Откуда Instagram узнал, что мой пароль был скомпрометирован на другом сайте?

Question

[Никита Траторов]

Недавно мой почтовый аккаунт на хостинге злостно эксплуатировали для рассылки спама. Как выяснилось позже - злоумышленник где-то нашел мой пароль и напрямую подключался к SMTP. Смена пароля не помогала, потому что не работала. Все починили. Пароли сменил. Голову сломал - где я мог спалить свой пароль. Если только какой-то сайт взломали и все пароли утекли в сеть, включая мой.
А сегодня получил от своего Instagram уведомление, о том что мой пароль совпадает с тем, который недавно украли на другом сайте и что мол надо его сменить. Отсюда вопрос: откуда они об этом узнали?

Comments

[Antony]

Пробовали залогиниться на всех сайтах с твоим логином/паролем :)

[Никита Траторов]

Antony: ага, смешно.

[Никита Траторов]

Antony: логином/хешем, Вы хотели сказать. Все же думают, что пароли в открытом виде ни кто не хранит.

[Vladislav]

Никита Траторов: а какое дело разработчикам ресурса до твоего пароля?

[Никита Траторов]

Vladislav: Владислав, мы, кажется, не знакомы. Мой пароль должен быть такой же тайной для разработчиков ресурса (не знаю о каком Вы говорите, но в принципе - любого), как и для владельцев Instagram. Суть моего вопроса сводится к недоумению - каким образом Инстаграмм смог определить (или предположить), что именно мой пароль (который был установлен для моего аккаунта) оказался скомпрометирован, учитывая даже минимальные принятые на вооружение на любых сайтах методы хеширования паролей.

[Antony]

Никита Траторов: Лично встречал некоторые сайты, которые по запросу на восстановления пароля.. присылали мне старый пароль, что вызывает некоторые сомнения на счет хеширования.

Answer 1

[Юрий Чудновский]

Да лаадно.
1) Имем где-то базу паролей с мылами.
2) Знаем (мы же инстаграм!) алгоритм генерации хэша
3) Генерируем хэш из слитого пароля
4) Проверяем с хэшем в базе
5) Если совпало - бьём тревогу.

Answer 2

[АртемЪ]

Отсюда вопрос: откуда они об этом узнали?

В крупных компаниях за этим делом следят.
Никому не охота терять деньги и сливать репутацию на пустом месте.
Поэтому они стараются отслеживать утечки баз, и разумеется сверяют хэши из этих баз со своими хэшами при совпадении логина. Во избежание...

Answer 3

[Алексей]

https://www.leakedsource.com/

Comments

[Никита Траторов]

Вы говорите, что они периодически проверяют привязанную электропочту через этот сервис?

[Алексей]

Как точно они проверяют никто не расскажет, я лишь показал пример

[Никита Траторов]

Алексей: Алексей, есть подозрение, что они хранят пароль в открытом виде. Трудно предположить, что их хеш совпал с хешем на другом сайте - на основании чего они сделали такой вывод. Тем более, что на LS я искал в первую очередь и, что интересно, себя не нашел.

[automatik]

Никита Траторов: полно и других сервисов с утекшими аккаунтами. Конечно по хешу сверили, в открытом виде пароли никто не хранит.

[Никита Траторов]

automatik: Вы говорите, что два разных сайта хранят хеши от паролей генерируя их по одному алгоритму? У меня тогда слов нет.

[Vladislav]

Что это за сайт? Какого его предназначение?

[AlikDex]

automatik: Да ладно. Полно случаев, когда крупнейшие компании сливали свои базы с нехешированными паролями.

[Никита Траторов]

Vladislav: Инстаграм предназначен для фотографирования еды. Ликедсорс - для поиска своих аккаунтов, которые могли попасть в массив утечек.

[АртемЪ]

Никита Траторов: Алгоритмов хэширования не так много, все пользуются стандартными.
Зачем изобретать велосипед?

[andrew8712]

automatik: Бывает регистрируешься где-нибудь, а они, заботливые, твой пароль тебе в письме присылают. Пишешь им в ответ "Вы что, *****, охренели?", а они: "Это для того, чтобы вы свой пароль не забыли. Наша компания всегда заботится о своих клиентах".

[evnuh]

АртемЪ: и никто не использует соли, верно?)

[АртемЪ]

evnuh: Ну не то что бы никто, но попадаются и такие, особенно среди тех чьи базы утекли.
К тому же не так давно были крупные утечки с открытыми паролями.

[АртемЪ]

andrew8712: А что в этом плохого? И почему они охренели?
Согласен что это менее безопасно, но и только.
Может там особой безопасности не требуется.

[АртемЪ]

Василий: И что?
Ну вот смотрите - недавно были несколько крупных утечек, и на каждом углу валялись базы крупных сервисов вида логин пароль.
Берем эту базу, ищем совпадающий логин среди своих пользователей, если совпадение логина есть, берем пароль от этого логина из публичной базы, хэшируем его с солью, и сравниваем с хранящимся у нас.
Есть совпадение? - Значит пароли совпадают.

[andrew8712]

>Может там особой безопасности не требуется.
АртемЪ: где это "там"? В таблице юзеров с их паролями? Конечно, требуется. Сейчас в индустрии стандарт: не хранить пароли в открытом виде, а хранить соленые хэши.

[АртемЪ]

andrew8712: Там это в конкретном сервисе. Т.е владельцы сервиса могут сами вполне оценить насколько критичен их сервис, и стоит ли очень серьезно относится к безопасности.

Согласитесь одно дело банк, или личный кабинет в каком либо финансовом сервисе, другое дело блог, или форум.

[АртемЪ]

andrew8712: Тот факт что вам на почту прислали пароль совсем не значит что его хранят в открытом виде.

[Никита Траторов]

АртемЪ: Совершенно верно. Он отправляется в момент регистрации, сразу после ввода, и ни где не сохраняется.

[andrew8712]

АртемЪ: Не соглашусь. Я считаю, что блог или форум должен так же ответственно подходить к хранению паролей пользователей, как и банк. Никаких дополнительных расходов это не несет.
Про момент регистрации, прошу прощения, ошибся. Сейчас вспомнил, что это было при восстановлении забытого пароля на Авито.

[АртемЪ]

andrew8712: Восстановление забытого пароля делается как правило так - сервис генерирует новый пароль, и присылает его вам на электронную почту.
Т.е старый пароль восстановить он не может, у него хранится только хэш, поэтому делается новый пароль, и все дела.

А по поводу ответственности - не согласен.
Безопасность должна быть адекватной.
Вы же не будете вешать на сарай с лопатами сейфовый замок? И не потому что он дорогой, а потому что банально неудобно его каждый раз открывать.
Проще повесить обычный висячий замок, который любой школьник вскроет куском проволоки.
Но тем не менее его надежности для сарая с лопатами хватит.

[andrew8712]

АртемЪ: Про восстановление вы описываете все красиво, но это только в том случае, если пароль не хранится в открытом виде. Авито хранил его в открытом виде и просто присылал его на почту.
Про сарай пример неуместен. Свои лопаты вы вообще под открытым небом вольны хранить :) А лопаты людей, которые вам их доверили будьте добры закрывать как следует, иначе рискуете своей репутацией.

[АртемЪ]

andrew8712: А что конкретно доверили люди тому же авито?
Допустим злоумышленник получил доступ к вашему аккаунту на авито, какой вред он может нанести вам, и какую выгоду извлечь для себя?

[Никита Траторов]

АртемЪ: Об этом читайте все что связано со 152-ФЗ. Модель угроз и требуемые методы защиты под каждый класс ПД. Как минимум злоумышленник получает живую электропочту, а как максимум пароль от всех аккаунтов, заведенных одним из пользователей на себя (как это обычно бывает, все покупают один и тот же китайский замок, к которому ключ подходит от другого такого же замка; читай - один пароль на все аккаунты)

[АртемЪ]

Никита Траторов: Далеко не все хранят персональные данные, если хранят, тогда да, они должны соответствовать требованиям закона.

[АртемЪ]

Никита Траторов:

Как минимум злоумышленник получает живую электропочту

Что в этом страшного? Почтовый адрес это открытый ресурс.

как максимум пароль от всех аккаунтов, заведенных одним из пользователей на себя

Это уже проблема пользователя. Сервис не должно волновать какие там пароли у пользователя на других ресурсах.

Answer 4

[Никита Траторов]

АртемЪ: Теория на мой взгляд верная, но это возможно только если, как мы все уже поняли: либо инстаграму досталась база утекших паролей в открытом виде, либо инстаграм хранит пароли в открытом виде, либо алгоритм хранения паролей инстаграм совпал до соли с алгоритмом загадочного сайта.
Если понадеяться на благонадежность фейсбука, то вероятнее всего первый сценарий. Тогда любопытно на каком ресурсе есть такая база.

Comments

[АртемЪ]

Все верно, только для этого инстаграму совсем не обязательно хранить пароли в открытом виде.
Он их солит, хэширует и хранит хэши, этого достаточно.

[АртемЪ]

По поводу на каком ресурсе есть такая база - не подскажу.
Сразу после утечек они появлялись на торрентах, потом исчезали.
Думаю найти и сейчас можно, если поискать.