Хакер продает базу со 100 млн аккаунтов «ВКонтакте» за 1 биткоин, соцсеть уверяет, что пароли не актуальны с 2012 года
Хакер Peace выставил на продажу в «дарквебе» базу, содержащую данные о 100 млн пользователей «ВКонтакте», пишет издание Motherboard. Согласно анализу сайта LeakedSource, который специализируется на информационной безопасности, как минимум часть из этих данных реальна.
Motherboard указывает, что в базе находится 100 544 934 записи — имена, фамилии, email, номера телефонов и пароли. По словам Peace, на момент взлома сайта пароли были не зашифрованы и хранились в открытом тексте. Хакер продавал базу за 1 биткоин (около $570), но на данный момент лот уже снят с продажи.
92 из 100 случайно выбранных из массива email принадлежат реальным пользователям, указывает Motherboard. Один из пользователей подтвердил изданию, что содержащийся в базе пароль был реальным. Peace указывает, что данные были похищены в промежутке между 2011 и 2013 годом. Он добавил, что имеет доступ ещё к 71 млн профилей, но решил пока не продавать эти данные. LeakedSource отмечает, что источником утечки стал некто под псевдонимом Tessа88. Такое же имя упоминалось при попытке продать данные о 427 млн пользователей MySpace в мае 2016 года.
По словам аналитиков, примерно 41,1 млн аккаунтов из базы имеют email, расположенный на домене mail.ru, другие российские сервисы также находятся в топе по частоте упоминаний. Самым популярным паролем стал «123456» (709 067 упоминаний), также часто встречались «qwerty», «123123» и «qwertyuiop».
Представитель «ВКонтакте» Евгений Красников в разговоре с изданием VC опроверг взлом базы данных пользователей соцсети. По его словам, выставленные на продажу пароли не актуальны с 2012 года:
«Взлома базы данных «ВКонтакте» не было, речь идёт о старой базе логинов/паролей, которую мошенники собирали в период с 2011 по 2012 годы. Всем упомянутым в ней пользователям данные для входа на страницы менялись принудительно. В профилактических целях мы бы хотели ещё напомнить пользователям «ВКонтакте» о недопустимости установки непроверенного ПО на свои устройства, возможности выбрать двухфакторную аутентификацию в настройках аккаунта и предостеречь от использования простых, легко подбираемых паролей».