База логинов и паролей

Особенности

Несмотря на то, что функции pastebin фактически сводятся к быстрому размещению блока текста в интернет и не более того, существует ряд особенностей, которые могут сделать работу с приложением комфортной или наоборот.

  • Поддержка кириллицы. Ранние реализации заменяли все символы кириллицы SGML-сущностями, фактически делая код непригодным для копирования обратно в редактор. В настоящее время ситуация улучшилась, хотя Unicode используют далеко не все реализации.
  • Возможность редактирования. Часто поставленную проблему можно решить малой правкой одной-двух строк кода, в этом случае возможность отредактировать текст без перехода на другие страницы весьма удобна.
  • Функция показа различий между версиями (diff).
  • . Многие сервисы озабочены спамом, и поэтому не принимают текст без ввода проверочного кода.
  • Обязательные поля и подтверждение отправки. Фактически, требуемые поля — фрагмент кода и режим подсветки синтаксиса, во всех остальных полях должны использоваться разумные умолчания.
  • Удобный и практичный интерфейс, не перегруженный лишней информацией, без назойливой рекламы. С большим многострочным полем ввода. В частности, клавиша Tab используется программистами для создания отступов в коде, однако в HTML формах Tab переключает фокус между полями.

> Примечания

  1. Фактически, автоматическая отправка в данном случае желательна, для интеграции в редактор кода

> Ссылки

  • Pastebin.com Оригинальный pastebin.
  • Pastebin.ca Альтернативная реализация.
  • Pastebin.ru Русская альтернатива.

Хакеры слили миллиарды логинов и паролей. Это крупнейшая утечка данных

На хакерских форумах и торрент-трекерах бесплатно распространяется база данных, содержащая беспрецедентное количество пользовательских логинов и паролей от различных сайтов и сервисов. В прежние годы гораздо меньшие коллекции держались хакерами в глубочайшем секрете или продавались в даркнете за тысячи долларов.
Ранее в этом месяце ИБ-специалист Трой Хант обнаружил неизвестно кем собранную базу Collection #1 почти с 773 миллионами пар логинов и паролей. Новая база называется Collections #2–5, она весит 845 гигабайт и содержит 25 миллиардов записей. За вычетом дубликатов в ней остаётся 2,2 миллиарда записей, что в три раза больше, чем в предыдущей утечке. Многие из них впервые оказались в публичном доступе.
Большая часть данных, содержащихся в Collections #2–5, была скомпилирована из предыдущих утечек, например, тех, что допустили Yahoo, Dropbox и «ВКонтакте». Издание Wired проверило несколько аккаунтов и смогло подтвердить, что украденные пароли подошли к ним.

Эксперты полагают, что кто-то приобрёл несколько хакерских баз, скомпилировал их в общую коллекцию и выложил в открытый доступ для того, чтобы обесценить «утечки», которыми торгуют другие хакеры. В пользу этого предположения говорит тот факт, что файлам прилагается текстовый документ, в котором указана просьба раздавать их на торрентах как можно дольше. Также существует теория, что хакер, накопивший этот объём данных, торговал украденным паролями и логинами долгое время и прилично заработал на этом, а сейчас большая часть личной информации устарела и потеряла практическую ценность, то есть стоит настолько дёшево, что её можно отдать бесплатно.
Некоторые хакеры не покупают данные по пользовательских аккаунтах, а обменивают их на собственные коллекции. Столь масштабная утечка положит конец такому обмену, поскольку не засвеченных в сети аккаунтов стало немного меньше.
Проверить, выложены ли в открытый доступ ваши логины и пароли от сервисов, допустивших утечку, можно на сайте Hasso Plattner Institute или HaveIBeenPwned. Если вы использовали один и тот же пароль в разных местах, имеет смысл заменить его и везде установить уникальные пароли.

Рекомендуем почитать:

Xakep #242. Фаззинг

  • Подписка на «Хакер»

Великолепную техническую работу сделали разработчики нового сервиса ZeroBin. В условиях усиления цезуры на Pastebin, который начал удалять хакерские сообщения и конфиденциальные данные со своего сервера, они поставили целью сделать минималистический open source проект, аналогичный Pastebin, но с защитой опубликованной информации.

Гениальность ZeroBin заключается в том, что сервер, публикующий документы, не имеет никакого представления об их содержании. Шифрование документов осуществляется в браузере перед публикацией, а ключом для расшифровки является часть URI документа, точнее, fragment URI — ссылка на определённый фрагмент документа. Так вот, этот Fragment URI не передаётся серверу, то есть сервер не может расшифровать сообщение и проанализировать его содержание в автоматическом режиме.

На практике это выглядит так. Вставляем текст в веб-форму, нажимаем кнопку Send — и на этом этапе браузер выполняет шифрование сообщения ключом AES 256 бит, после чего отправляет документ на сервер.

URI документа состоит из двух частей, первая из которых известна серверу и указывает на сообщение. А вторая часть не передаётся на сервер, зато осуществляет расшифровку документа.

Для примера, вот URI документа: http://sebsauvage.net/paste/?7347c875ee96102b#jXqFHKMNN+rtrSH3N2WON8K3tCivfkoKM6Scp7kww50=. Здесь первая часть 7347c875ee96102b приходит с сервера, а вторая часть jXqFHKMNN+rtrSH3N2WON8K3tCivfkoKM6Scp7kww50= используется для дешифровки.

Такая схема гарантирует, что в случае изъятия серверов злоумышленник не получит доступа к публикации. Контент не виден со стороны и не индексируется поисковиками, если только не публиковать ключ дешифровки в открытом доступе, как это мы только что сделали для вышеупомянутого документа.

Как уже упоминалось, код системы открыт и её можно установить на любом сайте.