22. ledna 2019

Minulý týden se hojně psalo o úniku 773 milionů účtů, kterému se přezdívá „Collection #1“. Ve skutečnosti to je několik let stará kompilace předchozích úniků, ale i tak stojí za to se podívat, které české (a slovenské) weby v této a dalších databázích („Collection #2“ až „Collection #5“, „BigDB“) jsou.

Zprávu o existenci „Collection #1“ přinesl Troy Hunt, který tuto databázi nahrál do svého nástroje na prohledávání uniklých databází Have I Been Pwned? Skoro 90 GB dat, 773 milionů unikátních e-mailů a celkem 2,7 miliardy záznamů, slušnej balík. Data v této sbírce jsou několik let stará a mnoho pár úniků je tak již známých a nějak vyřešených. Snad.

Collection #1-#5 a další

Existují i další kompilace: „Collection #2“ až „Collection #5“ – ty mají dohromady skoro 850 GB dat. Vypadá to, že všechny tyhle kolekce, alespoň co se týká českých a slovenských webů, vychází z jedné obrovské databáze „BigDB“, ta má 595 GB a obsahuje spoustu komprimovaných souborů, takže finální velikost dat bude ještě o dost vyšší.

Databáze jsou často rozškatulkovány na skupiny „hry“, „kryptoměny“, podle států apod. a útočníci tyto databáze používají k útokům, kterým se říká credential stuffing. Mizerové zkouší známá jména a hesla ládovat do dalších služeb a v mnoha případech se jim podaří přihlásit, protože uživatelé používají jedno heslo na více místech.

Které české weby tyto databáze obsahují? Nutno podotknout, že všechny jsou již obsaženy v „BigDB“, některé dokonce vícekrát s různým počtem záznamů, a že to neznamená, že data v každém jednotlivém případu opravdu pochází z uvedených domén. Přistupujte k tomu tak, dokud se únik nepotvrdí. Pokud je některý web váš, tak byste měli případný únik prověřit, informovat uživatele i Úřad pro ochranu osobních údajů. Dobré je také připomenout, že polovina těchto českých úniků již byla do Have I Been Pwned? nahrána zhruba před rokem, ale tenkrát nebylo známo, kolik dat to vlastně bylo.

Dal jsem dohromady i seznam slovenských webů, najdete ho v dalším dílu.

U každého webu uvádím způsob uložení hesel, resp. tak jak byla v „BigDB“ zveřejněna, a počet záznamů. Pokud daný web používal nějaké „nečitelné“ uložení hesel, tak přidám i informaci o tom, kolik cracknutých hesel v čitelné podobě z toho konkrétního webu databáze obsahuje. Zcela jistě by za pár peněz (a hodin) šlo cracknout mnohem více hesel, ale to jsem tentokrát, až na výjimky, nezkoušel. Podívejte se na starší článek o lámání hesel pokud vás zajímá, jak se to dnes dělá a kolik to stojí.

Spousta těch webů totiž bohužel používá (nebo používala v době možného úniku) velmi nevhodné ukládání hesel, pokud to děláte podobně, tak to prosím změňte. Jak na to se dozvíte v mém návodu.

Seznam českých webů v kompilacích

  1. abkontakt.cz: 191199 záznamů, MD5, 0 čitelných hesel (11564× heslo „katerina“, 1500× „dana“, 171013× „robot“)
  2. achpak.cz: 690 záznamů, plaintext
  3. poradna.adikto­logie.cz: 14540 záznamů, prvních 11 znaků z MD5, 0 čitelných hesel
  4. almipraha.cz: 2829 záznamů, plaintext
  5. aloki.cz: 14613 záznamů, MD5, 13634 čitelných he­sel
  6. alveus-drezy.cz: 1184 záznamů, MD5, 0 čitelných hesel
  7. asiantitulky.cz: 4063 záznamů, MD5(?), 3038 čitelných he­sel
  8. var2.astro.cz: 584 záznamů, plaintext
  9. eshop.atos.cz: 1501 záznamů, MD5, 474 čitelných hesel
  10. auctions-art.cz: 5091 záznamů, SHA-1, 5444 čitelných he­sel
  11. banner-lov.cz: 10751 záznamů, MD5, 6520 čitelných he­sel
  12. banner-security.cz: 10746 záznamů, MD5, 6511 čitelných he­sel
  13. beers.cz: 1284 záznamů, plaintext
  14. big-wall.cz: 3401 záznamů, MD5, 0 čitelných hesel
  15. biomonitoring.cz: 5486 záznamů, MD5, 0 čitelných hesel
  16. bonekan.cz: 1372 záznamů, MD5, 363 čitelných hesel
  17. canicross.cz: 887 záznamů, plaintext
  18. casino-technology.cz: 6758 záznamů, plaintext+bcrypt, 1603 čitelných he­sel
  19. chotec.cz: 620 záznamů, MD5, 0 čitelných hesel
  20. comx.cz: 885 záznamů, MD5, 0 čitelných hesel (ale všechny účty mají stejné heslo „1X1A“)
  21. coollight.cz: 2127 záznamů, plaintext
  22. crew.cz: 3037 záznamů, MD5, 2782 čitelných he­sel
  23. projekty.czechna­tionalteam.cz: 4729 záznamů, MD5+phpBB3($H$)+Drupal7($S$), 1924 čitelných he­sel
  24. czshopy.com: 2403 záznamů, MD5, 2225 čitelných he­sel
  25. danutiming.cz: 3767 záznamů, MD5, 3270 čitelných he­sel
  26. dbsvet.cz: 17565 záznamů, MD5, 3140 čitelných he­sel
  27. desky.cz: 5236 záznamů, MD5, 5107 čitelných he­sel
  28. 2010.divadelnis­vet.cz: 9100 záznamů, MD5, 0 čitelných hesel
  29. pocasi.divoch.cz: 3094 záznamů, MD5, 3018 čitelných he­sel
  30. dj-shop.cz: 2040 záznamů, plaintext
  31. dracidoupe.cz: 12982 záznamů, MD5, 5514 čitelných hesel (jiný soubor má jen 5584 účtů)
  32. forum.drbal.cz: 2017 záznamů, MD5, 0 čitelných hesel
  33. drp.cz: 1112 záznamů, MD5, 0 čitelných hesel
  34. ekopress.cz: 3693 záznamů, plaintext (hesla vypadají generovaná, délka 12 znaků)
  35. elektroprinc.cz: 2704 záznamů, MD5, 2587 čitelných he­sel
  36. idnes.www.elweb­.cz: 585 záznamů, plaintext, 308 čitelných hesel (některé účty jsou bez hesla, o pár hesel méně je i v úniku z tatoomira.el­web.cz, zbytek je totožný)
  37. eone.cz: 1650 záznamů, plaintext, 1060 čitelných hesel (některé účty jsou bez hesla)
  38. eski.cz: 3448 záznamů, MD5, 0 čitelných hesel
  39. urel.feec.vut­br.cz: 999 záznamů, MD5, 363 čitelných hesel (20× heslo „h54rsjrF5J46­788998“, 13× „I9k7hnv5sR“, 9× „1721k1721“)
  40. www2.fm.vse.cz: 1745 záznamů, plaintext
  41. foosball.cz: 1108 záznamů, plaintext
  42. kss.fp.tul.cz: 941 záznamů, plaintext
  43. funexplosive.cz: 2646 záznamů, Salted MD5, 0 čitelných hesel (spousta e-mailů je nejspíš generovaných, např. somadrughblhguliwadmin@dendride.ru)
  44. gastrotrend.cz: 938 záznamů, MD5, 925 čitelných hesel
  45. genomac.cz: 4401 záznamů, MD5, 1648 čitelných hesel (část je i v úniku z genomacinst.cz)
  46. hazena.pb.cz: 5263 záznamů, plaintext (3292 účtů je generovaných ve tvaru awuodefs@nmjanodd.com)
  47. helmetshop.cz: 1190 záznamů, plaintext
  48. helmy.cz: 1758 záznamů, plaintext
  49. hvezdarna.cz: 6063 záznamů, MD5, 5431 čitelných he­sel
  50. ian.cz: 10073 záznamů, plaintext
  51. instrumento.cz: 3448 záznamů, plaintext
  52. isumava.cz: 1559 záznamů, MD5, 1490 čitelných he­sel
  53. hry.izde.cz: 583 záznamů, plaintext
  54. jaj.cz: 1117 záznamů, MD5, 880 čitelných hesel
  55. jince.cz: 1635 záznamů, MD5, 0 čitelných hesel
  56. jseddica.cz: 2995 záznamů, MD5, 2947 čitelných he­sel
  57. kaktusy-rysavy.cz: 1602 záznamů, MD5, 0 čitelných hesel
  58. kkkonstruktiva­.cz: 1782 záznamů, MD5, 777 čitelných hesel
  59. kuma.cz: 81663 záznamů, plaintext (těm jsem se to snažil minulý rok nahlásit, pamatujete?)
  60. legendapraha.cz: 502 záznamů, MD5, 0 čitelných hesel
  61. lezec.cz: 9678 záznamů, plaintext
  62. libchavy.cz: 6560 záznamů, plaintext (hesla vypadají generovaná o délce 7 znaků, některá jako „procházka po klávesnici“, např. „fssjsjsf“)
  63. eshop.ltec.cz: 3592 záznamů, MD5, 0 čitelných hesel
  64. majkluvsvet.cz: 4877 záznamů, MD5, 0 čitelných hesel
  65. mesto-klimkovice.cz: 1920 záznamů, SHA-1, 1712 čitelných hesel (s emailem .cz jich je jen 21, ostatní vypadají náhodně/divně, v hashi některých hesel je kus SQL dotazu UNION SELECT)
  66. nesedtedoma.cz: 585 záznamů, plaintext
  67. nockostelu.cz: 2668 záznamů, bcrypt, 0 čitelných hesel
  68. online-hry.cz: 1907 záznamů, plaintext+MD5, 1390 čitelných he­sel
  69. ostyle.cz: 4157 záznamů, Salted MD5, 3845 čitelných he­sel
  70. ovocenaraut.cz: 1451 záznamů, MD5, 1125 čitelných he­sel
  71. papcel.cz: 11583 záznamů, MD5, 11208 čitelných he­sel
  72. pressonline.cz: 5100 záznamů, plaintext+MD5, 5071 čitelných he­sel
  73. rallyfan.cz: 75317 záznamů, SHA-1, 0 čitelných hesel (74960 uživatelů má SHA-1 z prázdného hes­la)
  74. regionvalassko­.cz: 496 záznamů, plaintext
  75. roxette.cz: 4215 záznamů, SHA-256, 0 čitelných hesel
  76. expedice.rps.cz: 21655 záznamů, plaintext+MD5, 20596 čitelných hesel (plaintext hesla vypadají generovaná náhodně o délce 5–6 znaků, hesla v MD5 už ne)
  77. saspi.cz: 5579 záznamů, MD5, 4828 čitelných he­sel
  78. satelit.cz: 2380 záznamů, DES crypt()+md5crypt, 0 čitelných hesel (161 účtů má md5crypt $1$)
  79. sawan.cz: 7537 záznamů, plaintext
  80. scandinaviashop­.cz: 2249 záznamů, MD5, 1327 čitelných he­sel
  81. scena.cz: 2142 záznamů, plaintext
  82. sexonline.cz: 2832 záznamů, plaintext
  83. sexyweb.cz: 8871 záznamů, plaintext
  84. signaturymali­ru.cz: 53377 záznamů, MD5, 50852 čitelných he­sel
  85. skmseno.cz: 5117 záznamů, plaintext+MD5, 4793 čitelných he­sel
  86. softball.cz: 640 záznamů, plaintext
  87. soural.cz: 93499 záznamů, MD5, 69840 čitelných he­sel
  88. spoltex-kravare.cz: 2036 záznamů, MD5+SHA-1, 447 čitelných hesel
  89. stoebich.cz: 1702 záznamů, MD5, 0 čitelných hesel
  90. www1.streetpun­k.cz: 1370 záznamů, SHA-1, 1351 čitelných he­sel
  91. mks.stribro.cz: 3422 záznamů, MD5, 3379 čitelných hesel (v kompilaci též jako infocentrum.stri­bro.cz a stribro.cz s o něco méně totožnými záznamy)
  92. studiumchemie.cz: 1495 záznamů, MD5, 0 čitelných hesel
  93. foto.sviga.cz: 4236 záznamů, plaintext+MD5, 4190 čitelných he­sel
  94. thalie.pilsfre­e.cz: 3796 záznamů, MySQL5 hash, 2794 čitelných he­sel
  95. valtickepodze­mi.cz: 1748 záznamů, MD5, 1618 čitelných he­sel
  96. w.veteranforum­.cz: 9520 záznamů, plaintext
  97. vysivaniberus­ka.cz: 537 záznamů, plaintext
  98. wifi.vscom.cz: 1085 záznamů, plaintext
  99. windseznam.pb.cz: 2244 záznamů, MD5, 2214 čitelných he­sel
  100. wohnout.nen.cz: 4429 záznamů, MD5, 0 čitelných hesel

Celkem to dělá necelých 450 tisíc hesel v čitelné podobě. Pokud se vám zdá, že z některého webu uniklo víc účtů, než kolik jich ve skutečnosti může mít v databázi, tak je to nejspíš proto, že kvůli sdílenému databázovému přístupu se podařilo jednou dírou vytáhnout data z více služeb.

V balíku „BigDB“ se nachází i pár souborů s názvy cz.txt apod., které jsou nejspíš kompilací některých dalších úniků a minimálně část obsahu se shoduje s hesly z databáze, která se objevila už v roce 2017. Celkem v nich je 3 295 430 hesel v čitelné podobě.

Analýza všech hesel

Když všechna ta hesla nasypeme na jednu hromadu a pustíme na ni analyzátor hesel Pipal, tak dostaneme tyto výsledky:

  • Celkový počet hesel: 3 740 880
  • Celkový počet unikátních hesel: 2 281 413
  • Nejčastější hesla:
    1. 123456 = 19 323 (0,52%)
    2. password = 13 155 (0,35%)
    3. 123456789 = 6 436 (0,17%)
    4. qwerty = 5 521 (0,15%)
    5. 12345 = 5 197 (0,14%)
  • Nejčastější základní slova:
    1. password = 15 619 (0,42%)
    2. qwerty = 9 953 (0,27%)
    3. martin = 4 747 (0,13%)
    4. heslo = 4 422 (0,12%)
    5. a838hfid = 4 124 (0,11%)
  • Délka hesel podle četnosti:
    1. 8 = 984 760 (26,32%)
    2. 6 = 734 481 (19,63%)
    3. 7 = 556 580 (14,88%)
    4. 9 = 410 853 (10,98%)
    5. 10 = 324 030 (8,66%)
  • Hesla složená pouze z malých písmen: 1 355 091 (36,22%)
  • Pouze z velkých písmen: 40 970 (1,1%)
  • Pouze písmena: 1 396 061 (37.32%)
  • Pouze čísla: 447 514 (11,96%)

Celkový počet unikátních e-mailů

V „BigDB“ je celkem 3 023 494 uni­kátních e-mailových adres a hesel v čitelné podobě, které pochází z českých webů, z toho 2 923 512 uni­kátních e-mailových adres s koncovkou .cz.

Pokud to dáme dohromady s e-maily z databáze 1,4 miliardy přihlašovacích jmen a hesel z prosince 2017, tak nám vyjde, že útočníci mají k dispozici 6,2 milionu unikátních e-mailových adres s koncovkou .cz a hesel, přičemž do toho nepočítám např. únik z Mall.cz a další, které v těchto obřích databázích z nějakého důvodu nejsou. To na tuhle malou zemičku není špatný.

Pokud nemáte každé heslo jiné, tak bych vám rád popřál hodně štěstí, budete ho potřebovat.

Mohlo by vás také zajímat

Michal Špaček

Michal Špaček

Vyvíjím webové aplikace, zajímá mě jejich bezpečnost. Nebojím se o tom mluvit veřejně, hledám hranice tak, že je posouvám. Chci naučit webové vývojáře stavět bezpečnější a výkonnější weby a aplikace.

Veřejná školení

Zvu vás na následující školení, která pořádám a vedu: