Wyciek ponad 6 milionów haseł z programistycznego serwisu

Z portalu China Software Developer Network (CSDN) wyciekło 6 428 632 loginy, hasła i adresy e-mail. Co najprzyjemniejsze – hasła były w postaci jawnej!Bardzo szybka analiza haseł wykazuje, że programiści lubią hasła złożone z cyferek, a najpopularniejsze trzy hasła w serwisie to: 123456789, 12345678 oraz 11111111.

Oczywiście w pierwszych kilkudziesięciu hasłach pojawiają się szlagiery takie jak password, iloveyou czy qwertyuiop. Sugeruję używanie bardziej skomplikowanych haseł (użytkownikom) oraz szyfrowanie haseł (administratorom), a poniżej krótka lista najpopularniejszych haseł wraz z liczbą wystąpień. Czy ktoś z czytelników/czytelniczek jest w stanie podpowiedzieć czemu wyraz dearbook jest tak wysoko?! PS: Unikalnych (tudzież niepowtarzalnych 🙂 haseł było 4 037 193.

235033 123456789
212751 12345678
76346 11111111
45902 dearbook
34953 00000000
19986 123123123
17791 1234567890
15033 88888888
6995 111111111
5966 147258369
5553 987654321
5459 aaaaaaaa
5145 1111111111
5025 66666666
4435 a123456789
4096 11223344
3667 1qaz2wsx
3649 xiazhili
3610 789456123
3497 password
3281 87654321
3277 qqqqqqqq
3175 000000000
3143 qwertyuiop
3094 qq123456
3077 iloveyou
3061 31415926
2985 12344321
2886 0000000000
2826 asdfghjkl
2797 1q2w3e4r

żadnych reklam, sama wiedza.

Zarejestruj się na BEZPŁATNY NEWSLETTER i raz w tygodniu otrzymuj najważniejsze wiadmości
ze świata IT, nowych technologii i kryptowalut.

Bez reklam.

18 odpowiedzi na „Wyciek ponad 6 milionów haseł z programistycznego serwisu”
  1. Awatar Darkhog
    Darkhog

    Jak to dobrze, że nie mam tam konta…

    1. Awatar agilob
      agilob

      Odpowiedz sobie szczerze na pytanie:
      czy Twoje hasło byłby unikalne? 😉

      1. Awatar Darkhog
        Darkhog

        Nom, nie ma go na liście

  2. Awatar Druedain
    Druedain

    0123…9 i jestem mastach ^^

  3. Awatar Garrappachc
    Garrappachc

    Dziwię się, że nie ma zxcvbnm. Łatwiej sobie trafić niż w qwerty 😉

  4. Awatar Michal
    Michal

    China Software Developer Network to przykład niezwykłego profesjonalizmu jeżeli chodzi o bezpieczeństwo 🙂

    Po co robić skróty haseł, po co wymyślać jakieś sole – w końcu takim profesjonalistą nikt nigdy do bazy nie wejdzie 🙂

    Ale tak na serio, to nie hashowanie haseł to nie wiedzieć czemu bardzo powszechna praktyka. Kiedyś dostałem bazę z pewnego portalu, którą trzeba było przemigrować ze starego portalu pisanego w delphi na coś nowszego co miało być pisane w php no i ku swojemu zdziwieniu, też znalazłem tam nie hashowane hasła.

  5. Awatar ona
    ona

    Haha, widać dla bezpieczeństwa minimalna długość hasła wynosiła tam 8 znaków, bo najpopularniejszym hasłem na świecie jest 123456 (jest to nawet w księdze rekordów Guinessa – http://stonaj.pl/kategorie/6_najczestsze/56_najcz….

    Co do trzymania nie hashowanych haseł, to prawdopodobnie jest to spadek po starych czasach, kiedy nawet największe serwisy miały opcję "przypomnienie hasła". Teraz już nikt poważny tego nie robi, ale widać niektórym administratorom nie chce się poświecić kilku godzin na drobną zmianę w kodzie i przekonwertowanie bazy danych.

    1. Awatar Michal
      Michal

      " widać niektórym administratorom nie chce się poświecić kilku godzin na drobną zmianę w kodzie i przekonwertowanie bazy danych."

      No wiesz, ja bym tam nie chciał, żeby takie rzeczy robili niektórzy administratorzy. To zadanie dla człowieka, który pisze kod portalu a nie admina.

      W dużych systemach admin jest od stawiania kolejnych maszyn i opiekowania się istniejącymi – kodu dotykać mu nie wolno.

  6. Awatar yantar
    yantar

    "Jakie hasła takie hashowanie" ;]

  7. Awatar konradk
    konradk

    dearbook, a dokladnie dearbook.com.cn to chinska ksiegarnia internetowa, ktorej wlascicielem jest CSDN.

    biorac pod uwage, ze strona ksiegarni teraz nie dziala, strzelam ze byla to wspolna baza userow/hasel. ludzie rejestrowali sie w ksiegarni i jako haslo wpisywali nazwe serwisu w ktorym sie zarejestrowali (jak widac jest to czesta metoda)

    1. Awatar tanaka
      tanaka

      teraz zamiast dearbook.com.cn pojawia się strona vmware esx4 – czyżby jakaś reinstalacja 😀

  8. Awatar zra
    zra

    Cóż, kiedyś gdy miałem stronę na Republice WWW miałem problemy z logowaniem via FTP. Pisałem z supportem z oficjalnego maila, podanego przy rejestracji, podając informacje które mnie identyfikowały. Znałem swoje hasło, ale ci ze wsparcia również się skompromitowali przesyłając je mailem. Czyli nie tylko nie były szyfrowane, ale i łatwo dostępne. Mam nadzieję, że ta "wpadka" została załatana.

    Ponadto na wiele serwisów konta zakładane są na jeden raz, by coś zrobić, przeczytać artykuł czy (w serwisach wymiany plików) podbudować punktami za lipny transfer swoje drugie konto :). Stąd takie popularne 12345678 – prawdopodobnie 8 znaków to było minimum długości hasła.

    1. Awatar mikolajs
      mikolajs

      Używanie ftp nie ma nic wspólnego z bezpieczeństwem, przysyłanie hasła mailem niewiele różni się od logowania do ftp 🙂

      1. Awatar zra
        zra

        Chodzi mi o coś innego – hasła nie tylko leżały nieszyfrowane, ale można było łatwo je podejrzeć.

        1. Awatar mikolajs
          mikolajs

          Do archaicznej technologi są archaiczne metody bezpieczeństwa. Po co wstawiać drzwi z stalowym zbrojeniem jeśli ściany są z dykty? 🙂

      2. Awatar iron_irony
        iron_irony

        Wpisuje się hasło po 5-krotnie zaszyfrowanej linii za kuloodpornymi oknami i ogniotrwałymi drzwiami. Z domu do pracy dojeżdża się czołgiem koniecznie w kamizelce kuloodpornej.

        Przecież inaczej nie jest bezpiecznie 😉

        1. Awatar mikolajs
          mikolajs

          Dlatego powstało sftp. Aby włamać się do ftp wystarczy podglądnąć pakiet z przesyłanym podczas logowania hasłem.

          Po budowie chodzi się w kasku 😉

          1. Awatar iron_irony
            iron_irony

            A można też tunelować po SSH albo po IPSECu.

            Z tym, że jeżeli mówimy ogólnie o FTP (a nie o tym przypadku Republiki), to FTP jest obecnie wykorzystywany do udostępniania danych dostępnych publicznie, więc hasło użytkownika anonimowego raczej nie jest mocno interesujące.

            Nawiązując do metafory – po domu też chodzi się w kasku 😉 ?

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *