Хакеры опубликовали базу с личными данными 180 тысяч пользователей биржи FL.ru

Неизвестный хакер взломал аккаунты администраторов биржи Free-lance.ru и опубликовал от их имени базу с персональными данными 180 тысяч пользователей сервиса. В открытый доступ попали имена, электронные адреса и телефонные номера.

По неподтверждённым данным, пароли к учётным записям администраторов были получены методом перебора. От имени продакт-менеджера сервиса Максима Россошанского была размещена запись, посвящённая взлому (удалена на момент написания этого материала). Развёрнутый скриншот с комментариями пользователей доступен по ссылке (тынс ).


Список подверженных взлому аккаунтов есть в распоряжении редакции ЦП, также он расположен на одном из файлообменников. В файле указаны имена пользователей, их электронные адреса и номера телефонов. Пароли, к которым также получил доступ взломщик, находятся в зашифрованном виде.

ЦП обратился за комментарием к гендиректору FL.ru Владимиру Тарханову, который пояснил, что с точки зрения безопасности наличие такой базы угрозы не несёт, так как для получения доступа к паролю пользователя злоумышленнику пришлось бы взламывать его почтовый ящик или пытаться получить дубликат SIM-карты. Информация, опубликованная взломщиком, и ранее находилась в открытом доступе, так как многие пользователи сами размещают свои контактные данные для общения с заказчиками или фрилансерами, пояснил он.

По словам Тарханова, администрация сервиса проводит внутреннее расследования причин и последствий взлома.

Пароли то так и не слили...*печаль*.

пароли шифрованные.

Ага, а еще с солью ...и ???

Где же хотя бы хеши???

Возможно и есть у этого хакера.

В базе только имя, мыло и телефон.

ps. Либо база не полная, либо хрен знает что это такое, но себя я там не нашел.

Даже не знаю, радоваться или печалиться...

И у хакера тоже нет.

Слили базу которая динамически подключалась к существующей, в ней записи логин пароль мыло телефон, как заметили выше.

Имел место небольшой дефейс, не более.

И более того, судя по комментам на ЦП много телефонов от балды было указано - даже для спама они не пойдут.

Да и спарсить это все может не сейчас, но ранее как помню не особо сложно..

Трудно класифицировать это как утечку, в свое время я тупо набрутил половину этого кол-во

P.s. Kastin, у меня оказаться больше шансов) поискать?

Кстати, вот сама база, залил на Sendspace.

На здоровье

fl как был так и остался, пароли ужс...

один круг прогнал, +1590 acc's. По Топ-10 паролям выйдет где-то 6к-8к...

http://i.imgur.com/Fd83FPq.png

Нумы кстате более-менее. Протестил их в роли $pwd$ на первых 500, ~4-5 гудов

а что с акками можно сделать? деньги вроде вывести нельзя, только на услуги потратить,

если акк фрилансера наверное можно кого нибудь кидануть?

п.с. я так чисто ради любопытства интересуюсь, в исследовательских целях

зачем же кидать кого-то нужно использовать их ум в целях благостных.

Все может быть... Я этими вещами не занимаюсь, не смотря на предоставляемый мною сервис, и накопившихся с пол десятка КК+ всевозможных учеток от более чем 1000 веб ресурсов... То что выше - проводилось лишь для статистики, ну и некого рода proof БД'хи (соответствия с реальными данными).

А логика - это без совестно и скучно.

Куда уж интереснее повоевать с 2fa, с десятком токенов на авторизации, с динамичной капчей и тд и тп. Исповедовать time attack попутно, вести стату, по тайм, да и вообще по частым паролям. Ну вообщем, долго, упорно, все анализируя уже приходит прояснение, что брутфорс совсем не то что кажеться большинству(а то и всем 95%), в умелых руках за 30 минут 40-50% зареганных на сервисе "отдаются" в типичных случиях... Но не забывать давать отчет своим действиям, искать оригинальные варианты защит приложений, и развиваться дальше, творить то чего не видало "Око" человека. Простор для этого неизмерим

40% акков можно взломать брутом? нереально, если только на сервисе нету бага на безлимитное количество попыток или что то вроде того, достаточно взять базу какую нибудь и посмотреть что там за пароли, могут быть исключения типо говно форумов на которых люди к примеры с поисковиков приходят и регаются на 1 раз, чтобы стали доступны ссылки, там поверю можно на пароли вроде 123456 и вариации логина 40% сбрутить

Тоже интересует. Что можно с аккаунтами сделать?

как что, хакерам, похоже не понравилось, что только определеннные люди могут зарабтывать деньги в инттернете,а простые гражданские нет, почти нет..вот и слили всю базу, чтобы все в паблик ушло..что бы страна знала своих героев.

У кого-нибудь осталась база? Ссылка на sendspace в середине топика битая.