🔒 Засветился ли ваш пароль в скомпрометированных списках
Есть замечательный сайт https://haveibeenpwned.com/ Троя Ханта, где по email можно проверить, были ли украдены ваши учетные данные при взломе сайтов. Один из моих адресов еще в 2013 году слили вместе с паролем при взломе Adobe, но с тех пор в список добавились Bitly и Discqus. Если ваш аккаунт скомпрометирован, логично сменить пароль.
🔓 Еще на сайте есть база слитых паролей https://goo.gl/N154WF Имеющиеся в ней пароли лучше нигде не использовать.
ℹ️ В конце февраля Трой объявил о запуске второй версии базы паролей. Главная фишка - API для сторонних анонимных запросов. В основе лежит k-Anonymity - математическое свойство, которое здесь применяется к хэшам паролей в форме диапазонных запросов. На эту тему есть двойной #longread в блогах Троя https://goo.gl/1FQUYD и CloudFlare https://goo.gl/qJzNgc
Именно этот API сразу задействовал популярный менеджер паролей 1Password https://goo.gl/HUyeX5 А на GitHub есть скрипт под Linux, при использовании которого пароль тоже не покидает ПК https://goo.gl/51q9Ux
#безопасность ✌️
Есть замечательный сайт https://haveibeenpwned.com/ Троя Ханта, где по email можно проверить, были ли украдены ваши учетные данные при взломе сайтов. Один из моих адресов еще в 2013 году слили вместе с паролем при взломе Adobe, но с тех пор в список добавились Bitly и Discqus. Если ваш аккаунт скомпрометирован, логично сменить пароль.
🔓 Еще на сайте есть база слитых паролей https://goo.gl/N154WF Имеющиеся в ней пароли лучше нигде не использовать.
12345 встречается там 2 млн раз :) Я хоть и доверяю сайту, но вводить свои пароли как-то не хотелось.ℹ️ В конце февраля Трой объявил о запуске второй версии базы паролей. Главная фишка - API для сторонних анонимных запросов. В основе лежит k-Anonymity - математическое свойство, которое здесь применяется к хэшам паролей в форме диапазонных запросов. На эту тему есть двойной #longread в блогах Троя https://goo.gl/1FQUYD и CloudFlare https://goo.gl/qJzNgc
Именно этот API сразу задействовал популярный менеджер паролей 1Password https://goo.gl/HUyeX5 А на GitHub есть скрипт под Linux, при использовании которого пароль тоже не покидает ПК https://goo.gl/51q9Ux
#безопасность ✌️
🔓 Как голландская полиция управляла Hansa, крупнейшим черным рынком дарквеба
На Wired замечательный #longread про тайную операцию "Штык" голландских полицейских, которые взяли под контроль крупную биржу по продаже наркотиков и тайно управляли ей на протяжении 10 месяцев https://www.wired.com/story/hansa-dutch-police-sting-operation/
Там прекрасно все! Цитаты для затравки:
The Dutch police quickly realized that after AlphaBay was shut down, its refugees would go searching for a new marketplace. If their scheme worked, AlphaBay's users would flood to Hansa, which would secretly be under police control.
They rewrote the site's code, they say, to log every user's password, rather than store them as encrypted hashes. They tweaked a feature designed to automatically encrypt messages with users' PGP keys, so that it secretly logged each message's full text before encrypting it, which in many cases allowed them to capture buyers' home addresses as they sent the information to sellers. The site had been set up to automatically removed metadata from photos of products uploaded to the site; they altered that function so that it first recorded a copy of the image with metadata intact.
Hansa offered sellers a file to serve as a backup key, designed to let them recover bitcoin sent to them after 90 days even if the sites were to go down. The cops replaced that harmless text document with a carefully crafted Excel file, says Boekelo. When a seller opened it, their device would connect to a unique url, revealing the seller's IP address to the police. Boekelo says that 64 sellers fell for that trap.
Приятного чтения! ✌️
На Wired замечательный #longread про тайную операцию "Штык" голландских полицейских, которые взяли под контроль крупную биржу по продаже наркотиков и тайно управляли ей на протяжении 10 месяцев https://www.wired.com/story/hansa-dutch-police-sting-operation/
Там прекрасно все! Цитаты для затравки:
The Dutch police quickly realized that after AlphaBay was shut down, its refugees would go searching for a new marketplace. If their scheme worked, AlphaBay's users would flood to Hansa, which would secretly be under police control.
They rewrote the site's code, they say, to log every user's password, rather than store them as encrypted hashes. They tweaked a feature designed to automatically encrypt messages with users' PGP keys, so that it secretly logged each message's full text before encrypting it, which in many cases allowed them to capture buyers' home addresses as they sent the information to sellers. The site had been set up to automatically removed metadata from photos of products uploaded to the site; they altered that function so that it first recorded a copy of the image with metadata intact.
Hansa offered sellers a file to serve as a backup key, designed to let them recover bitcoin sent to them after 90 days even if the sites were to go down. The cops replaced that harmless text document with a carefully crafted Excel file, says Boekelo. When a seller opened it, their device would connect to a unique url, revealing the seller's IP address to the police. Boekelo says that 64 sellers fell for that trap.
Приятного чтения! ✌️
WIRED
Operation Bayonet: Inside the Sting That Hijacked an Entire Dark Web Drug Market
Dutch police detail for the first time how they secretly hijacked Hansa, Europe's most popular dark web market.