Что значит пароль был скомпрометирован в контакте
что значит Ваш пароль был скомпрометирован
Скомпрометированы данные десятков тысяч пользователей «ВКонтакте»
Александр Гостев
опубликовано 30 июл 2009, 18:27 MSK
Сюжеты: Утечки конфиденциальной информации, Социальные сети
Информация была опубликована на одном из хакерских сайтов.
Наши эксперты проанализировали эти данные и подтверждают факт компрометации.
Согласно нашей информации инцидент выглядит следующим образом:
Сайт, указанный в сообщении (83.133.120.252), известен «Лаборатории Касперского» как фишинговый и блокируется при попытке обращения к нему персональными продуктами.
После установки в систему данный троянец подменял файл hosts на следующий:
83.133.120.252 vkontakte.ru
83.133.120.252 odnoklassniki.ru
Потом, когда пользователь пытался открыть сайт одной из этих социальных сетей, то его перенаправляли на фишинговую страницу, в которой надо было залогиниться.
Логин и пароль уходили в базы на том же сайте 83.133.120.252. В настоящий момент база «Одноклассников» пуста, поэтому говорить о компрометации данных пользователей и этой социальной сети — пока рано.
После того, как пользователь логинился на поддельной странице, происходил редирект сначала на новую страницу. На данной странице имеется следующий текст:
Ваш аккаунт опознан системой как потенциально опасный.
С вашего IP-адресса ведётся Спам-рассылка.
Аккаунт признан фейком, созданным злоумышленниками для Спам-рассылок, и будет удалён через 24 часа после прочтения данного уведомления, в случае отказа от подтверждения аккаунта.
Если аккаунт настоящий, его необходимо подтвердить.
Стоимость смс соответствует стоимости по вашему тарифному плану.
[ссылка заблокирована по решению администрации проекта]
8 советов для тех, у кого учетные записи оказались скомпрометированы
Мошенничество, фишинг, взлом электронной почты, опустошение банковского счета, сетевое вымогательство может случиться с каждым
Я провел множество семинаров по безопасности для разных организаций, и самый задаваемый мне вопрос: «Как восстановить скомпрометированные учетные записи, которые используются дома?».
Мне позвонил клиент и сказал, что домашний компьютер одного из сотрудников был скомпрометирован, и тот не знает, как поступить в этой ситуации. Мне захотелось помочь. Конечно, в интернете уже написано множество статей, которые я мог бы отправить по почте. Однако материалов, удовлетворяющих всем требованиям – чрезвычайно мало. Либо статьи очень детальные для обычного пользователя, либо упущена суть. Поэтому и был написан этот пост.
Мошенничество, фишинг, взлом электронной почты, опустошение банковского счета, сетевое вымогательство может случиться с каждым. Особо неприятные эмоции возникают при потере денег. Однако ключевой момент – не следует паниковать. А затем предпринять шаги не только для восстановления учетных записей, но и предотвращения ситуаций подобного рода в будущем.
Насколько все плохо?
Сначала нужно оценить сложившуюся ситуацию. Что на самом деле вызвало ваши подозрения о компрометировании?
Друг получил письмо от вашего имени? Был ли взломан один из аккаунтов в социальной сети или электронная почта?
Безусловно эти инциденты являются самыми распространенными и требуют незамедлительных действий.
Менее распространенное явление – компрометирование компьютера. Иногда достаточно посетить веб-сайт, чтобы на компьютере оказался вредонос. Это ваш случай?
… или вы впервые узнали об отклоненном платеже, поскольку ваш банковский счет опустел или оплата ушла не по назначению?
Как все происходит?
В основном компрометирование происходит после кражи учетных записей (credential stuffing). Используете ли вы одинаковые пароли на разных аккаунтах? Хакеры взламывают сайты, получают пароль и адрес электронной почты, а затем тут же проверяют, подходит ли тот же пароль к вашей электронной почте.
Получение спама нельзя отнести к компрометированию. Может надоедать, но существенного влияния не окажет. В самом начале оптимально посмотреть на всех учетных записях время последнего входа и понять, авторизацию проходили вы или кто-то другой.
Однако отследить время последнего входа не всегда удается. Некоторые сервисы оповещают по электронной почте, если авторизация произошла из другого места, а не откуда вы логинитесь обычно. В общем, проверьте электронную почту – при условии, что этот аккаунт не был скомпрометирован.
Хотя этот способ навряд ли поможет, но все же попробуйте воспользоваться прекрасным сайтом https://haveibeenpwned.com и проверьте, стали ли уже жертвой компрометирования. Если ответ положительный, поменяйте пароль на скомпрометированном сайте и в других местах, где используется тот же самый пароль.
В некоторых случаях нужно задействовать правоохранительные органы. Одним из таких инцидентов может стать обман, связанный с push-оплатой, когда вы неосознанно и невольно отправляете деньги незнакомому лицу. Особенно если речь идет о крупных суммах.
Следующие восемь шагов помогут вам решить все возникшие проблемы, связанные со взломом и компрометированием учетных записей.
1. Свяжитесь со службой поддержки
Во-первых, свяжитесь со службой поддержки того сервиса, где произошел взлом. Например, в случае с Фейсбуком есть соответствующая страница. У больших сетевых сервисов не всегда есть телефон, но всегда есть инструменты для восстановления доступа к учетной записи (например, форма обратной связи).
2. Проверьте страховку
Возможно, следует проверить покрытие домашней страховки, поскольку некоторые страховые компании возмещают потери от кибермошенничества.
3. Проинформируйте банк / кредитную организацию
Если у вас украли деньги с банковского счета или кредитной карты, сразу же позвоните в компанию, чтобы предпринять дополнительные меры безопасности и возможно вернуть деньги. Более того, следует позвонить вообще во все финансовые учреждения, где у вас есть учетные записи в случае, если вы не уверены на 100%, что не использовали одни и те же аккаунты в разных сервисах.
Следующий шаг – изменение пароля в скомпрометированном сервисе и в других службах, где использовался та же самая учетная запись и пароль.
Пароли должны быть уникальными для каждого сайта, чтобы не стать жертвой атак credential stuffing. К тому же, нелишним будет сделать ревизию паролей в других важных сервисах: почте, социальных сетях, интернет-магазинах, Apple ID/GoogleID, телефонной компании и так далее. Даже если компрометирования не было.
5. Начните использовать менеджер паролей
Управление паролями от всех сервисов вручную – очень трудно или даже невозможно, поскольку все пароли должны быть длинными и уникальными.
Менеджер паролей значительно упрощает жизнь и повышает вашу безопасность. Настоятельно рекомендуем начать пользоваться приложениями подобного рода.
KeePass – бесплатен, у LastPass – есть бесплатный тариф, за 1Password и Dashlane придется заплатить, чтобы воспользоваться всеми необходимыми функциями.
У каждого приложения есть свои плюсы и минусы, но лучше воспользоваться одним из вышеуказанных, чтобы не заниматься само саботажем.
Не исключено, что возмещение потерь по страховке от киберпреступлений станет нормой, но только при условии, если вы предпринимаете все необходимые меры для своей безопасности.
6. Настройте двухфакторную аутентификацию
После смены паролей в тех же сервисах, где возможно, настройте двухфакторную аутентификацию. Как минимум в почтовом сервисе, AppleID/GoogleID и других местах, где указана личная или финансовая информация.
На сайте https://twofactorauth.org/ есть огромная база, где указано, какие есть возможности для безопасной аутентификации, а также приведены ссылки на статьи по настройке. Найдите сайт, который вам нужен, и в случае наличия в базе будет выдана ссылка на соответствующая статью. Обычно есть несколько видов аутентификации. Старайтесь избегать SMS, поскольку этот метод не очень надежен. Но, конечно же, аутентификация по SMS все же лучше обычного пароля.
7. Используйте антивирус и устанавливайте обновления
На домашнем компьютере пользуйтесь службой обновления и убедитесь, что установлена самая последняя версия операционной системы со всеми патчами. Установите и/или обновите антивирус (включая используемый на Mac’е). Пользуйтесь продукцией проверенных и хорошо известных компаний Kaspersky/Symantec/Sophos//McAfee/FSecure и так далее.
Также следует обновить все уже установленные приложения, как, например, Adobe Reader или Java от компании Oracle. Если вы пользуйтесь множеством программ, обновление может отнимать время, но обновляться – критически важно. Кроме того, есть утилиты, облегчающие управление обновлениями и патчами.
Например, «Patch my PC Updater» бесплатен для обычных пользователей, а «Ninite updater» стоит 9.99 долларов в год.
Стоит также проверить антивирус на предмет встроенного инструмента обновления.
8. Настройте службы мониторинга кредитной информации
Предотвращение повторного компрометирования
Помимо менеджера паролей и двухфакторной аутентификации, рассмотренных выше, подумайте об установке браузерных расширений.
Реклама надоедает, но что более важно – является одним из каналов по установке вредоносов. Предотвратить проблему заранее можно при помощи установки блокировщиков рекламы, которые, к тому же, бесплатны. Поэтому причины не устанавливать отсутствуют.
Вы даже можете подумать о настройке PiHole в Raspberry PI или других поддерживаемых платформах, однако нужно быть более продвинутым в техническом плане. С другой стороны, после корректной установки вы сможете блокировать рекламу во всей сети, включая телефон и другие используемые устройства.
Убедитесь, что на телефоне установлены последние обновления при помощи встроенной функции. На телефонах, как и на стационарных компьютерах, есть уязвимости, которые исправляются при помощи патчей. КАЖДОЕ обновление исправляет бреши. Даже если выглядит как добавление «темного режима» или «адаптивной подсветки», но под капотом находится множество исправлений.
В новых версия Android новые функции появляются редко, и, если вы используете телефон или планшет с этой операционной системой, установите антивирус от известной компании. Возможно, у вас даже возможность установить бесплатную мобильную версию в случае покупки антивируса на настольный компьютер. К сожалению, для iOS антивирус не доступен.
Еще одна мера для повышения безопасности телефона – установить сильный пасскод. Даже если вы используете биометрию для разблокировки, будет запасной пароль, желательно размером 4 или 6 цифр.
Преимущества биометрии позволяют установить более сильный пароль, поскольку вводить этот пароль вы будете редко. Используйте в качестве пина длинное число или еще лучше буквенно-цифровое слово.
Наконец, нужно учитывать, что вы все еще находитесь в списке потенциальных целей, и с высокой степенью вероятности атаки могут повториться, например, через спам или звонки по телефону. Соответственно, нужно быть начеку.
Старайтесь быть как можно более осведомленным по вопросам безопасности. Вам может приходить спам с целью компрометирования учетных записей, могут звонить мошенники, или кто-то может попытаться взломать ваши учетные записи в популярных сетевых сервисах.
Доверяй, но проверяй
Придерживайтесь простого принципа: «Доверяй, но проверяй». Например, если некто звонит вам по телефону, представляется сотрудником Microsoft или другой известной компании и сообщает об обнаружении вируса на компьютере, не думайте в духе «ну, наверное, я был взломан, поэтому мне говорят правду».
Ваш ответ должен быть примерно следующим: «Спасибо за информацию. Я проконсультируюсь со знакомым специалистом». Затем повесьте трубку и обратитесь к приятелю или в какую-либо местную компанию за помощью. При получении фишинговых ссылок вместо кликов по ссылкам, откройте браузер и зайдите на сайт на прямую. Если сайт подлинный, вы сразу поймете, что нужно делать.
Хочу пожелать вам всего самого наилучшего. Непонимание того, что было и не было взломано – один из самых трудных этапов. Следуйте советам, указанным выше, и вы сможете решить свои проблемы и двигаться дальше.
Что значит ваш пароль был скомпрометирован, при смене и входе на сайт?
ваш пароль был скомпрометирован mail
ваш пароль был скомпрометирован вконтакте
доступ к ящику ограничен поскольку ваш пароль был скомпрометирован
что значит пароль был скомпрометирован вконтакте
пароль скомпрометирован что делать
как понять скомпрометирован
введенный вами пароль был ранее скомпрометирован пожалуйста укажите другой пароль
Притом не только на этом сайте а на всех других также где вы его вносили в качестве своего пароля.
Всё потому что данная комбинация вашего пароля уже числится в хакерских базах созданных для взлома или даже когда то уже использовалась.
Пароль, который вы указали при смене или при входе на сайт, был обнаружен в общедоступных хакерских базах. Многие сайты проверяют пароли пользователей по базам скомпрометированных паролей и не дают возможности использовать их во избежание взлома вашей учётной записи.
Взломали значит пароль.
Но у меня была иная ситуация, заходил на один и тот же сайт, но с разных компьютеров в итоге системе показалось что мой пароль взломан и выскочило предупреждение о том что пароль пора менять.
Если есть возможность привяжите пароль к номеру телефона.
Ваш пароль был не тяжелый и его смогли подобрать чтобы зайти на сайт, почту, инстаграм и тп. Ничего страшного в уведомления о скомпрометированност и нет (для бв), просто вам его нужно теперь будет новый придумать для входа. Старым пользоваться вам система уже не даст (для бв). У меня неоднократно было такое вк когда страницу вламывали и на майл.ру. Ничего сложно нет чтобы придумать новый пароль (бв) и подтвердить его в системе. Обычно нужно сложный придумывать и чтобы были не только буквы, но и пару цифр, а так же первая буква заглавная. Бывает что система сама предлагает не простой пароль, можно им воспользоваться.
С такой ситуацией приходилось пару раз сталкиваться и мне, когда в сети появилась база пользователей и данные от аккаунтов, наткнулся я там и на свой, но просто у меня для защиты были привязаны некоторые дополнительные аккаунты к данному, поэтому просто поменял пароль без проблем и все.
В другой раз это уже было немного иначе, возможно из-за того, что на некоторых сайтах, куда я не планировал возвращаться в дальнейшем, ставил несложные пароли, а на один из них вернуться все-таки потребовалось, поэтому тоже пришлось пароль менять на более сложный
у меня на пикабу стал выскакивать прямоугольник с сообщением о скомпрометированност и моего пароля.И теперь не получается там писать коменты и ставить минусы,плюсы.Они написали,что отправили соотв.письмо мне на мою эл.почту,зашла посмотреть,а там нет ихнего письма.Почему так?
Скомпрометированный пароль использовать невозможно. Это значит, он либо слишком доступный ввиду своей простоты либо имеются подозрения на попытку хакерского взлома вашего входа по паролю.
Есть вариант и вовсе неприятный- по итогам проверки ваш тайный код для входа на сайт оказался в руках хакеров в их базе данных. БВ. https://text.ru/anti plagiat/5b7b70026e23a
У меня муж по идеи должен знать. Но или забывает ( что более вероятно) или делает вид, что забыл. У него не было электронного ящика. Завести свой мужу было очень лень. Стал пользоваться моим. И почему-то сам ящик помнит, а пароль постоянно у меня спрашивает. Хотя проще простого запомнить- день рождения моего племянника.
Еще он почему-то не может переводить деньги со своей карты на мою. Ему проще взять у меня мою карту и через банкомат внести деньги. Но перед тем как взять у меня карту, нужно меня пытать на предмет написания бумажки с кодом карты. Код четыре цифры, и да, опять день рождение ну очень близкого родственника.
Если честно, после многих лет брака, не понимаю я этих «личных границ». Партнеры под одним одеялом спят, одним воздухом дышат, и простите одним унитазом пользуются. Есть что скрывать? Что это тогда за совместная жизнь?
Меня всегда изумляли подружки, у которых пароль на телефоне стоит. Я спокойно веду переписку с бывшим. Знаю, что муж не будет копаться в моем телефоне и выяснять, а кому именно я пишу. Мне скрывать абсолютно нечего. Его телефон я беру совершенно спокойно. И не для того, чтобы в содержимом копаться. Хотя там тоже ничего криминального нет, я уверена. Если бы хотел что-то скрыть, то сделал бы это по другому.
Тут всю зависит от того, кто делал сайт и с какой целью.
По идее, пароли должны храниться в захешированном виде и тогда даже администратор не сможет их узнать.
Однако, есть вариант, что сайт писал ленивый или криворукий человек, а посему пароли хранятся в своём первозданном виде и админ сможет их просмотреть.
Завести свою, и дело с концом. Ну или договориться с соседями о долевой оплате интернета, тогда они дадут вам свой пароль.
Блог Михаила Калошина
I’m not a Hacker, I’m a «Security Consultant».
ADS 468×60
Pages
2011-11-09
Компрометация пароля
“Если вы скомпрометировали пароль, необходимо незамедлительно его изменить.”
К нашей системе мониторинга, подключен AD, все события происходящие на сервере, передаются на соответствующий модуль для обработки.
Модуль, поступающие событие парсит и обрабатывает согласно заданных параметров (правил). На любой параметр в поступившем событии, можно настроить определенную реакцию, например выпадающие уведомление или отправка сообщения по почте.
В случае если в поле УЗ присутствует только пароль, а имени пользователя нет, для определения имени учетной записи, можно заходить на каждую рабочую станцию и смотреть последний удачный вход но это занимает много времени. Более удобное и быстрое решение это программа PsLoggedOn (не злоупотребляйте поиском УЗ на рабочих станциях).
Для самостоятельной проверки (подтверждения) пароля, не надо выходить из системы, можно воспользоваться стандартной функцией ОС, правая кнопка мыши на ярлыке программы, выбираем запустить программу от имени … (я запускаю FAR), в поле имя УЗ ввожу логин пользователя, в поле пароль ввожу зафиксированный системой мониторинга пароль. Если программа запускается и не выдает ошибок, значит это пароль данного пользователя.
Как только вы убедились, что пароль скомпрометирован, необходимо перезвонить пользователю и порекомендовать изменить пароль в случае отказа заблокировать УЗ.
Для того, чтоб убедиться в смене пароля, нет необходимости повторно производить запуск программы, воспользуйтесь программой LockoutStatus.
Если у вас нет системы мониторинга, могу порекомендовать воспользоваться программой LogParser. Для работы с ней достаточно базовых знаний SQL и Google.
В одной из следующих статей, я расскажу как можно определить компрометацию пароля, если он не был случайно введен в поле имя учетной записи.
Что значит ваш пароль был скомпрометирован, при смене и входе на сайт?
ваш пароль был скомпрометирован mail
ваш пароль был скомпрометирован вконтакте
доступ к ящику ограничен поскольку ваш пароль был скомпрометирован
что значит пароль был скомпрометирован вконтакте
пароль скомпрометирован что делать
как понять скомпрометирован
введенный вами пароль был ранее скомпрометирован пожалуйста укажите другой пароль
Притом не только на этом сайте а на всех других также где вы его вносили в качестве своего пароля.
Всё потому что данная комбинация вашего пароля уже числится в хакерских базах созданных для взлома или даже когда то уже использовалась.
Пароль, который вы указали при смене или при входе на сайт, был обнаружен в общедоступных хакерских базах. Многие сайты проверяют пароли пользователей по базам скомпрометированных паролей и не дают возможности использовать их во избежание взлома вашей учётной записи.
Взломали значит пароль.
Но у меня была иная ситуация, заходил на один и тот же сайт, но с разных компьютеров в итоге системе показалось что мой пароль взломан и выскочило предупреждение о том что пароль пора менять.
Если есть возможность привяжите пароль к номеру телефона.
Ваш пароль был не тяжелый и его смогли подобрать чтобы зайти на сайт, почту, инстаграм и тп. Ничего страшного в уведомления о скомпрометированност и нет (для бв), просто вам его нужно теперь будет новый придумать для входа. Старым пользоваться вам система уже не даст (для бв). У меня неоднократно было такое вк когда страницу вламывали и на майл.ру. Ничего сложно нет чтобы придумать новый пароль (бв) и подтвердить его в системе. Обычно нужно сложный придумывать и чтобы были не только буквы, но и пару цифр, а так же первая буква заглавная. Бывает что система сама предлагает не простой пароль, можно им воспользоваться.
С такой ситуацией приходилось пару раз сталкиваться и мне, когда в сети появилась база пользователей и данные от аккаунтов, наткнулся я там и на свой, но просто у меня для защиты были привязаны некоторые дополнительные аккаунты к данному, поэтому просто поменял пароль без проблем и все.
В другой раз это уже было немного иначе, возможно из-за того, что на некоторых сайтах, куда я не планировал возвращаться в дальнейшем, ставил несложные пароли, а на один из них вернуться все-таки потребовалось, поэтому тоже пришлось пароль менять на более сложный
у меня на пикабу стал выскакивать прямоугольник с сообщением о скомпрометированност и моего пароля.И теперь не получается там писать коменты и ставить минусы,плюсы.Они написали,что отправили соотв.письмо мне на мою эл.почту,зашла посмотреть,а там нет ихнего письма.Почему так?
Скомпрометированный пароль использовать невозможно. Это значит, он либо слишком доступный ввиду своей простоты либо имеются подозрения на попытку хакерского взлома вашего входа по паролю.
Есть вариант и вовсе неприятный- по итогам проверки ваш тайный код для входа на сайт оказался в руках хакеров в их базе данных. БВ. https://text.ru/anti plagiat/5b7b70026e23a
У меня муж по идеи должен знать. Но или забывает ( что более вероятно) или делает вид, что забыл. У него не было электронного ящика. Завести свой мужу было очень лень. Стал пользоваться моим. И почему-то сам ящик помнит, а пароль постоянно у меня спрашивает. Хотя проще простого запомнить- день рождения моего племянника.
Еще он почему-то не может переводить деньги со своей карты на мою. Ему проще взять у меня мою карту и через банкомат внести деньги. Но перед тем как взять у меня карту, нужно меня пытать на предмет написания бумажки с кодом карты. Код четыре цифры, и да, опять день рождение ну очень близкого родственника.
Если честно, после многих лет брака, не понимаю я этих «личных границ». Партнеры под одним одеялом спят, одним воздухом дышат, и простите одним унитазом пользуются. Есть что скрывать? Что это тогда за совместная жизнь?
Меня всегда изумляли подружки, у которых пароль на телефоне стоит. Я спокойно веду переписку с бывшим. Знаю, что муж не будет копаться в моем телефоне и выяснять, а кому именно я пишу. Мне скрывать абсолютно нечего. Его телефон я беру совершенно спокойно. И не для того, чтобы в содержимом копаться. Хотя там тоже ничего криминального нет, я уверена. Если бы хотел что-то скрыть, то сделал бы это по другому.
Тут всю зависит от того, кто делал сайт и с какой целью.
По идее, пароли должны храниться в захешированном виде и тогда даже администратор не сможет их узнать.
Однако, есть вариант, что сайт писал ленивый или криворукий человек, а посему пароли хранятся в своём первозданном виде и админ сможет их просмотреть.
Завести свою, и дело с концом. Ну или договориться с соседями о долевой оплате интернета, тогда они дадут вам свой пароль.