Хакеры взломали 25 млн аккаунтов Mail.ru
Отечественный веб-ресурс Mail.ru подвергся весьма успешному с точки зрения объемов добычи взлому. Небольшая уязвимость портала привела к краже данных о 25 млн пользователей поддоменов Mail.ru, которые, к тому же, сами по себе очень ненадежно зашифрованы.
Ответственность за взлом, как сообщает CNET.com, лежит всего лишь на двух хакерах, личности которых пока не установлены. По отдельности они совершили два взлома – сначала в июле было украдено порядка 12 млн паролей, а уже в этом месяце второй взлом принес еще 13 млн зашифрованных пользовательских данных.
Кража столь существенных объемов личной информации стала возможной благодаря уязвимости в движке vBulletin, лежащем в основе ряда форумов по видеоиграм, которые и были взломаны, причем самым банальным образом — при помощи SQL-инъекции. Хакеры завладели данными об именах, датах рождения, паролях и электронных адресах пользователей, зашифрованных в MD5, так что расшифровать информацию не составит никакого труда. Всего же жертвами стали почти 13 млн пользователей ресурса cfire.mail.ru, свыше 5 млн с parapa.mail.ru (сама игра) и почти 4 млн с parapa.mail.ru (форум). Также пострадали виртуальные танкисты: хакеры утащили логины и пароли почти 3,3 млн пользователей ресурса tanks.mail.ru.
Об утечке информации сообщили специалисты ресурса LeakedSource, заметив, что многие пользователи не умеют придумывать сложные пароли. Более чем 260 000 раз среди украденных данных встретился пароль «123456789», а в тройку лидеров вошли пароли «12345678» и «123456». Другими словами, добраться до этих аккаунтов можно было и путем простого брутфорса — автоматического перебора паролей.
Движок vBulletin уже неоднократно становился причиной легкого доступа к пользовательским аккаунтам: обладающий уязвимостями разной степени опасности, буквально в течение этого года он помог хакерам взломать несколько ресурсов, включая недавний взлом форумов Epic Games, Dota 2, Clash of Kings и Ubuntu.