28 ноя в 08:25

«Ъ»: в открытом доступе оказались пароли 500 тысяч пользователей сайта о трудоустройстве Материал редакции

Конкуренты не видят в этом проблемы: сайт не популярный, а пароли с него «вряд ли кому-то интересны».

В закладки

На хакерских форумах опубликовали базу данных, якобы содержащую информацию о 500 тысячах пользователей сайта для поиска работы jobinmoscow.ru. Об этом сообщил «Коммерсантъ».

Основатель DeviceLock Ашот Оганесян, специализирующийся на утечках, рассказал, что помимо общедоступной информации, база содержит логины и пароли. Журналисты подтвердили актуальность некоторых данных, но после того, как они сообщили сайту об утечке — в аккаунты уже нельзя было войти.

Владелец сайта считает, что «нарушений законодательства с их стороны нет». «Наши специалисты анализируют любые возможные угрозы технической безопасности сайта и предпринимают необходимые шаги по недопущению неправомерного использования сайта», — пояснил он.

Оганесян считает, что один из сценариев использования таких данных — сообщение кандидату, что он принят на работу, но ему нужно за что-то доплатить. В Group-IB назвали такой способ мошенничества известным. «Мошенники предлагают устроить в крупную компанию вахтовым методом, и мало того, что вахтовики платят за это деньги, в итоге они приезжают в Сибирь, например, но ни работа, ни жильё их там не ждут», — рассказали там.

Основатель SuperJob Алексей Захаров считает, что существенных угроз от этой утечки нет: jobinmoscow.ru не входит в число крупнейших участников рынка, а пароли с него «вряд ли кому-то интересны».

#новости #утечки

Технологии

Подписан

Отписаться

Бывший чемпион по го Ли Седоль объявил об уходе из спорта из-за превосходства искусственного интеллекта

По его словам, теперь всегда есть «сущность, которую нельзя победить».

Реклама на TJ

{ "author_name": "Артём Мазанов", "author_type": "editor", "tags": ["\u0443\u0442\u0435\u0447\u043a\u0438","\u043d\u043e\u0432\u043e\u0441\u0442\u0438"], "comments": 29, "likes": 13, "favorites": 4, "is_advertisement": false, "subsite_label": "tech", "id": 128532, "is_wide": false, "is_ugc": false, "date": "Thu, 28 Nov 2019 08:25:12 +0300", "is_special": false }

{ "id": 128532, "author_id": 132211, "diff_limit": 1000, "urls": {"diff":"\/comments\/128532\/get","add":"\/comments\/128532\/add","edit":"\/comments\/edit","remove":"\/admin\/comments\/remove","pin":"\/admin\/comments\/pin","get4edit":"\/comments\/get4edit","complain":"\/comments\/complain","load_more":"\/comments\/loading\/128532"}, "attach_limit": 2, "max_comment_text_length": 5000, "subsite_id": 214344, "last_count_and_date": null }

29 комментариев

Популярные

По порядку

Написать комментарий...

Ruslan Sviridov

28 ноя в 08:27

То, что у подавляющего большинства юзеров стоит один и тот же пароль на всех подряд ресурсах мы конечно учитывать не будем

Ответить

Mikhail Lukup

Ruslan

28 ноя в 09:25

А что бы такого не было нужно хорошо прятать блокнот с логинами и паролями, либо обладать превосходной памятью

Ответить

FTOH

Mikhail

28 ноя в 09:46

Вот комикс в тему.

Ответить

Mikhail Lukup

FTOH

28 ноя в 10:03

Опять же, если в наличии 2 десятка различных аккаунтов, то через полгода из головы вылетит добрая половина паролей, во всяком случае у меня. Поэтому единственная надежда, что ворюгу-домушника не заинтересует старый драный блокнотик с каракулями.

Ответить

FTOH

Mikhail

28 ноя в 10:12

Наша память так устроена, что то, что не используется - удаляется. Поэтому всю важную информацию нужно перезаписывать. Для этого есть мощные инструменты: интервальные повторения и мнемоника.
https://ru.wikipedia.org/wiki/%D0%98%D0%BD%D1%82%D0%B5%D1%80%D0%B2%D0%B0%D0%BB%D1%8C%D0%BD%D1%8B%D0%B5_%D0%BF%D0%BE%D0%B2%D1%82%D0%BE%D1%80%D0%B5%D0%BD%D0%B8%D1%8F
https://ru.wikipedia.org/wiki/%D0%9C%D0%BD%D0%B5%D0%BC%D0%BE%D0%BD%D0%B8%D0%BA%D0%B0

Ответить

Eireen K

FTOH

28 ноя в 15:48

Всё это красиво, но для 150+ паролей малоприменимо.
А сторонний менеджер паролей, как тут ниже советуют, я лично считаю лишним уязвимым неподконтрольным звеном.

Ответить

Игорь Янович

Mikhail

28 ноя в 15:30

–1

а что менеджер паролей начать использовать религия не позволяет, ну тогда вы обрекаете себя на то, что рано или поздно вас либо взломают, либо сами потеряете доступ к аккаунтам

Ответить

Mikhail Lukup

Игорь

28 ноя в 15:46

Я опасаюсь, что программы для хранения паролей имеют дыры. Нет у меня к ним доверия.

Ответить

Игорь Янович

Mikhail

28 ноя в 16:42

Есть программы с открытым исходным кодом, и если будете пользоваться одной из популярных, то думаю информация о дырах уже бы давно появилась в интернете.
Лично я пользуюсь KeePass.

Ответить

Игорь Янович

Mikhail

28 ноя в 16:48

И потом, ну допустим и есть дыры, и что, я же вас не призываю направо и налево архив с всеми вашими паролями хоть и зашифрованными выкладывать направо и налево, да найдут зайтра дыры и что, вы же архив никому не сливали, значит воспользоваться дырой чтобы получить ваши пароли никто не сможет. Но!!! конечно лучше этот архив беречь, никуда не выкладывать и никому не показывать, так же лучше на незнакомые устройства не копировать, а если уж есть острая нужна скопировать, то после использования ОБЯЗАТЕЛЬНО удалять. А лучше запускать с флешки, благо программа портативная.

Ответить

Myemptyblog

Mikhail

28 ноя в 09:32

Либо обеспечивать процедурную генерацию паролей.
Например, берётся название сайта (tjournal) и каждая буква в нём разбавляется символом из верхнего ряда клавиатуры (t!j@o#u$r%n^a&l). Или реверсируется и забивается цифровыми значениями (t1j2o3u4r5n6a7l) причём цифры могут быть годом рождения или другой памятной датой. Или перекодируются русскими буквами (tеjоoщuгrкnтaфlд) или реверируются и перекодируются (tljaonurrunoajlt). Для телефонов есть свои приёмы. Также можно запомнить неизменяемый код, добавляемый в начале каждого пароля типа &^C0$ (или не в начале а после третьего символа), и тогда всё ещё сильнее усложнится.
Эти простые методы уже известны, но если их комбинировать и усложнить, то можно спокойно делать разные сложные пароли для каждого сайта.

Ответить

FTOH

Myemptyblog

28 ноя в 09:45

Также можно запомнить неизменяемый код, добавляемый в начале каждого пароля типа &^C0$

Будет достаточно 2 утекших паролей, чтобы эта последовательность стала известна

Ответить

Тёма Тема

FTOH

28 ноя в 13:24

Какова вероятность, что ты окажешься в двух слитых базах?

Ответить

FTOH

Тёма

28 ноя в 13:32

100% ?
Вот что показывает https://haveibeenpwned.com/
В этом году было 3 утечки, в которые я попал.

Ответить

Myemptyblog

FTOH

28 ноя в 18:57

Если последовательность будет достаточно сложной - её нельзя будет выявить по 2-3 утечкам, а запомнить всё равно можно. Например представить верхний ряд символов как бесконечный закольцованный ряд и выбирать из этого ряда каждый N-й символ пока не превысишь значение M в этом ряду, где M - длина названия сайта, умноженная на 3.

Вариантов, повторю, много. Просто людям удобнее использовать pass123

Ответить

Ешь Черри

Myemptyblog

28 ноя в 11:01

Любите по$баться на ровном месте? Есть же lastpass или 1password

Ответить

Игорь Янович

Myemptyblog

28 ноя в 14:56

а может просто начать использовать менеджер паролей и запомнить только один пароль от него, + менеджеры паролей умеют сами вводить в поля данные

Ответить

Илья Ерохин

Mikhail

28 ноя в 09:29

Блокнот с логинами и паролями это самая большая дыра в системе безопасности ever которую не залатает ниодин программист.

Это зло, не делай так

Ответить

Andre Macareno

Mikhail

28 ноя в 13:33

техника дворца памяти, настало твоё время

Ответить

Илья Ерохин

Mikhail

28 ноя в 09:30

–1

Чтобы взломать тебя не нужен хакер, нужет только хороший карманник

Ответить

Mikhail Lukup

Илья

28 ноя в 09:32

Скорее домушник. А какие ещё варианты? На память не возможно, то что редко используется - забывается.

Ответить

Илья Ерохин

Mikhail

28 ноя в 09:39

–1

@Myemptyblog расписал часть возможных вариантов

Ответить

Zzzzzzz

Ruslan

28 ноя в 10:12

На ресурсах где нечего воровать — почему бы и нет. Вот взломают мой аккаунт на тж, и что

Ответить

Игорь Янович

Ruslan

28 ноя в 15:28

вдобавок к всему и ещё вида: qwerty98 или vasya25 такие юзеры сами виноваты

Ответить

Игнат Синицын

28 ноя в 08:33

"Оганесян считает, что один из сценариев использования таких данных — сообщение кандидату, что он принят на работу, но ему нужно за что-то доплатить."
У нас в городе столько приезжих вахтовиков (ну или кто только собирался приехать работать вахтовым методом) на этом разводе погорело. Каждую неделю по несколько сообщений о факте мошенничества по этому сценарию.

Ответить