•  

    Sprawdziłem jedno ze swoich haseł najwyższego poziomu w google, nieźle się przestraszyłem jak zacząłem wpisywać hasło i nagle w proponowanych wyskoczyło całe! Okazało się, że mam za hasło cheat do jednej gry, a dziwne, bo w zamyśle był to losowy ciąg znaków. ;p

  •  

    co to za pomysl, zeby nie podac nazwy portalu? A jak ja jestem tam zarejestrowany? Nawet nikt mnie nie poinformuje, ze teraz kazdy zna moje haslo (a brak wynikow w google po wpisaniu mojego hasla moze znaczyc tyle, ze juz naprawili problem - co wiele nie zmienia, jesli ktos sobie zapisal hasla na dysku).

    •  

      Wystarczy chwila z Google:
      http://www.tinyurl.pl/?dCl0QB3r
      żeby dowiedzieć się że chodzi najprawdopodobniej o popularny serwis PDAclub.pl

    •  

      ciągle można stamtąd trochę wyciągnąć.
      http://www.tinyurl.pl?wvxXmzWD
      można wpisywać po kolei podglądy które są w opisie i będzie pełna lista ;-)

    •  

      To raczej nie PDAClub, spójrzcie na nazwę tematu "Poland PdaClub (Jooma +SMF Forum )" a gość pisał że dane wyciekły z forum postawionego na phpBB.

    •  

      To PDAClub.pl, rozmawiałem przed chwilą z kolegą, który od kilku lat ma tam konto i potwierdził, że jakiś czas dostał informację o możliwym wycieku haseł.

    •  

      @Revolas

      Po kiego wala to podajesz? Chcesz komus narobic problemow?
      Powinien tu byc wlasciciel tych kont i zglosic, ze pakujesz sie na cudze konta.

    •  

      @Revolas
      Taką wiedzę należało zostawić dla siebie ew. przekazać odpowiednim służbom. Wiele z tych haseł działa na nk, allegro, co już zresztą zauważyłeś. Wystarczy, że dorwie się do tego jakiś mało rozgarnięty dzieciak, co by chciał poszpanować kolegom i może kogoś tym zniszczyć. Przy okazji stawiając siebie przed odpowiedzialnością karną.

    •  

      Ja tylko informuje, że problem nie jest taki błachy jak się może wydawać. Zaznaczam to tutaj, żeby te osoby pozmieniały swoje hasła, bo w innym wypadku obudzą się a na ich konto będzie kupione 10 koparek. Trzeba się liczyć z tym, że nie wszyscy są uczciwi
      Zresztą jakby nie patrzeć, nierozsądne są te osoby. Hasła w zasadzie do odgadnięcia bez problemu metodą brutal force

      Nie sądzę, żeby to był jakiś poważny serwis bo jak się robi rejestracje to się robi warunki takie jak np. jedna duża litera, przymus występowania liczby itp

    •  

      I myslisz, ze wszystkie osoby z tamtej listy czytaja akurat wykop i twoj komentarz, podajac jeszcze konkretne dane do sprawdzonych kont. W ten sposob zwiekszyles szanse, ze ktos wykorzysta czyjes konto. Zero wyobrazni.

      [edit] Chciales ostrzec to trzeba bylo poinformowac te osoby, a nie podawac instrukcje jak sie zalogowac do ich kont.

    •  

      bibu, zgłosiłem to administratorowi kilka miesięcy temu i żadnej odpowiedzi/reakcji nie odnotowałem.

    •  

      Wczesniej podal taki sam pajac, tylko mniej pomyslowy bo bez podania na tacy co i jak zrobic.

    •  

      lol, naprawdę myślałeś, że podałbym takiego linka? milordi ma rację, ja tylko mówię o tym co już ktoś wcześniej w tym wykopie wspomniał o tym.
      @ALATOA_LATO:Jak wyobrażasz sobie pisanie do iluś tam osób nie mając do nich danych kontaktowych?
      Ktoś kto chce zaszkodzić innym nie potrzebuje mojej pomocy (ani tym bardziej pmslo, sam znajdzie te informacje i je wykorzysta. Z tym wykopem zwiększymy szanse, że ktoś wpisze swój nick w google i znajdzie ten wykop z tym komentarzem i pójdzie po rozum, żeby uważać gdzie się rejestruje
      btw myślisz, że tylko ty jesteś taki inteligentny, który zna php i wie jak to wykorzystać oraz, że taka osoba potrzebuje moich jakże oczywistych wskazówek? zatem powodzenia :>

    •  

      @ALATOA_LATO:
      Jakkolwiek sprawa rzeczywiście jest poważna, a przedpiszca dał pokaz bezmyślności, pozwól że zapytam: skąd u ciebie troska o zainteresowanych?

    •  

      @Revolas
      Jak nie majac danych? Masz loginy i hasla, pisales, ze wybrane dane sa poprawne, czyli mozesz im zostawic wiadomosc na mejlu, jesli chciales im pomoc. A ty pokazales ludziom, ktorzy nie maja o tym zielonego pojecia jak za pomoca tego spisu przejac komus konto. Okazja czyni zlodzieja. Nie widzisz zadnego problemu?
      A o haslach i ich zmianie traktuje ten wykop.

      @filo86
      Jak to skad, jest roznica miedzy moim glupim pisaniem na wykopie, a podawaniem linka z danymi do kont na roznych portalach i jeszcze krok po kroku napisania co z tym zrobic. Ja nie szkodze nikomu, ich wymadrzanie moze. C'mon.

  •  

    ja wpisalem swoje haslo w google i nic nie wyskoczylo... zakopane.

    •  

      Osobiście nie polecam trzymania haseł gdziekolwiek, lepiej jest stworzyć sobie klucz, który pozwoli nam "generować" w głowie hasło przypisane do konkretnej strony. Np. tytuł strony + coś tam + ilość samogłosek nazwie. W ten sposób każde hasło będzie inne, natomiast kiedy wchodzę na stronę gdzie nie pamiętam hasła to wiem po prostu jak je stworzyć i na pewno zadziała. Klucz musi być wymyślony w ten sposób, aby po ewentualnym wycieku jednego z haseł nie mozńa było domysleć się jakie są hasła do innych stron. No bo można trzymac hasła w jakimś programie do tego stworzonym, ale teraz praktycznie na każdej stronie trzeba się rejestrować i później trzeba mieć dostęp do tego programu, aby przeszukać nasze 1000 haseł.

    •  

      Portal powinien dostać j!%utny pozew.
      Nawet jeśli używam tych samych haseł do wszystkich loginów, mam prawo do tego.

    •  

      Super - haker znajdzie jedno, to po odrobinie wysiłku umysłowego znajdzie wszystkie.

    •  

      ja piernicze... Ja też wpisałem moje hasło i wyszło tysiące wyników... W sumie to teraz wam mogę powiedzieć, jak już wszyscy wiedzą: mamaija.

    •  

      jaki to portal? z ktorego wyciekly dane?!

    •  

      już lepiej chyba jakąś inną mnemotechnikę stosować, niż kombinowanie z nazwą, co?

    •  

      Dobra a czy mógłby ktoś wrzucić zrzut jakiś w powiązanych ? Albo wysłać mi na mejla ?

      pawe.zakrzewski9@gmail.com

    •  

      ee tam, ja mam 1 standardowe haslo do for, portali itp, do maili, bankow, mam mocniejsze.. niebezpiecznie? a co mi zrobia włamia sie na wykop albo nk i nagadaja bzdur ? nie popadajmy w paranoje

  •  

    Wystarczy hasła zapisywane w bazie zaszyfrować md5 i wykradzione nie będą stanowiły zagrożenia...

    •  

      Średnio-proste hasło zahashowane md5 można domowym komputerem "rozkodować" w kilka minut metodą brute force.

    •  

      Sam czysty md5 nie jest już od dawna bezpiecznym algorytmem szyfrującym.

    •  

      pmslo, jesli to twój serwer, to poukrywaj foldery/zablokuj dostep ;p

    •  

      Oczywiście wszystko da się złamać ale jak ktoś ma trzymać w bazie "gołe" hasła to niech już lepiej zakoduje je w md5 ( przerobienie skryptu to parę minut ). Zawsze to jakieś utrudnienie 50.000 x kilka minut = i tak nie wszystkie odkodowane hasła, a w jakim czasie...

      Acha no i nie wiem jak Wy ale ja kodując hasła w md5 dodaje np. adres e-mail lub coś innego, rozkodujcie mi metodą brute-force 50.000 tak zakodowanych haseł :>

    •  

      Tobol, to serwer DNS mojego dostawcy internetu, nie mam pojęcia do czego są te hasła.

    •  

      dzafel: md5 można "odkodować" (piszę w cudzysłowach, ponieważ prawdziwe odkodowanie jest oczywiście niemożliwe) w kilka minut pod warunkiem, że:
      1) hasło złożone jest z 6 lub mniej znaków
      2) jest wyrazem możliwym do znalezienia w pewnym słowniku.
      Inne hasła po wyliczeniu hashu md5 powinny być bezpieczne.

    •  

      @tymon_
      Zarzuć jakimś hashem kodowanym tylko md5 (bez soli i innych bajerów), to sobie sprawdzę. Bo czuję, że crackery dostępne w internecie poradzą sobie.

      Oczywiście z umiarem, nie jakies 100 znakowe dziwadło :P

    •  

      masz ode mnie.
      ab80fdac911ad9d77b0bc69a6199b942

    •  

      Nawet podwójny md5 jest chyba do przejścia .. sorki, że tak wtrące ale zdarzały i zdarzają się także ataki na strony o tematyce Need For Speed z których także bazy danych po 20 000 userów wyciakają i nikt o to takiego wielkiego halo nie robi .. A ja tylko jako mały spamik do powiązanych dorzucam linka o tym temacie .. jakby kogoś to interesowało.

    •  

      http://3.14.by/en/md5 "Right now on nVidia 9600GT/C2D 3Ghz CUDA version does 350 M keys/sec, SSE2 version does 108 M keys/sec."

      A, i jeszcze o Rainbow tables sobie poszukajcie.

    •  

      Zacznijmy od tego, że każdy rodzaj szyfru jest do przejścia.

    •  

      Sześcioznakowe hasło to około 280 000 000 M (zaokrąglając w dół) wariacji z powtórzeniami (ze zbioru 36 elementów - licząc jedynie małe litery alfabetu łacińskiego i cyfry). Licząc 300M/sekunda sprawdzenie wszystkich zajęłoby około 900 000 sekund - prawie 260 godzin. Wnioski jakie kto chce.

      kolnay: md5 to nie szyfr a skrót, hashowanie jest nieodwracalne.

    •  

      jak będziesz w stanie odwrócić haszowanie md5 zostaniesz publicznie okrzyknięty bogiem, nie tylko przezemnie :) film w jakości HD w 32 znakach? Będziesz bogatszy nawet od Bila Gejtsa !

    •  

      Mi wychodzi
      36^8 = 2 821 109 907 456
      300M = 300 000 000
      2 821 109 907 456 / 300 000 000 = ~9403 sekund
      9403/60 = 156 minut

    •  

      Poprawka - liczyłem dla 8 znaków, ale należy zwrócić uwagę na pominięcie dużych liter. Powiedzmy więc, że hasło może zawierać dowolne 6 z 62 znaków (pominę już znaki specjalne i np. diakrytyczne) i znaki mogą się powtarzać. Wariacji jest 56 800 235 584. 300M/sekundę pozwala sprawdzić wszystkie w 190 sekund ^^ - lepiej jest więc wymyślać dłuższe hasła, składające się z dużych i małych liter, cyfr i znaków specjalnych. Niech mnie ktoś poprawi jak się znowu pomyliłem.

      macz - rzeczywiśnie machnąłem się o kilka rzędów wielkości ale już nie mogę edytować

    •  

      @kubi, a jezeli robi to farma komputerów? Albo tysiące, dziesiątki tysięcy komputerów zombi? No, albo używa się rainbow tables :] (http://freerainbowtables.com)

    •  

      @Akira: więc 6-znakowe hasła nie są bezpieczne. Tylko trzeba przyznać, że nikt nie będzie zaprzęgał takich narzędzi, żeby zdobyć moje hasło do Allegro.

    •  

      Haszowanie nie jest odwracalne, ale nie trzeba go wcale odwracać, bo każde z np. 4 haseł zadziała. "Zgadywanie" jest dostatecznie łatwe, żeby było opłacalne, szczególnie, jeżeli danych jest dużo, a do pracy zaprzęgnie się do pracy wielkie słowniki i np. algorytmy genetyczne.
      Tyle tylko, że nic lepszego dotąd nie wymyślono.

    •  

      No i jak @tymon_ już wspomniał jeśli nie mamy w słowniku danego ciągu znaków, który będzie naszym hasłem to sobie można łamać w nieskończoność :)
      Jak zrobię md5(szejqer@@@moj@mail.com.pl@@@aToJ3stmoJeH4sL0) to jestem w 99.999% przekonany, że takiego hasła nie będziecie mieli w swoim słowniku :D
      Chociaż zawsze zostaje ten 0.001% szans, że jednak ktoś będzie miał takie hasło, wtedy po okresie 300.000.000 lat zakosi mi hasło do wykopu ;(

    •  

      ale jeżeli tak samo haszuje się "Tn4k_.17@o" - wtopisz po tygodniu

    •  

      Tylko przy sprawdzaniu poprawności hasła wpisując nawet identyczny jako hasło nic Ci to nie da bo jest on drugi raz hashowany by sprawdzić czy ten sam znajduje się w bazie :)

    •  

      pogram:
      http://github.com/jensp/passcracking/tree/master
      www:
      http://milw0rm.com/cracker/
      http://passcracking.com/
      http://gdataonline.com/

      dalej czujesz się bezpiecznie? jak jest słabe hasło to i sha1 czy ntlm niestraszny

    •  

      macz: ale to tylko z kart graf. do tego dochodzi jeszcze procesor i ja np. mam około 470M/sek. Chociaz komp jeszcze nigdy mi sie tak nie ciął :D Poza tym pokazuje ze odhash#$e to w kilkanaście minut. (chodzi o hash który podal pmslo)

      PS. nie chce sie chwalić kompem bo to taka przecietna maszyna do grania - Q6600, GF9600gt, 4gb ram.(ale tnie :O)

    •  

      pmslo:możesz napisać z czego składa sie hasło? bo jednak jak sie te 15 min skonczylo to 19 godzin wyskoczyło :D wziąłem wszystkie mozliwe znaki a to baaardzo wydłuża proces.

      Mam ogółem jakieś 515M hashy/sek(po podkręceniu karty)

      ps. jestem lekko zaniepokojony, moje hasło na wszystkich forach itd mozna zbuteforcować w kilkanaście minut a do kompa w ... nic, jest od razu :D

  •  

    Wystarczy nie korzystac z allegro i innych serwisow, wiec i hasla beda bezuzyteczne.

  •  

    A ja polecam https://lastpass.com/ dodatek do FF, ładnie generuje bezpieczne hasła, trzyma je sobie na serwerze, wypełnia formularze. Miodzio. Jedynie trzeba znać swój mail i swoje jedno hasło do bazy (ważne żeby też było bezpieczne, nie jakieś 12345)

    •  

      szaleni ci, którzy powierzają swoje hasła internetowym menedżerom :P najlepszą bazą jest własna głowa i dobry system generowania haseł łatwych do zapamiętania, a trudnych do złamania - ot chociaż tak jak podał wyżej zigicrew :)

    •  

      Jak będziemy tak powierzać coś co trzeba zapamiętać to w końcu nasza pamięć ograniczy się do zwierzęcego instynktu ;p
      Nie, serio kiedyś ludzie mieli o wiele lepszą pamięć niż dziś.

  •  

    Dla własnego dobra nie logujcie się na te konta, bo potem tylko niechcący się do was dobiorą, żeście "przełamali" zabezpieczenia. Wiem, że to brzmi absurdalnie, ale lepiej umyć ręce od tego i nie eksperymentować.

  •  

    Najgorszy koszmar każdego admina.

  •  

    A ja używam PasswordSafe, i wszędzie (!) mam zupełnie inne hasła, nie pamiętam żadnego, a zaszyfrowany mocnym hasłem plik z resztą haseł wisi na moim serwerze i mogę sobie z każdego miejsca go pobrać, zapisać w kafejce itp.
    Niestety, niektórzy nauczą się zapewne na własnych błędach dopiero gdy stracą coś wartościowego z powodu bylejakich haseł.

    •  

      "nie pamiętam żadnego, a zaszyfrowany mocnym hasłem plik z resztą haseł wisi na moim serwerze"
      Czyli jak padnie Ci serwer, to się nigdzie nie zalogujesz? Gratuluję ;]

    •  

      krisst: plik jest zaszyfrowany mocnym hasłem (słyszałeś o diceware?), bez jego znajomości nie uda Ci się go odszyfrować. JA WIEM że tak czy siak skoro istnieje możliwość odszyfrowania jeśli znam hasło, to znaczy, że istnieje możliwość złamania tegoż. Natomiast gdyby wszyscy tak robili jak ja, nie byłoby takich problemów ja myslę.
      Strus: mam ten plik na swoim lapie i na swoim pendrive'ie który noszę ciągle przy sobie. Gdybym nawet zapomniał, mam jeszcze net. No chyba, ze neta nie będzie/serwer padnie + zapomnę lapa i pena. Wiem - wgram sobie to jeszcze na komórę ;)
      Generalnie - mała szansa żeby nie mieć dostępu do haseł.

      OCZYWIŚCIE. ISTNIEJE szansa złamania. ALE o ile razy mniejsza, niż w typowym przypadku posiadania identycznych haseł do maila, allegro, gadu i może jeszcze banku ;)

  •  

    Przydaloby sie ustrzec nieswiadome osoby, ja tam bym nei chcial zeby moje haslo do allegro gdzies sobie lezalo.

  •  

    O ja p!!#!%%e, wybralem 3 losowe wpisy i jedno pasowalo na allegro, mozna sie logowac i robic zakupy, PARANOJA!

  •  

    kurcze. akurat zapomniałem jakie tam mam hasło. a niestety www.h4cky0u.org wywala 404. trzeba było wszędzie używać tego samego hasła.

  •  

    Teraz jak już wszyscy wiedzą jak łatwo znaleźć hasła i loginy to co niektórzy na pewno zaczną szukać tych kont i się włamywać. Myślę, że wykop powinien pokasować komentarze ze wskazówkami, albo usunąć ten artykuł żeby kogoś nie zainspirować do głupich zabaw.

    •  

      @kristt na pewno Ci, którzy się tym interesują to wiedzą jak się włamywać i tego się nie zmieni, ale tutaj wchodzi dużo dzieciaków, którym może się zachcieć zabaw we wchodzenie na czyjeś konta, a szczególnie jak mają tu szczegółowe wskazówki. Ten artykuł rzeczywiście jest dobry, ale niektóre komentarze były zbędne. Widzę, że ten komentarz ze wskazówkami został usunięty. Dobrze, że wykop czuwa.

  •  

    No i czym sie tak podniecacie? Sprawa sprzed wielu miesiecy, gdzie wszyscy uzytkownicy byli poinformowani przez e-mail i do tego stosowna informacja widniala przez miesiac na portalu i forum. Jak ktos nie zadbal o swoje haslo i go nie zmienil, moze miec pretensje do siebie tylko. Sprawa wlamu zostala przekazana na policje. Ja tylko przypominam, ze wszystkie adresy IP sa logowane i wszystkie proby logowania sie na cudze konta zostana przekazane do odpowiednich sluzb. Chwila zabawy i radochy moze sporo nerwow kosztowac.

    •  

      a skąd wiadomo ze się loguje na cudze konto? Już abstrah!%e od tego że 99% procent osób nawet się nie zorientuje że ktoś był na ich koncie, jeśli nic nie zmieniał ani go nie wykorzystał

      edit: wykopowi gratulujemy superczułej cenzury

    •  

      olejek - a przeczytałeś w ogóle ten wpis czy nie?

      przecież tu nie chodzi o konto na pdaclub.pl tylko na innych serwisach! odpowiedniej informacji nie było, a twoje reakcje sa delikatnie mowiac nie na miejscu.

    •  

      Oczywiscie ze przeczytalem, ale wszyscy sie wyzywaja na PDAC jakby to byla wina administracji, ze uzytkownicy nie zmieniaja sobie hasel. Wszystko co mozna bylo zrobic w takiej sytuacji zostalo zrobione i akcja informacyjna byla duza zrobiona. Problem tak na prawde dotyczyl tylko niewielkiej liczby uzytkownikow, a konkretnie tych, ktorzy nie zmieniali hasla w ciagu ostatnich kilku lat. Tylko konta z 2000-2003r. bodajze jezeli byly przez wlascicieli nie ruszone to mialy hasla w md5. Kazda zmiana hasla od tego czasu powodowala kodowanie w sh1 z losowa sola + kilkoma jeszcze rzeczami. A pisanie komentarzy w stylu, ze hasla sa nie kodowane, ze nikt z tym nic nie zrobil jest jakas bzdura.

      Pamietaj, ze to wszystko to stare dzieje, ale ktos dla podbicia sobie bloga wykopal kotleta i robi wielkie halo, a tak na prawde, jezeli czyjes hasla dzialaja jeszcze, jest to tylko i wylacznie wina wlascicieli tych kont. PDAC zrobil wszystko co mozna bylo w tej sytuacji zrobic i nic nigdy nie kryl, ze cos takiego sie zdazylo. Dlatego jak czytam wiele komentarzy to sie zastanawiam kto korzysta z internetu... Zamiast podejsc racjonalnie do sytuacji to sobie dzieciarnia zrobila zabawe we wlamywanie sie na konta, gdzie z jednego IP na 10 kont sie probuja logowac. Co bardziej madrzejsi probowali przez anonymizery to robic. A kretyni podaja linki gdzie mozna znalezc hasla. Tak na prawde ten wpis robi rkrzywde tylko uzytkownikom ktorym bahorstwo powlamuje sie na NK, Allegro czy jak wyzej na PP. Widocznie taki byl zamysl autora wpisu/

    •  

      @maciek_gi

      Tak z ciekawosci powiedz mi, na jakiej podstawie twierdzisz, ze odpowiedniej informacji nie bylo?

    •  

      oleyek, i w wykopanym tekście i nawet tutaj w komentarzach ludzie mówią, że nic nie wiedzieli, że żadnego info nie dostali.

      Informacja zacytowana w tekście na blogu, która rzekomo pojawiła się na forum, brzmi raczej "w zasadzie nic się nie stało, ale zmień sobie hasło na forum"

      No i jak widać dziesiątki userów jednak nie zmieniły tych haseł, więc śmiem przypuszczać, że "akcja informacyjna" jednak z deczka kulała ;)

    •  

      @kubako

      To co autor bloga napisal to jedno i pomijam te wszystkie rzeczy ktore nie maja odwzorowania w rzeczywistosci jak np. phpBB i wlam przez phpBB (LOL) Jezeli w tak postawowej informacji jest nie prawda to jak traktowac reszte ? Przeciez, gdyby tak faktycznie bylo, ze nic sie nie stalo jak autor bloga twierdzi to czemu byla akcja informacyjna przeprowadzona. A to, ze ktos wykopal sprawe sprzed 9 miesiecy i probuje robic sobie reklame to juz inna bajka.

      Ale wracajac do akcji informacyjnej, to wyobraz sobie sytuacje, ze uzytkownicy likwiduja konta e-mail, porzucaja je, podaja lewe adresy itp. I teraz przyklad z zycia, gdzie dla jednego z klientow moich generuje mailingi z newsletterem dla jego uzytkownikow. Okolo 10k osob jest zapisanych na ten newsletter i zgadnij teraz ile jest zwrotek z tytulu adres nie istnieje, quota przekroczona itp. Srednio 3k maili nie dociera. To teraz przeloz sobie to na reszte gdzie bedzie podobnie o ile nie wiecej i bedziesz wiedzial ile osob ze swojej winy nie dostalo informacji. Juz pomijam fakt ze informacja wisiala w 3 miejscach bijaca po oczach, ze nie dalo jej sie przegapic ani nie bylo mozliwosc zamknac tego przez miesiac (albo i ciut dluzej).
      Dlatego uwazam, ze akcja informacyjna juz lepiej byc nie mogla zrobiona, bo zostaly wykorzystane wszystkie mozliwe kanaly kontaktu z uzytkownikami. Dlatego tak, ktos moze mowic, ze informacji nie dostal, ale na pewno nie dlatego, ze administracja nic nie zrobila w tym kierunku.

      Trzeba jasno powiedziec jeszcze ze jest to zdarzenie sprzed 9 miesiecy bo wiele osob mysli, ze sie stalo to teraz i ze nikt z tym nie chce nic zrobic bo nie ma zadnej informacji. No trudno, zeby przez 9 miesiecy walkowac jeden temat.

    •  

      Bardzo być może. Sprawę (przynajmniej do tej pory) znam tylko z wykopu, więc się nie dziw. Jak widać (co sam zresztą sprawdziłem) konta wiszą w sieci i można znaleźć działające hasła.

      Ja wiem, że do wszystkich się nie da dotrzeć - wielu userów ma konta na portalach, z których korzysta tylko do rejestracji, albo w ogóle. Jeśli próbowaliście to dobrze, jeśli nie (albo tak jak opisuje to autor na blogu) to przykre.

      Generalnie, konkludując, może warto napisać do googla o sprawie, i może zdejmą wtedy ten cache z wyników wyszukiwania, szczególnie, że nie ma już strony do której się odnosił. Na jakieś anty-pirackie skargi reagują, więc może i na to coś poradzą...

    •  

      Oleyku - jestem najprawdopodobniej jedną z poszkodowanych w tej sprawie osób. O ile mnie pamięć nie myli, jesteś jednym z userów PdaClubu, tak jak i ja kiedyś(było to w czasach, gdy Ch@to bywał na forum niemal codziennie ;) ). I wyobraź sobie ja dostałam ŻADNEJ wiadomości o jakimkolwiek zagrożeniu. Piszesz, że nius jest sprzed 9 miesięcy. I PRZEZ TEN CZAS NIE ZROBILI NIC!!! Nic, null, niente, NADA! To mnie wbulwia. Nie to, że wyciekło, ktoś nagłośnił itd. To, że nie dano mi szansy na zabezpieczenie się przed włamem itd. A moje hasło wisiało i wisiało a sami userzy mogli sobie włamać na moje konto i nawet nie zostali upomnieni przez moda. To mnie wpienia - olewczość "władzy" serwisu, która trwa nie od dziś. Po "faceliftingu" forum ŻADEN admin nie chciał i nie umiał mi pomóc z problemem jakie miałam z funkcjonowaniem forum. Wyciek to raczej błąd przedmiotu martwego, ale bierność obsługi serwisu jest naganna!

    •  

      Jeśli na tym portalu używałeś(łaś?) ksywki "atrida", to nie ma Cię na tej liście haseł.

    •  

      @kunajk
      Jeśli masz rację to jestem ci piekielnie wdzięczna za informację. Bo ni kuku, nie mogę strawdzić, bo nic nie działa, wszędzie 404-ki. Padaka! Sodomia i gomoria...

    •  

      @atrida:

      Jak napisalem wczesniej info bylo, maile zostaly wyslane, co jeszcze administracja miala zrobic? Wyslac polecony? Jak ? Maile ze umieja nie dochodzic kazdy wie, ale to nie zalezy od administracji juz. Wszystko co bylo mozliwe do zrobienia bylo zrobione. Jak ktos Ci wysle list i on nie dojdzie to winic tez bedziesz nadawce? Troche obiektywnosci. Poza informowaniem uzytkownikow i zgloszeniem sprawy na policje nic wiecej nie da sie zrobic.

    •  

      Oleyek, słonko... Ja rozumiem jakby mail nie dotarł tylko do mnie - wtedy wzięłabym to co piszesz (niedochodzące maile i takie tam). Ale skoro takowego ostrzeżenia nie dostał też mój mąż, również user PDAC, to zaczynam się mocno zastanawiać co tu nie gra... Ale możesz mieć rację, a ja wietrzę spisek w talerzu pomidorówki...
      Pozdrawiam A.

  •  

    Ja naiwny myślałem, że hasła są zapisywane w bazie w sposób zaszyfrowany i żaden dupa-admin nie ma do nich wglądu, a w razie jakbym zapomniał to mi je nadpisze innym...

  •  

    forum to pdaclub.pl - jedno z hasel znalezionych w google dziala ...
    http://www.h4cky0u.org/viewtopic.php?f=3&t=30664&start=10 - to byla ta stronka, ale juz nieczynna

    swoja droga podawanie na wykop takiego screena, przez ktory mozna wyszukac ta liste nie jest chyba najrozsadniejsze (mimo ze nie ma tej stronki w cachu google)

  •  

    k#%#a na tych kontach, są nawet dane do paypal'a 0_o

    •  

      A najlesze jest to, że obsługa tego forum ma to gdzieś - nie podadzą żadnej informacji, nie wyślą żadnego ostrzeżenia do userów.
      Na usuniętym przez nich wątku z powiązanych, były tylko jakieś smuty o tym, że przecież wiedzą i gdzieś kiedyś komuś o tym napisali... żal.pl

  •  

    Tak... Hasła działają... Ciekawe, po jakim czasie zrobi się tzw. burdel na pdaclub.pl ...

  •  

    Brawo, wykopcie to wszyscy napewno im pomożecie ;) Wtedy napewno nikt nie skorzysta z tych informacji, i nikt napewno nie znajdzie tych haseł i ich nie wykorzysta, a już napewno nie ci przestępcy z opisu ;)

  •  

    Spokojnie chłopaki... Polacy też mieli dostęp do tej bazy. Jak dla mnie te dane to są i tak mało użyteczne...

  •  

    No i co, że z mego konta popełni ktoś przestępstwo (ważne, żeby nie na moim adresie IP). Wielu robi proste hasła, żeby łatwiej je było złamać! Zresztą sa przypadki, że troll'ownia korzysta z jednego konta (z 5-20 osób), a adres IP ma kilka osób taki sam.

  •  

    Na pdaclub mam konto od bardzo dawna i takiej wiadomosci nie dostalem wiec to nie o ten portal chyba chodzi...

    •  

      jednak chodzi o pdaclub, a przynajmniej hasła z tego forum są dostępne w google jak się poszpera, więc jeśli masz takie samo hasło w innych miejscach to możesz zmienić, choć jak sam autor tekstu w wykopie zauważa sprawa ma kilka miesięcy, i jakby ktoś chciał to już by wykorzystał te konta

  •  

    A ja używam kilka haseł bardzo trudnych dla komputerów i różnych crackerów np.
    q2W#e4R%t6Y&
    Spójrzcie na klawiaturę - proste, nie? A dla h4x0rów będzie trudne.

    A sposobów szyfrowania haseł jest masa np. udziwione:
    function szyfruj($haslo){
    $s1=hash("whirlpool", hash("snefru",$haslo).hash("gost",$haslo));
    $s2=hash("whirlpool",hash("haval256,5",hash("ripemd160",$haslo).hash("sha1",$haslo)));
    $sf="";
    for($i=0;$i<strlen($s1);$i++){
    $sf.=ord($s1[$i])%16+$s2[$i];
    }
    return hash("sha512",$sf);}

    Komputer byłby w stanie wygenerować najwyżej jakieś milion haseł na sekundę. Można do tego dorzucić jeszcze crc32 avatara, nazwę użytkownika i datę urodzenia (dużo rzeczy, nawet takich pozornie nieistotnych), dodatkowo więcej szyfrowania metodami gost, whirlpool i snefru (najdłużej się wykonują). Dzięki takim zabiegom każdy może dostać dowolnie długie hasła np. 128-znakowe. Proste, nie obciąża tak serwera, ale jednocześnie diabelsko trudne do złamania.

    •  

      Takie hasło jak Twoje: q2W#e4R%t6Y& jest łatwiej łamane niż Ci się wydaje.

      Wszystkie hasła "znaczkowe" jak np 258456 (krzyżyk) czy qazwsxedc (3 linie pionowe) są w pierwszej kolejności we wszystkich bibliotekach służących do łamania haseł

    •  

      Takie hasło jak Twoje: q2W#e4R%t6Y& jest łatwiej łamane niż Ci się wydaje.
      Ech? To będzie sporo kombinacji, nie licząc elementów dodatkowych np jakieś słowo. Poza tym shift naciskany w losowych momentach może sporo namieszać - używając 6 klawiszy i shifta dostaje się coś około 61917364224 kombinacji. Ja życzę powodzenia...

  •  

    To już przynajmniej wiem kto mi hasło na gmailu zmienił. :D

    •  

      Mnie na poczta.fm ktoś zmienił, przypuszczam, że musiałem użyć tego samego hasła, które było na skrzynkę w jakimś podejrzanym portalu, cóż, teraz jestem ostrożniejszy. :)

  •  

    no dobra, to niby jak moge sprawdzić w google czy moje hasło wyciekło? Bo jakoś nie ogarniam, jak spradzić swoje hasło, czy jest ogólnodostępne w sieci.

Dodany przez:

avatar Patrysja dołączyła
378 wykopali 11 zakopali 4.2 tys. wyświetleń