Strona używa cookies (ciasteczek). Dowiedz się więcej o celu ich używania i zmianach ustawień. Korzystając ze strony wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.    X

Wyciek haseł na GG - opinie i “fakty”

Jak już zapewne wiecie (chociażby z newsa na DP), wczoraj miał wyciek co poniektórych haseł użytkowników najpopularniejszego w Polsce komunikatora, a mianowicie Gadu-Gadu. Wbrew pierwszym komentarzom, nie był to żaden atak ze strony hakerów, a jedynie sprytnie opracowana metoda słownikowa. Spośród milionów kont GG, sprytni “włamywacze”, wyłonili blisko 10 tysięcy kont, których hasła były nie tyle łatwe do odgadnięcia, co po prostu... debilne.

Bo jak można mówić, że TAKIE hasła są jakimkolwiek zabezpieczeniem?

  • “12345”,
  • “123456”,
  • “111111”,
  • “monika”,
  • “qwerty”,
  • “abc123”,
  • “lukasz”,
  • “myszka”,
  • “paulina”
  • “bartek”

Sam o całej akcji dowiedziałem się z... Wykopu. Ot tak, przeszukując otchłanie Internetu, natknąłem się na informację o tym jakże ciekawym, ale i niemiłym incydencie. To, co mnie również zainteresowało to tradycyjnie już - komentarze Wykopowiczów. W związku z tym, że zaistniała sytuacja budziła dość skrajne emocje, pojawiły się te zarówno prześmiewcze i zabawne, jak i te racjonalne i jak najbardziej poważne.

Ludzie są różni, toteż i podejście do tematu było różne. Spora część internautów, postanowiła porobić sobie “jaja” z biednych (i głupich), użytkowników GG i zrobić im kilka psikusów, w postaci napisania do znajomych z listy pewnych głupot. To znany wszystkim standard - zwykle dość niegroźny, ale sprawiający jakże dużo frajdy. Zresztą powiem szczerze - nie widziałem w tym niczego złego - w końcu posiadacze takich haseł sami sobie na to zasłużyli.

Jednak zdecydowanie bardziej zaskoczyła mnie (jak najbardziej mile) ilość osób, które postanowiła... pomóc nieszczęśnikom, pisząc do osób z ich list znajomych, aby Ci przekazali oryginalnym posiadaczom numerów małą wiadomość dotyczącą zmiany ich prostego hasła.

Dobry uczynek, cel szlachetny, dlaczego nie?

Dlatego postanowiłem, że i ja mogę komuś pomóc w ten jakże skromny sposób i poświęcić chwilkę na tego typu akcję.

Oczywiście całość odbywała się za pomocą WebGadu, a żeby było dość szybko i sprawnie, napisałem krótki i prosty tekst, którym to sprawnie wysyłałem do grona nieznajomych-znajomych za pomocą jakże ślicznego CTRL+C - CTRL+V.

Po jakichś... 20 minutach, zacząłem dostrzegać pewne schematy i podobieństwa. A po blisko 100 próbach zalogowania się na konta użytkowników postanowiłem, że pokuszę się o pewną... Statystykę*. Tak, tak wiem. 10 tysięcy numerów, ja się zapaliłem do tworzenia statystyki biorąc pod uwagę 1% z nich. Dobra... Nie oszukujmy się, to nie jest aż tak ważne, liczy się jednak spostrzegawczość, z całości możemy jednak wyciągnąć jakieś wnioski. Oczywiście nie muszę chyba mówić, co sądzę o tych... ludziach (wszelkiej maści obraźliwe wyrażenia kończące się na -izm same się narzucają :)
A więc, co udało się zauważyć:

Ilość prób logowania / Ilość udanych zalogowań: 150 /100
Konta z zaimportowanymi znajomymi: 40%
Ilość kont bez znajomych/zaimportowanych znajomych: 60%
Skrajna ilość znajomych (obowiązkowa min. 1): 2/235
Średnia ilość znajomych: 65-75

Statystyka ilości haseł

To tak po krótce, w sumie nie chce mi się wytężać mózgu i przypominać sobie, co dokładnie udało mi się zauważyć (dlatego ew. proszę o jakiś pytanko w komentarzu, być może będę umiał odpowiedzieć).

Co jeszcze?

Po pierwsze - reakcje znajomych, którzy dostali wiadomość, o prośbie poinformowania swoich znajomych z list o zmianie hasła. Te były ZUPEŁNIE DZIWNE I RÓŻNE.

Osoby, które po otrzymaniu tej wiadomość dawały się na “niedostępny”, jakby nie chciały mieć z tym nic wspólnego i bały się “hakera”.
Osoby, które twierdziły że... nie znają tego numeru GG, a jeśli się znają to tylko z widzenia, ale ogólnie nie wiedzą, o kogo chodzi.
Znajomi z gier komputerowych. Swoją droga - było ich całkiem sporo, głównie Counter Strike, LOL, OGame i jeszcze coś, niestety skrótu nie pamiętam, ale to bodajże standardowa gra przeglądarkowa). Ogólnie - naprawdę całkiem niezła grupka znajomych-graczy.

Jedna ze śmieszniejszych sytuacji by Wykop:

Były osoby, które całość traktowała jako żart. “Haha”, “Śmieszne”, “lol”, “co to ma być” - standard. Nie oszukujmy się, jak sami byśmy zareagowali na wiadomość, że nasz znajomy ma słabe hasło i KTOŚ prosi cię, o przekazanie wiadomości o jego zmianie dla osoby, z którą właśnie pisze? Zresztą, jak to brzmi :)

Ale były też osoby, które albo znały akcję (z Pastebin albo Wykopu), albo takie, które potraktowały prośbę zupełnie poważnie i podjęły się próby przekazania znajomym tej wiadomości. Napawało mnie to otuchą :D Ogólnie starając się mieć jak największą szansę na powodzenie, tekst wysyłałem minimum 5 osobom z listy, tak aby całość miała jakiś sens.

Po drugie - pewne uwagi. Przeważająca większość długich numerów, była numerami bez znajomych lub wydawała się kontami nieaktywnymi. Ciężko stwierdzić jednoznacznie, być może były to konta w 100% aktywne, ale ich właściciele nie mieli pojęci o funkcji eksportowania friendsów na serwery GG? Nie można tego jednoznacznie stwierdzić.

30% prób zalogowania okazała się nieskuteczna, z powodu złego loginu/hasła. I tu znów - ciężko jednoznacznie stwierdzić czy hasła do nich były złe już przy podaniu informacji o wycieku czy też może ich właściciele dość szybko i sprawnie postanowili je zmienić i zalogowanie okazało się niemożliwe.

Podsumowując

10 tysięcy kont! MASAKRA! 10 tysięcy ludzi bez wyobraźni. Zdaję sobie sprawę, że być może 50-60% z nich, było kontami nieaktywnymi, ale to nadal pozostałe 4-5 tysięcy kont! I w sumie - nie to niepokoi. Bardziej niepokoi fakt, że BYĆ MOŻE te osoby mają identyczne/podobne hasła na wszelkiej maści portalach typu: Allegro, Facebook, konta bankowe i pocztowe itd. TO przeraża najbardziej.

*Proszę o nie branie tych “danych” jakoś nazbyt poważnie. Nie oszukujmy się, nie jestem w stanie stworzyć tego typu cyferek na podstawie przebadanego 1% użytkowników, być może ogólnie byłyby to zupełnie inne wielkości. Ale nie oszukujmy się - tego typu akcje uświadamiają nas tylko, jak ludzie bezmyślnie podchodzą do spraw zagrożeń internetowych...

 

oprogramowanie internet bezpieczeństwo

Komentarze

0 nowych
Ave5   8 #1 25.01.2012 19:23

Słusznie postąpiłeś :)

Frankfurterium   9 #2 25.01.2012 23:25

Czerpanie wiedzy z Wykopu, a potem wyśmiewanie ludzi, brawo...

'Odkrycia' ani nie dokonali anonimowi, ani nie pochodzi z wczoraj. Radzę douczyć się na jakimś portalu poświęconemu bezpieczeństwu

DawidDS4   5 #3 25.01.2012 23:31

Zabawna sytuacja, dobry wpis.

wszerad   5 #4 25.01.2012 23:40

Żaden wyciek i na Wykopie też o tym pisali, zwyczajnie popularne hasła i jazda po bazie numerów.

freeq52   8 #5 25.01.2012 23:52

@Frankfurterium

"Czerpanie wiedzy z Wykopu, a potem wyśmiewanie ludzi, brawo..."

W którym miejscu - przepraszam bardzo - jest napisane, że czerpię swoją wiedzę z Wykopu? Na wykopie pojawiła się tylko taka informacja. Równie dobrze mogły być to DP, bo tu też taka informacja się pojawiła tylko że później, więc?

"'Odkrycia' ani nie dokonali anonimowi, ani nie pochodzi z wczoraj."

Z tego co widzę, zmieniło się formatowanie, prawdopodobnie po wejściu wpisu na główną, przez co nagłówek wlazł w pierwszy akapit i można odnieść mylne stwierdzenie iż twierdzę, że to Anonymous. Za chwilę to zmienię.

"Radzę douczyć się na jakimś portalu poświęconemu bezpieczeństwu"

Nie jestem "specem" od bezpieczeństwa, a to jest BLOG. I dziękuję za Twoje uwagi, wezmę je pod uwagę.

@wszerad

"Żaden wyciek i na Wykopie też o tym pisali, zwyczajnie popularne hasła i jazda po bazie numerów."

Napisane jest wyraźnie - metoda słownikowa, nawet odnośnik dałem...

Shaki81 MODERATOR BLOGA  37 #6 25.01.2012 23:56

A cała sprawa z tymi hasłami wyszła gdzieś w połowie grudnia, a ci wspaniali hackerzy przypisują sobie ludzką głupotę. Szkoda słów

januszek   18 #7 26.01.2012 06:53

Moim zdaniem to nie jest problem ludzkiej głupoty tylko mechanizm logowania się do GG jest ułomny. Powinni oddzielić od siebie adres w systemie (czyli numerek GG) od loginu i dodać pin.

dmag   7 #8 26.01.2012 12:16

Zgadzam się z tym, że ludzie zabezpieczający swoje konta takimi hasłami postąpili zwyczajnie głupio. Motywy mogą być różne: niewiedza, słaba pamięć do haseł, traktowanie konta GG jako nic ważnego, żeby wysilić się na porządne hasło. Czy to jednak usprawiedliwia zabawę cudzym kosztem poprzez pisanie głupot do znajomych z listy? Czy przechodząc obok samochodu z lekko odchyloną szybą będziesz wrzucał tam jakieś śmieci, żeby dać nauczkę właścicielowi?

Banan   10 #9 26.01.2012 15:44

Nom. Jak są numerki to jest pole do popisu jakby były loginy to już nie było by to takie proste.

freeq52   8 #10 26.01.2012 16:31

@Shaki81

Ale wtedy nie podawano żadnych numerów i haseł? Chyba, że mówimy o czymś innym...

@dmag

Nie to miałem na myśli. Zdaję sobie sprawę, że wyraziłem się dość niefortunnie, bo tak jak wszędzie - śmieszne, może okazje się i tragicznie. Raczej chodziło mi o jakiś dowcip, żart, głupi acz nieszkodliwy tekst. Osobiście mam nadzieję, że nikt nie przedawkował z tego typu rzeczami...

@januszek/banan

Oczywiście, że tak. Numer jest tylko numerem, jest przydzielany automatycznie. Login i hasło wymyślilibyśmy sami i nawet jeśli byłyby równie proste, to jednak tego typu akcji raczej by nie było. GG jest niestety winne tego typu rzeczy na równi z właścicielami numerów.

  #11 26.01.2012 17:09

Bez jaj ale też miałem hasło 123456... Nie znalazłem jednak swojego numeru wśród tych udostępnionych... GG zakładałem gdy podłączyli mi internet i szczerze nie obchodziło mnie później czy hasło jest bezpieczne czy nie... dopiero teraz po tym wpisie na DP coś mnie tchnęło - jaki ja jestem nieodpowiedzialny ...

karololszak   5 #12 31.01.2012 17:01

"Ilość kont bez znajomych/zaimportowanych znajomych: 60%"

Konto z banalnym hasłem i bez znajomych? Mi wygląda na bota do rozsyłania spamu ;)

"Przeważająca większość długich numerów, była numerami bez znajomych lub wydawała się kontami nieaktywnymi. Ciężko stwierdzić jednoznacznie, być może były to konta w 100% aktywne, ale ich właściciele nie mieli pojęci o funkcji eksportowania friendsów na serwery GG? Nie można tego jednoznacznie stwierdzić."

Jak długich numerów? Te powyżej 16 mln da się zarejestrować i z nich korzystać tylko w nowszych wersjach GG bądź alternatywnych komunikatorach, a one automatycznie eksportują listę na serwer.

"30% prób zalogowania okazała się nieskuteczna, z powodu złego loginu/hasła. I tu znów - ciężko jednoznacznie stwierdzić czy hasła do nich były złe już przy podaniu informacji o wycieku czy też może ich właściciele dość szybko i sprawnie postanowili je zmienić i zalogowanie okazało się niemożliwe."

Hasła mogły zostać zmienione również przez osoby które uzyskały dostęp do tej bazy danych ;) Tak "dla jaj", zamiast pisać do osób z listy...

  #13 27.02.2016 16:03

A autor wpisu wie, że złamał prawo logując się na cudze konta? I nie ważne, że hasła były niejako publicznie dostępne. Sąd potraktował by to tak jak by ktoś znalazł klucz do cudzego mieszkania, wszedł tam otwierając tymi kluczami drzwi i przestawił meble.

  #14 28.02.2016 15:46

@komentator123456 (niezalogowany): No właśnie to nie działa tak samo jak prawo do wchodzenia komuś do mieszkania. Np. na fejsie ktoś opublicznia dane do logowania czyjeś i spora część osób wchodzi chociażby z ciekawości. I co wszyscy są przestępcami?