Хакеры опубликовали базу с личными данными 180 тысяч пользователей биржи FL.ru

Хакеры опубликовали базу с личными данными 180 тысяч пользователей биржи FL.ru

Неизвестный хакер взломал аккаунты администраторов биржи Free-lance.ru и опубликовал от их имени базу с персональными данными 180 тысяч пользователей сервиса. В открытый доступ попали имена, электронные адреса и телефонные номера.

По неподтверждённым данным, пароли к учётным записям администраторов были получены методом перебора. От имени продакт-менеджера сервиса Максима Россошанского была размещена запись, посвящённая взлому (удалена на момент написания этого материала). Развёрнутый скриншот с комментариями пользователей доступен по ссылке (тынс ).

​

Список подверженных взлому аккаунтов есть в распоряжении редакции ЦП, также он расположен на одном из файлообменников. В файле указаны имена пользователей, их электронные адреса и номера телефонов. Пароли, к которым также получил доступ взломщик, находятся в зашифрованном виде.

ЦП обратился за комментарием к гендиректору FL.ru Владимиру Тарханову, который пояснил, что с точки зрения безопасности наличие такой базы угрозы не несёт, так как для получения доступа к паролю пользователя злоумышленнику пришлось бы взламывать его почтовый ящик или пытаться получить дубликат SIM-карты. Информация, опубликованная взломщиком, и ранее находилась в открытом доступе, так как многие пользователи сами размещают свои контактные данные для общения с заказчиками или фрилансерами, пояснил он.

По словам Тарханова, администрация сервиса проводит внутреннее расследования причин и последствий взлома.

24.02.2015
Источник © ЦП​

 

Пароли то так и не слили...*печаль*.

 

пароли шифрованные.

 

Ага, а еще с солью ...и ???
Где же хотя бы хеши???

 

Возможно и есть у этого хакера.

В базе только имя, мыло и телефон.

ps. Либо база не полная, либо хрен знает что это такое, но себя я там не нашел.
Даже не знаю, радоваться или печалиться...

 

И у хакера тоже нет.
Слили базу которая динамически подключалась к существующей, в ней записи логин пароль мыло телефон, как заметили выше.
Имел место небольшой дефейс, не более.
И более того, судя по комментам на ЦП много телефонов от балды было указано - даже для спама они не пойдут.

 

Да и спарсить это все может не сейчас, но ранее как помню не особо сложно..

Трудно класифицировать это как утечку, в свое время я тупо набрутил половину этого кол-во

P.s. Kastin, у меня оказаться больше шансов) поискать?

 

Кстати, вот сама база, залил на Sendspace.
На здоровье

 

fl как был так и остался, пароли ужс...
один круг прогнал, +1590 acc's. По Топ-10 паролям выйдет где-то 6к-8к...



Нумы кстате более-менее. Протестил их в роли $pwd$ на первых 500, ~4-5 гудов

 

а что с акками можно сделать? деньги вроде вывести нельзя, только на услуги потратить,
если акк фрилансера наверное можно кого нибудь кидануть?
п.с. я так чисто ради любопытства интересуюсь, в исследовательских целях

 

зачем же кидать кого-то нужно использовать их ум в целях благостных.

 

Все может быть... Я этими вещами не занимаюсь, не смотря на предоставляемый мною сервис, и накопившихся с пол десятка КК+ всевозможных учеток от более чем 1000 веб ресурсов... То что выше - проводилось лишь для статистики, ну и некого рода proof БД'хи (соответствия с реальными данными).

А логика - это без совестно и скучно.
Куда уж интереснее повоевать с 2fa, с десятком токенов на авторизации, с динамичной капчей и тд и тп. Исповедовать time attack попутно, вести стату, по тайм, да и вообще по частым паролям. Ну вообщем, долго, упорно, все анализируя уже приходит прояснение, что брутфорс совсем не то что кажеться большинству(а то и всем 95%), в умелых руках за 30 минут 40-50% зареганных на сервисе "отдаются" в типичных случиях... Но не забывать давать отчет своим действиям, искать оригинальные варианты защит приложений, и развиваться дальше, творить то чего не видало "Око" человека. Простор для этого неизмерим

 

40% акков можно взломать брутом? нереально, если только на сервисе нету бага на безлимитное количество попыток или что то вроде того, достаточно взять базу какую нибудь и посмотреть что там за пароли, могут быть исключения типо говно форумов на которых люди к примеры с поисковиков приходят и регаются на 1 раз, чтобы стали доступны ссылки, там поверю можно на пароли вроде 123456 и вариации логина 40% сбрутить

 

Тоже интересует. Что можно с аккаунтами сделать?

 

как что, хакерам, похоже не понравилось, что только определеннные люди могут зарабтывать деньги в инттернете,а простые гражданские нет, почти нет..вот и слили всю базу, чтобы все в паблик ушло..что бы страна знала своих героев.

 

У кого-нибудь осталась база? Ссылка на sendspace в середине топика битая.

 

http://rghost.ru/8YNRCYr6v