть ветку
Тёма Ли

Какова вероятность, что ты окажешься в двух слитых базах?

Ответить
Развернуть ветку
Специфический теркин30см

100% ?
Вот что показывает https://haveibeenpwned.com/
В этом году было 3 утечки, в которые я попал.

Ответить
Развернуть ветку
Телефонный браслет

Если последовательность будет достаточно сложной - её нельзя будет выявить по 2-3 утечкам, а запомнить всё равно можно. Например представить верхний ряд символов как бесконечный закольцованный ряд и выбирать из этого ряда каждый N-й символ пока не превысишь значение M в этом ряду, где M - длина названия сайта, умноженная на 3.

Вариантов, повторю, много. Просто людям удобнее использовать pass123

Ответить
Развернуть ветку
Лишенный Валера

Комментарий недоступен

Ответить
Развернуть ветку
Игорь Янович

а может просто начать использовать менеджер паролей и запомнить только один пароль от него, + менеджеры паролей умеют сами вводить в поля данные

Ответить
Развернуть ветку
Илья Ерохин

Блокнот с логинами и паролями это самая большая дыра в системе безопасности ever которую не залатает ниодин программист.

Это зло, не делай так

Ответить
Развернуть ветку
Andre Macareno

техника дворца памяти, настало твоё время

Ответить
Развернуть ветку
Илья Ерохин

Чтобы взломать тебя не нужен хакер, нужет только хороший карманник

Ответить
Развернуть ветку
Строительный паук например

Скорее домушник. А какие ещё варианты? На память не возможно, то что редко используется - забывается.

Ответить
Развернуть ветку
Илья Ерохин

@Myemptyblog расписал часть возможных вариантов

Ответить
Развернуть ветку
Zzzzzzz

На ресурсах где нечего воровать — почему бы и нет. Вот взломают мой аккаунт на тж, и что

Ответить
Развернуть ветку
Игорь Янович

вдобавок к всему и ещё вида: qwerty98 или vasya25 такие юзеры сами виноваты

Ответить
Развернуть ветку
Игнат Синицын

"Оганесян считает, что один из сценариев использования таких данных — сообщение кандидату, что он принят на работу, но ему нужно за что-то доплатить."
У нас в городе столько приезжих вахтовиков (ну или кто только собирался приехать работать вахтовым методом) на этом разводе погорело. Каждую неделю по несколько сообщений о факте мошенничества по этому сценарию. 

Ответить
Развернуть ветку
TheVengord

Забавно что неинтересая база продается за $25, что зверски! Могли бы уж и скидку сделать в честь черной пятницы

Ответить
Развернуть ветку
Zeleoth Jenkins
jobinmoscow.ru
25 баксов

Это что база дворников?

Ответить
Развернуть ветку
TheVengord

москвичи, что с них взять...

Ответить
Развернуть ветку
Ольга Семенова

У нас, оказывается, есть хакерские форумы!? Роскомнадзор, ты где? Много лещей поймал? 

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Читать все 29 комментариев
null