Что такое слитые пароли в телеграмме

А вы знали про Telegram –бот, который покажет ваши украденные пароли в сети? Обзор

В эпоху повышенной интернет активности и еще не сформированной культуры пользования интернетом, вопрос безопасности личных данных становиться как никогда актуальным. Мы даже не представляем, как и чем для нас может обернуться утечка той или иной конфиденциальной информации о нас или членах нашей семьи. Вот поэтому все больше и больше внимания приковывается к безопасности и надежности паролей, а так же выявлению фактов взлома ваших аккаунтов.

Серьезно облегчить работу по обеспечению безопасности ваших данных может разработка нового Telegram –бота, который способен по адресу вашей электронной почты выяснить попали ли какие-либо личные данные пользователя в сеть.

Автор бота

Автором этого Telegram –бота является специалист в сфере информационной безопасности Батыржан Тютеев, который и создал бота MailSearchBot. Батыржан решил привлечь внимание к вопросу защиты персональных данных и не преследует своим ботом каких-либо корыстных целей, он заверил, что не планирует использовать данные пользователей для продажи или организации взлома.

Данный бот способен проверить по почтовому адресу происходил ли какой-либо слив пароля и персональных данных в сеть интернет.

Для получения этой информации достаточно отправить в чат общения с ботом свой адрес на сервере gmail.com, mail.ru, яндекс или либо другого сервера. Если данная почта не была засвечена в подозрительных реестрах, а пароль не попал в открытые источники, то пользователь получит ответ о том, что ничего не найдено.

Если же пароли из почты были куда-то слиты, то в ответ придет перечень паролей из украденных баз данных. Пароли придут в замаскированном виде, так как часть данных будет скрыта посторонними символами, но владелец без труда сможет понять какой это пароль. Да и хакеры способны взломать пароли просто перебором цифр и символов, поэтом стоит оперативно поменять пароль на более надежный и нигде не засвеченный.

В ряде случае бот может дополнительно указать пароли от сайтов, где почта была использована для регистарции.

На данный момент в базе программы порядка 9 миллиардов записей логинов и паролей, еще порядка 3 миллиардов учетных записей готовятся к загрузке в базу программы. По словам автора, эта база данных пополняется как из открытых источников, так и из тех, которые никогда и нигде не были опубликованы официально.

ВАЖНО

Батыржан говорит о том, что его программа может быть использована злоумышленниками для взлома аккаунтов пользователей. Например, если использовать один и тот же пароль для разных сервисов и сайтов, то учетки легко могут быть взломаны, так как понять закономерность выбора следующего пароля не составит труда. Поэтому стоит быть осторожными и креативными в создании паролей для личных кабинетов и сервисов.

Будьте бдительны и берегите свои персональные данные в интернете тоже, мы еще даже не представляем к чему такая утечка может привести.

Источник

Запущен telegram-бот, который выдаёт пароли по адресу почты

Основатель компании Nitro-Team и ИБ-специалист Батыржан Тютеев запустил telegram-бот MailSearchBot, который позволяет проверить утечки паролей от email-адресов.

В базе MailSearchBot содержится примерно 9 миллиардов адресов и паролей, а в скором времени будет загружено ещё 3 миллиарда. Тютеев говорит, что база пополнялась как из открытых источников, так и закрытых, который нигде не публиковались.

Как проверить, утекли ли ваши пароли:

В некоторых случаях бот также показывает пароли от сайтов, на которых пользователь зарегистрировался с указанной почтой.

Если вы увидите, что какой-либо пароль из этой базы актуальный и до сих пор используется для входа в ваш почтовый ящик или другой сервис, в котором вы зарегистрированы, замените его, чтобы избежать взлома и утечки личных данных.

Тютеев признаёт, что существует риск использования MailSearchBot для взлома аккаунтов. Если какой-либо пользователь использует один и тот же пароль на разных сервисах, его учётные записи могут быть взломаны с помощью данных, полученных от этого бота. Также можно выявить закономерность, с какой пользователь выбирает пароли, и попытаться подобрать пароль для сайтов и сервисов, на которых он зарегистрирован. Разработчик не исключает, что в будущем в боте появится возможность отправлять запрос на удаление данных из базы.

Источник

Ищите свой: в Telegram появился бот, который покажет все «слитые» пароли

В Telegram появился бот MailSearchBot – с его помощью можно проверить, был ли ваш email-адрес в одной из утекших баз данных. Просто отправьте боту адрес почты, а он в ответ пришлет список паролей от нее, если они находились в одной из баз данных.

Создатель бота Батыржан Тютеев рассказал TJournal, что сейчас в базе бота находится около 9 миллиардов записей в связке «логин и пароль». И более 3 миллиардов ждут своей очереди для загрузки. По его словам, бот «собран на коленке» и запущен на домашнем компьютере.

– Я рекомендую сменить пароль в случае, если будет найден актуальный. Очень надеюсь, что никто не пострадает из-за работы моего бота, – говорит Тютеев.

По его словам, часть данных для бота ему предоставили такие же специалисты в области информационной безопасности (ИБ), как и он, но с условием, что он не будет монетизировать эти данные.

Тютеев отметил, что в час ботом пользуются около 10 тысяч уникальных пользователей. Но он добавил, что о боте, возможно, никто бы никогда и не узнал, если бы его друг и специалист в области ИБ не опубликовал бота в своем Tелеграм-канале «Кавычка».

Разработчик пояснил, что создал сервис, чтобы привлечь внимание к проблеме персональных данных. Тютеев живет в Казахстане, и, по его словам, несмотря на то что в стране есть закон о персональных данных, он не исполняется должным образом.

Источник

Уязвимость в Telegram позволяет обойти пароль local code любой длины

Из прошлого

В предыдущей своей работе я продемонстрировал уязвимость секретных чатов Telegram, и выложил видео-мануал по восстановлению local code Telegram на GNU/Linux/Windows/Android (взлом СЧ Telegram).

Недавно обнаружил «продолжение уязвимости»: Android-Telegram [обход local code пароля любой длины] (добавлена атака «отпечатком пальца»).

Некоторые комменты, которые я собираюсь опровергнуть, благодаря случайному эксперименту со своим подопытным Android-девайсом.

«На Хабре вышла статья под названием «Уязвимость в Telegram позволяет скомпрометировать секретные чаты». Громкий заголовок, да. Мы ознакомились с материалом и рекомендуем читателям поступить точно так же, хотя бы ради интереса.»
«в Android-версии Telegram уже несколько лет как можно вместо пин-кода задавать сложный буквенно-циферный пароль»

«В Андроид версии, ЕСТЬ возможность установить произвольный пароль, для тех кому мало 4х значного PIN»

«Можно юзать не пин, а пароль. Да и если у тебя root или разлоченый бутлоадер или не шифрованный телефон то о какой бесопасности личных данных вообще можно говорить?!»

«Во-вторых, жертва не должна включать на своем устройстве шифрование данных»

Отступление – были всякие (не только критика, что-то по жестче) «забавные» комментарии на счет атаки на Local Code, например, такой коммент:

«Техпод телеграмма, толпа тупых уе… ов, которые не хотят или не могут сказать Дурову, что оказывается взломать секретные чаты можно и для этого не надо ломать его хваленный протокол»

Переписывать прошлую статью не собираюсь, всё подробно расписано по крекингу local code в предыдущей работе, напомню ключевые моменты:
Telegram local code (pin) взламывается мгновенно с помощью JTR. Условия: нужен root; как выяснилось «сегодня» шифрование Android не всегда спасает; не спасет и вместо «pin» «password» local code Telegram.

Чтобы завладеть секретными чатами Telegram, достаточно было скопировать «несколько файлов» с root-девайса на другой, взломать некриптостойкий local code с помощью JTR. Скорость брутфорс атаки впечатляла, но всё же не такая быстрая, чтобы взломать «когда-нибудь» «password local code» > 30 знаков. Нашел способ атаковать «password local code Android-Telegram» любой длины и сложности.

Алгоритм атаки следующий

Имеем root; зашифрованный гаджет; пароль > 30 знаков на стороне жертвы; устройство отпечатка пальца не существует «то есть неважно».

Дубль

Удалил отпечаток на смартфоне, сбросил pin-cod смартфона. Установил новый pin на девайсе, создал новый отпечаток пальца. Провёл повторно эксперимент (вычистил полностью Telegram с устройств/инсталлировал) и новый отпечаток снова разблокировал чужую учетку Telegram.

Хет-трик

Для еще более высокой частоты эксперимента заменил устройство/условия. Со стороны жертвы заменил железо: VirtualBox на планшет Android 4.4.2 (устройство отпечатка пальца не существует); заменил учётку Telegram на другую.
Атакующий — уничтожил и полностью вычистил Telegram с устройства. Сбросил/изменил pin на устройстве Android 6, удалил отпечаток пальца и создал новый отпечаток другой подушечки фаланги пальца.
Установил 14-значный пароль local code на Android-e жертвы. Сделал бэкап только внешних данных.
На Android 6 установил Telegram из GP (позиция исследователя) и подсунул внешние данные от Android-a 4.4.2 (полный бэкап/развертывание невозможно, тк. приложение Telegram с планшета не установится на смартфон, поэтому установка приложения на Android 6 с GP, а не с бэкапа).
Запустил Telegram на Android 6, вход в чужую учётку невозможен: появился запрос local code (Который до сих пор взламывается с высокой скоростью в JTR). Приложил свой палец, и чужая учётка вновь открылась на стороне исследователя со всеми СЧ/перепиской.

Подводя итог по этой части статьи.

Telegram подвержен к атаке хищения ключей, но самое странное в мессенджере – «интегрированный отпечаток пальца в приложение». Яндекс деньги; Сбербанк-онлайн; keepass2android offline – не подвержен к подобной (продемонстрированной в этой статье) атаке. У всех перечисленных выше приложений имеется функция разблокировка приложения по отпечатку, но в Telegram она принудительно интегрирована (функция «разблокировка отпечатком пальца» не отключается/не настраивается на гаджете, на котором отсутствует устройство отпечатка пальца) и срабатывает, когда ее используют в коварных целях. В других приложениях функция «отпечаток пальца» не срабатывает – защита от мошенничества.

Мессенджер Telegram – массовый мессенджер, защиту нужно разрабатывать и для домохозяек и для всех. Лицо компании не прав, когда заявляет, что все беды от того, что скомпрометировано все на свете, кроме мессенджера Telegram. Как пример, эта унизительная уязвимость, которая демонстрирует «никакую» конфиденциальность пользователей рутованых Android девайсов.
Если Вы потеряете Ваш рутованный (в некоторых случаях — шифрованный) девайс, за финансы или keepass2android offline переживать не стоит (пароли не вскроют). Тот кто найдет гаджет — получит «лишь» доступ ко всем СЧ Telegram. Зачистка данных Telegram с нового устройства не поможет, если злоумышленник вскроет ее в оффлайн режиме (кэш останется на месте, а local code не защитит).
Понимает ли эту проблему PR-кампания Telegram-Dubai? Если да, то СЧ/TON не должны работать на рутованных устройствах! И официальный FAQ не спасёт репутацию компании, если начнется массовая компрометация устройств.
Telegram-Android v5.4 от 27.02.2019г.

ps/ не имеет отношения к Telegram

Так же мне удалось обойти шифрование на Android девайсе Leagoo и достать все данные, в том числе и данные Telegram для доступа к СЧ (атакой JTR, либо атакой отпечатком пальца).

На xda имеется стоковая прошивка данного гаджета и десятки кастомных (свободных) прошивок. Установил TWRP. Отформатировал устройство Android Leagoo, накатил прошивку Resurrection Remix 6 (одна из лучших на мой взгляд). Зашел в настройки – безопасность – зашифровать данные. Зашифровал. До загрузки гаджета стал требоваться пароль (в TWRP без пароля не монтировался главный раздел). Прошил secro.img от стоковой прошивки и пароль (все шифрование) благополучно исчез. В TWRP появилась возможность монтировать раздел без ввода пароля, /data/data/… стал доступен.
Шифрование же флешь накопителя (флешка microSD для гаджета) за счет криптографии самой ОС происходит честно.

Возможно данной проблеме (проблеме шифрования устройства) подвержены и другие гаджеты, но у меня их не так много, чтобы полноценно поэкспериментировать с разными моделями девайсов.

Источник

Боты атакуют. Тестируем телеграм-боты для поиска персональных данных

Содержание статьи

warning

Не­закон­ный сбор пер­сональ­ной информа­ции — это наруше­ние закона «О пер­сональ­ных дан­ных» и дру­гих законов РФ. Так­же подоб­ные дей­ствия могут обра­зовать сос­тав прес­тупле­ния по статье 137 УК РФ «Наруше­ние неп­рикос­новен­ности час­тной жиз­ни». Ни автор, ни редак­ция не несут ответс­твен­ности за любые пос­ледс­твия исполь­зования при­веден­ных в этой пуб­ликации све­дений, которые пред­став­лены здесь исклю­читель­но ради информи­рова­ния читате­ля.

Боль­шинс­тво ботов Telegram, выпол­няющих по зап­росу поль­зовате­ля поиск и выдачу пер­сональ­ных дан­ных, работа­ют по схе­ме OSINT, то есть опи­рают­ся на откры­тые источни­ки, для чего экс­плу­ати­руют API раз­личных служб и интернет‑ресур­сов. Дру­гие исполь­зуют сли­тые базы дан­ных, но такие сер­висы, во‑пер­вых, не всег­да фун­кци­они­руют ста­биль­но, а во‑вто­рых, испы­тыва­ют проб­лемы с акту­али­заци­ей информа­ции: любая утек­шая в паб­лик база со вре­менем уста­рева­ет и, разуме­ется, не обновля­ется. Монети­зиру­ются подоб­ные боты либо за счет донатов, либо за счет рек­ламы, или же адми­ны огра­ничи­вают количес­тво бес­плат­ных зап­росов, пос­ле чего бот начина­ет про­сить денег за каж­дую сле­дующую выдачу. Иног­да — если адми­ны ну очень жад­ные — исполь­зуют­ся все методы сра­зу.

Лю­ди ищут пер­сональ­ную информа­цию по раз­ным при­чинам. Кто‑то пыта­ется таким обра­зом отыс­кать сво­их от­равите­лей дол­жни­ков или сим­патич­ную сосед­ку по подъ­езду с боль­шими и кра­сивы­ми си… ними гла­зами. Кто‑то разыс­кива­ет пря­мые кон­такты бло­геров или вла­дель­цев паб­ликов либо пыта­ется из чис­того любопытс­тва пос­мотреть пос­ты в зак­рытых про­филях соц­сетей сво­ей быв­шей.

Еще мож­но по номеру машины отыс­кать мобиль­ный телефон под­резав­шего тебя на дороге водят­ла, поз­вонить ему, наз­вать по име­ни‑отчес­тву и веж­ливо поп­росить объ­ясне­ний. Некото­рые «гон­щики» в такие момен­ты почему‑то нем­ного сму­щают­ся. В общем, при­чины могут быть раз­ными, а средс­тво одно: условно‑бес­плат­ные Telegram-боты или услу­ги про­бива, до сих пор широко рек­ламиру­емые в дар­кне­те.

Оче­вид­но, что не все боты оди­нако­во полез­ны. Некото­рые про­сят денег, но в ответ либо не находят акту­аль­ную информа­цию, либо отда­ют откро­вен­ную туф­ту. Дру­гие вро­де бы работа­ют, но нас­толь­ко стран­но, что дос­товер­ность пред­лага­емых ботом дан­ных оста­ется сом­нитель­ной. Что­бы ты не тра­тил дра­гоцен­ное вре­мя и день­ги на поиск жем­чужин в куче орга­ничес­ких удоб­рений, твой любимый жур­нал про­тес­тировал наибо­лее популяр­ные боты в Telegram и пря­мо сей­час поделит­ся с тобой получен­ными резуль­татами. Пог­нали!

Get Contact

Тот самый леген­дарный бот, сыг­равший немало­важ­ную роль в нашумев­шем рас­сле­дова­нии. Бот показы­вает, как имен­но записан номер мобиль­ного телефо­на в адресной кни­ге дру­гих або­нен­тов. Информа­цию железя­ка чер­пает с мобиль­ных устрой­ств або­нен­тов, уста­новив­ших при­ложе­ние Get Contact, поэто­му, если на телефо­нах тво­их дру­зей эта прог­рамма не уста­нов­лена, никаких дан­ных ты не получишь. В день бот поз­воля­ет отпра­вить не боль­ше трех телефон­ных номеров.

Не знаю, с чем имен­но свя­зано это досад­ное явле­ние — с наруше­нием в логике сер­виса или с вне­зап­ным нап­лывом кли­ентов, но поль­зовать­ся сей­час Telegram-ботом Get Contact — бес­полез­ная тра­та вре­мени.

«Глаз Бога»

Еще один популяр­ный бот, упо­минав­ший­ся в ряде недав­них жур­налист­ских пуб­ликаций. Бот обла­дает доволь­но‑таки обширным набором фун­кций: поиск по име­ни в прос­том тек­сто­вом фор­мате, по номеру авто­моби­ля, по номеру телефо­на, по адре­су элек­трон­ной поч­ты, по наз­ванию юри­дичес­кого лица или ИНН.

Telegram-бот «Глаз Бога»

Для отправ­ки команд бот тре­бует под­писать­ся на собс­твен­ный канал, но даже это не гаран­тиру­ет резуль­тата. По телефо­ну «Глаз Бога» выда­ет наз­вание опе­рато­ра и его реги­он (видимо, для тех, кто не уме­ет опре­делять эти дан­ные на глаз), воз­можное имя (я ввел нес­коль­ко телефон­ных номеров — име­на сов­пали). Еще он может най­ти поч­товые адре­са (веро­ятнее все­го, по базе адми­нис­тра­торов доменов), стра­ницу «ВКон­такте», акка­унт «Телег­рам», WhatsApp, чис­ло инте­ресо­вав­шихся пер­сонажем до тебя. Но эту информа­цию бот пре­дос­тавит за 30 руб­лей. То же самое каса­ется поис­ка по номеру авто­моби­ля: бес­плат­но бот показы­вает толь­ко реги­он (который мож­но опре­делить и так), а за трид­цатку пред­лага­ет ска­чать отчет «Авто­кода». При этом дан­ные об авто­моби­ле по его номеру при желании нет­рудно отыс­кать в этих ваших интерне­тах бес­плат­но.

Ес­ли ты вве­дешь адрес элек­трон­ной поч­ты, бот любез­но покажет тебе логин (до сим­вола @ ) и домен (пос­ле @ ) — это осо­бо цен­ная информа­ция! Так­же тебе пред­ложат купить адрес при­вязан­ной к это­му мылу стра­нич­ки «ВКон­такте» и свя­зан­ные с email пароли из какой‑то сли­той базы. По име­ни бот ищет толь­ко номер телефо­на в задан­ном реги­оне, находит неп­равиль­ный и для его прос­мотра пред­лага­ет купить под­писку.

В общем и целом поль­за от это­го бота показа­лась мне весь­ма сом­нитель­ной: инфу, которую «Глаз Бога» отда­ет бес­плат­но, мож­но при желании нагуг­лить и без него, а плат­ная информа­ция скуд­на и не всег­да дос­товер­на.

Продолжение доступно только участникам

Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее

Вариант 2. Открой один материал

Заинтересовала статья, но нет возможности стать членом клуба «Xakep.ru»? Тогда этот вариант для тебя! Обрати внимание: этот способ подходит только для статей, опубликованных более двух месяцев назад.

ShəLMā

Киберпанк, технокрыс и просто мерзкая личность.

Источник