Специалист по инфобезопасности из Казахстана запустил Telegram-бота MailSearchBot, который выдаёт пароли по адресу почты
едридмадрид 18 Июня 2019 в 17:13:16
Батыржан Тютеев говорит, что собирал базу для работы, а открыл, чтобы обратить внимание на проблему защиты личных данных.
Основатель компании Nitro-Team и специалист по информационной безопасности из Казахстана Батыржан Тютеев запустил Telegram-бота, с помощью которого пользователь может проверить, попадали ли пароли от его электронной почты в базы утечек. 17 июня сервисом воспользовались больше 10 тысяч человек за час, рассказал Тютеев vc.ru.
Для проверки нужно отправить MailSearchBot адрес электронной почты, в ответ он пришлёт связанные с ним пароли, которые когда-либо попадали в базы с утечками, сказано в описании сервиса. Если в базах нет совпадений, бот ответит Not Found. Несколько редакторов vc.ru получили старые пароли от своих адресов, другому редактору бот прислал пароли, которые использовались в других сервисах.
Создатель MailSearchBot заверил, что не собирает адреса, которые пользователи присылают его боту. Некоторые пользователи уже просили удалить свои данные из базы, говорит Тютеев. Если появятся ещё запросы, то он добавит такую функцию в бота.
Сейчас в базе бота около 9 млрд адресов и паролей, ещё 3 млрд в очереди на загрузку, утверждает Тютеев. Соотношение количества адресов и паролей он не называет. Для сравнения, в базе популярного сервиса для отслеживания утечек паролей Have I Been Pwned почти 7,9 млрд аккаунтов.
Источники, по которым собраны данные, Тютеев не раскрывает, но утверждает, что кроме публичных среди них есть закрытые базы, которые раньше нигде не публиковались.
Изначально Тютеев собирал базу, чтобы упростить себе работу — Nitro-Team проводит тесты на проникновение (pentest), в том числе с применением социальной инженерии.
К примеру, если нужно попасть в сеть компании-клиента, специалист проверяет адреса её сотрудников в собранной базе, объясняет Тютеев. Даже если большая часть данных окажется неактуальной, то можно выявить закономерность в том, какие пароли выбирают люди, добавил он.
Создатель MailSearchBot признаёт: есть риск, что его сервис могут использовать злоумышленники — например, для взлома других пользователей. В то же время Тютеев указывает, что при желании все данные из базы можно найти в сети. Если всё же сервис будет использоваться для подобных целей, автор обещает закрыть бота.
https://vc.ru/services/71897-specialist-po-infobezopasnosti-iz-kazahstana-zapustil-telegram-bota-mailsearchbot-kotoryy-vydaet-paroli-po-adresu-pochty
Основатель компании Nitro-Team и специалист по информационной безопасности из Казахстана Батыржан Тютеев запустил Telegram-бота, с помощью которого пользователь может проверить, попадали ли пароли от его электронной почты в базы утечек. 17 июня сервисом воспользовались больше 10 тысяч человек за час, рассказал Тютеев vc.ru.
Для проверки нужно отправить MailSearchBot адрес электронной почты, в ответ он пришлёт связанные с ним пароли, которые когда-либо попадали в базы с утечками, сказано в описании сервиса. Если в базах нет совпадений, бот ответит Not Found. Несколько редакторов vc.ru получили старые пароли от своих адресов, другому редактору бот прислал пароли, которые использовались в других сервисах.
Создатель MailSearchBot заверил, что не собирает адреса, которые пользователи присылают его боту. Некоторые пользователи уже просили удалить свои данные из базы, говорит Тютеев. Если появятся ещё запросы, то он добавит такую функцию в бота.
Сейчас в базе бота около 9 млрд адресов и паролей, ещё 3 млрд в очереди на загрузку, утверждает Тютеев. Соотношение количества адресов и паролей он не называет. Для сравнения, в базе популярного сервиса для отслеживания утечек паролей Have I Been Pwned почти 7,9 млрд аккаунтов.
Источники, по которым собраны данные, Тютеев не раскрывает, но утверждает, что кроме публичных среди них есть закрытые базы, которые раньше нигде не публиковались.
Изначально Тютеев собирал базу, чтобы упростить себе работу — Nitro-Team проводит тесты на проникновение (pentest), в том числе с применением социальной инженерии.
К примеру, если нужно попасть в сеть компании-клиента, специалист проверяет адреса её сотрудников в собранной базе, объясняет Тютеев. Даже если большая часть данных окажется неактуальной, то можно выявить закономерность в том, какие пароли выбирают люди, добавил он.
Создатель MailSearchBot признаёт: есть риск, что его сервис могут использовать злоумышленники — например, для взлома других пользователей. В то же время Тютеев указывает, что при желании все данные из базы можно найти в сети. Если всё же сервис будет использоваться для подобных целей, автор обещает закрыть бота.
https://vc.ru/services/71897-specialist-po-infobezopasnosti-iz-kazahstana-zapustil-telegram-bota-mailsearchbot-kotoryy-vydaet-paroli-po-adresu-pochty
|