На серверах ботнета нашли 2 миллиона паролей Facebook, «ВКонтакте» и «Одноклассников»

Специалисты компании SpiderLabs нашли на командном сервере крупного ботнета около 2 миллионов паролей пользователей крупнейших веб-сервисов. Отчёт компании опубликован в её блоге.

На командном сервере Pony, располагавшемся в Нидерландах, находилось около полутора миллионов данных для входа на крупнейшие сайты, 320 тысяч логинов и паролей от электронных почтовых ящиков, а также десятки тысяч паролей от FTP (протокол передачи файлов), RDP и SSH (протоколы удалённого управления компьютерами).

В SpiderLabs подчеркнули, что они не собираются разглашать полученные данные, но привели статистику по тому, какие пароли оказались в руках злоумышленников. Больше всего данных относились к Facebook — более 318 тысяч записей. Следом идёт Yahoo с почти 60 тысячами записей.

Google в отчёте представлен дважды: как www.google.com (16 тысяч паролей) и как accounts.google.com (ещё 54 тысячи). Также в базе злоумышленников оказались пароли пользователей российских соцсетей «Одноклассники» и «ВКонтакте»: 9,3 и 6,8 тысячи записей соответственно.

Самым популярным паролем в базе оказалось сочетание «123456» — оно используется для входа в почти 16 тысяч аккаунтов. Следом идут длинный вариант 123456789 (4875 случаев использования) и короткий 1234 (3135 аккаунтов). В топ-10 входит односимвольный пароль «1» — его использовали 1224 раза — и два текстовых, «password» и «admin».

Анализ показал, что чаще всего пользователи ставят пароли длиной 6-9 символов одного типа (к примеру, только цифры или только буквы). Реже идут варианты использования более длинных и сложных комбинаций.

В целом в SpiderLabs оценили 22 процента паролей как «хорошие» и «блестящие», 44 процента — как «средние» и остальные как «плохие» и «ужасные».

Pony — это система управления ботнетами с русскоязычным интерфейсом. Специалисты, обнаружившие сервер с 2 миллионами аккаунтов, отмечают, что большинство данных в базе было получено с одного нидерландского IP-адреса. Скорее всего, это был «обратный» прокси-сервер, который обычно используется, чтобы скрыть командный сервер от заражённой машины: если она заблокирует трафик к обратному прокси, его можно будет легко заменить другим.