skip to main | skip to sidebar
49 commenti

Possibile furto di password per 5 milioni di account Google

Questo articolo vi arriva grazie alla gentile donazione di “tomcec” e alle segnalazioni di “lrosa” e “mauriziog” ed è stato aggiornato dopo la pubblicazione iniziale.

Stando a Russia Today, sta circolando in Rete un file contenente circa 5 milioni di nomi utente e password di account Google. Una versione del database priva di password è qui: sfogliatela per vedere se contiene il vostro nome utente, nel qual caso è meglio cambiare password e in generale attivare l'autenticazione a due fattori.

Aggiornamento (16:00): Oversecurity ha alcuni dettagli aggiuntivi e una copia del file. Da mail private che mi sono giunte e dai commenti qui sotto risulta che almeno alcuni degli indirizzi elencati sono reali.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (49)
Io non ci sono però una cosa curiosa l'ho trovata. Per verificare che fossero indirizzi reali (specialmente i primi mi sembravano più che inventati) e che la notizia non fosse falsa, ho preso un indirizzo che poteva sembrare italico (giovanni.passalacqua@gmail.com) e l'ho cercato su google plus scoprendo che appartiene ad un certo "Marco Girgenti Meli". E che c'entra con "Giovanni"? E che c'entra con"Passalacqua"? Chi chiamandosi Marco, si creerebbe una e-mail con "Giovanni"?
(non sto divulgano nulla di segreto, questo indirizzo è nel file)
Per chi volesse dedicarsi ad un po' di analisi degli utenti per capire da dove arrivino queste password, su Linux o Unix (OSX conta come Unix):

sed -n -e 's:.*+\(.*\)@.*:\1:p' google_5000000.txt | sort | uniq -c | sort -n | tail -n 25

O fate riferimento al tweet su https://twitter.com/flameeyes/status/509647320757960704 se la formattazione va a farsi benedire.

Guardando un po' più attentamente pare che almeno il forum di MythTV sia parte del leak.
Curiosamente il file contiene un mix di email tra gmail.com e yandex.ru
I miei account sono salvi! Comunque, in questi casi, la doppia autenticazione aiuta :)
È possibile utilizzare anche questo sito https://isleaked.com/en.php :)
5milioni di indirizzi mail: i signori dello spam gioiranno per questo file.
Purtroppo quel link col db senza password è lento come una veccha connessione telefonica e dopo un po' va in errore.
Fiuu, il mio account non c'è. Certo che ce ne vuole di tempo, ad aprire il bloc note con cinque milioni di nomi, il mio pc ci ha messo più di mezz'ora. Poi li ho visti tutti attaccati, e ho usato lo strumento "trova". La maggior parte non sono gmail.com, ma yandex.ru. Non è la prima volta che vedo tentativi di attacco dalla russia, di solito "phishing" mail.
Io mi sono ritrovato tra i nominati. :-/
Ho cambiato la password al volo, ora sarebbe interessante quale password hanno preso. Io la cambio molto spesso.
I complottisti direbbero che qualcuno si è venduto le password.
Quanto valgono 5 milioni di password ?
Visto che il link originale è un po' lento ho trovato questo: https://mega.co.nz/#!rgFDDRSD!QyyLxZNnR8i9fF_aNkKI-wUIUV3fjX5o0dxdl-bE3zQ
Ho verificato che non ci sono differenze tra i due file e l'hash sha1 è:
c8663433f4ec29a17e0e42006b8d5b760328d90f
Per chi ha linux (forse anche Mac OS) basta de-zippare il file e fare, da terminale

grep tuoindirizzoemail google_5000000.txt

per vedere se si è inclusi nella fantomatica lista senza aprire un file da 108Mb.
@rico in realtà la maggior parte sono gmail.com ma c'è una grossa quantità di yandex.ru. Una stima, imperfetta perché il file è mal formattato è

123224 yandex.ru
4799813 gmail.com

Il file però contiene anche delle password!

In ogni caso ad un'occhiata superficiale ho trovato un paio di persone che conosco e almeno una delle due usa un indirizzo specifico per un sito, e dopo aver dato un altro po' di occhiate almeno un sito uhm adulto e qualche forum (mythtv per esempio) sono comuni tra i nomi utente, quindi probabilmente è più una raccolta di password rubate a forum e altri siti.
@Roberto andando su https://isleaked.com/en.php ed inserendo la propria email è possibile vedere se sia compresa nella lista, mostrando anche le prime due lettere della password rubata
con grep la ricerca è immediata, per esempio; di email con la parola marco ce ne sono 2748, con paolo 592. Tutto questo per la precisione. ;)
Questa dovrebbe essere una copia su mega
https://mega.co.nz/#!rgFDDRSD!QyyLxZNnR8i9fF_aNkKI-wUIUV3fjX5o0dxdl-bE3zQ
ma non ho l'originale per cui non posso controllare.
Questo commento è stato eliminato dall'autore.
Il link fornito da Paolo è congestionato. Ho trovato il file txt "google_5000000" contenente l'elenco degli account su Mega a questo indirizzo http://tinyurl.com/ps5g3xt
A me, lento o meno, non si apre nessuno dei link con l'elenco incriminato.
In ogni modo, vado a cambiare password a tutti i gmail. Si sa mai.
Uff.

(con questo commento, mi sembra ovvio che posso partecipare alla campagna del #noncelapossofare)
Questo commento è stato eliminato dall'autore.
altro link per il db intero http://www.fileconvoy.com/dfl.php?id=g38ca78564e708da599955382799c4a4ffd1cdcd30
cioè: mi dovrei leggere 5 milioni di account per vedere se c'è il mio? mi sa che mi conviene cambiare password col sistema del numero telefonico
Massy Biagio, no.

Basta che apri il file e clicchi sul pulsante "trova". Dopodiché digiti il tuo indirizzo email.
Non ho trovato nessuna mail mia o di miei conoscenti per verificare, ma (anche se in molti qui sembrano averlo già capito ma forse lo danno già per scontato) è meglio precisare che tutti gli indizi puntano ad una collezione di furti di password di account registrati con email @gmail.com (e @yandex.ru e @mail.ru) su servizi vari di cui sono state rubate le password, non a un furto di password di account Google.
se hai windows basta aprire cmd e lanciare find "tuamail" "filecon5000k_di_email" così cerchi dentro il tuo indirizzo, senza aprirlo, 5.000.000 di righe sono indigeste per parecchi sw.
Ho scritto un po' una disanima della mia analisi del file, disponibile (in inglese) qui: https://blog.flameeyes.eu/2014/09/how-to-analyze-a-dump-of-usernames

Come ha detto Tukler, sono breach di siti minori che han portato a questo dump. Ma c'è troppa gente che non ha "igiene" sulle proprie password e riusa la stessa tra siti diversi. Il risultato sono problemi come questo :(

Ma decisamente è meno interessate di quanto possa sembrare...
SI ma non riesco ad aprirlo questo file, come faccio? Seven zip mi va in errore
Confermo che non sono password di account Google veri e propri, ma di altri siti registrati usando la gmail.
Ho trovato la mia mail e poi ho verificato sul sito isleaked e mi ha dato le prime due lettere della pass.. che non ho mai usato su gmail.
L'autenticazione a 2fattori è indispensabile oramai, attivata non appena fu disponibile.
Consiglio anche l'uso di Lastpass, mi permetto questa pubblicità gratuita, ma fa egregiamente il suo lavoro.
Aggiungo un dettaglio.
Qui in ufficio ci siamo collegati a isLeaked.com e l'unica email che risulta presente è quella del mio socio, che ne cambia frequentemente la password. Ironia, tra me e lui il più paranoico in termini di sicurezza è proprio lui.
Le due lettere della password mostrata dalla pagina di responso coincidono, ma erano contenute in una password vecchissima, risalente ad almeno 1 anno fa, cambiata ormai almeno cinque volte.

Hanno rubato le password un sacco di tempo fa / hanno iniziato a rubarle un sacco di tempo fa e hanno fatto 'outing' solo una volta raggiunto la quota di 5.000K?
Scusate ma non ho capito...Ho scaricato il file di testo sia dal link di Paolo che quello di un altro utente, unzippato, e quando lo apro c'è sempre e solo un indirizzo internet https://forum.btcsec.com/index.php?/topic/9426-gmail-meniai-parol/
Dove sarebbero tutti questi indirizzi email e password???
Comunque se è la stessa cosa io ho controllato all'indirizzo postato sempre da un altro utente cioè questo https://isleaked.com/en.php
NOTA: per aprire il file txt da 100MB ho usato Notepad++ su Windows che se l'è digerito in pochi secondi con un consumo di ram relativamente esiguo (250MB)
Ho trovato un mio account secondario nella lista, modificata la password al volo. Tra l'altro è un vecchio account gmail che uso pochissimo.
La cosa che mi sfugge è il motivo per cui stanno diffondendo file con sole email... voglio dire, il danno è fatto, una vita a parlare contro la security though obscurity e adesso? :) Ad ogni modo il mio indirizzo c'era, ma vedendolo senza password associata è difficile dire se sia stato inserito a casaccio o con password allegata.
Innanzitutto un grazie a Paolo per averci avvisato, la mia email era nella lista :( Comunque sono riuscito a scaricare dal forum russo il file con le password e in realtà almeno nel mio caso era effettivamente una password ma era comunque vecchia non più usata; per non sbagliare ho seguito il consiglio di Paolo cambiando la password e abilitando la doppia autenticazione.
Ho trovato il mio indirizzo di GMail :-(
Ma non so se la password fosse quella più recente, che avevo cambiato prima dell'estate. L'ho cambiata di nuovo.
Strano che sia stato violato, perché su questo account avevo attivato la sicurezza con il numero di telefono.
Cos'è l'autenticazione a due fattori?
Il mio indirizzo non è sulla lista. Meno male.
Comunque potrebbe essere non solo una lista di account Gmail con le relative password, ma magari anche una lista di login ad altri siti, i quali siti utilizzano, come username, l'indirizzo e-mail dell'utente.
(queste liste sono utilizzate moltissimo da tutti coloro che "crackano" gli account di siti di hosting, siti p***o, ecc.).
Vedo dai commenti che il dubbio è confermato... Le password rubate probabilmente sono vecchie. A questo punto la domanda è un'altra, come le hanno usare? Io non ho mai notato movimenti sospetti..
Ah ok risolto. Non so perché ma winrar mi faceva vedere solo 1 documento e che appunto quando lo aprivo l'unica cosa che c'era era quel link al sito russo. Se lo selezionavo e poi facevo "extract" mi dava sempre e solamente quel file di testo con il link, invece non selezionando niente e facendo "extract" e basta finalmente mi ha aperto il file contenente gli indirizzi email...Boh, misteri dell'informatica.
Volendo essere precisi (usato il "banale" notepad++, che apre il fiel di testo in formato UNIX in automatico):

4929090 record
4804296 @gmail(.com, ...)
123225 @yandex.ru
27 @yahoo.com
29 @hotmail(.com, ...)
9 @yahoo.co.in
1 @gawab.com
1 @bellsouth.net
1 @bhl.com.au
1 @live.co.uk
...
...

355 password in chiaro
Confermo, ho trovato il file con le password e nel mio caso coincidono con quella che usavo molti anni fa, e che ho cambiato forse altre 30-40 volte, facendo un calcolo ad occhio. Molti altri colleghi si sono ritrovati con la mail in lista con password vecchie corrispondenti, è possibile - ma ipotizzo soltanto - che abbiano mischiato dati vecchi e nuovi. Curioso di sapere come reagirà Google...
Nel file linkato nell'articolo c'è un file di testo con questo testo:
"Hotlinking not allowed. Go to https://forum.btcsec.com/index.php?/topic/9426-gmail-meniai-parol/"

Ho guardato il file di oversecurity, che è 28mb contro 245byte.

La mia mail non c'è. Comunque... il sito isleaked indicato da oversecurity ti sembra affidabile?
Perché io quando mi chiedono di inserire la mail sento sempre puzza di bruciato... soprattutto se legata a questo tipo di notizie.

So di essere diffidente, ma non mi stupirei se alla fine della procedura saltasse fuori un bel pharming del tipo "clicca qui per cambiare la tua password".
Su isleaked si possono mettere gli indirizzi con massimo 3 asterischi, per chi giustamente non si fida.
Ma mettendo gli asterischi informano solo se esiste una corrispondenza o meno, ma ovviamente non forniscono le prime due lettere della password per controllarla.
Non ci sono. Fiù!

no, perché pare che cambiare la password oggi sia diventato impossibile.
Io ci ho trovato un mio indirizzo gmail che ho disattivato ormai quasi 3 anni fa, e la password non era quella che usavo per l'account google. Quindi è roba vecchia e probabilmente rubata a qualche sito per adulti o similia.
Attezione ad usare il sito per le verifiche, secondo questo articolo ( http://jameswatt.me/2014/09/10/isleaked-com-registered-2-days-before-gmail-leak-public/ ) è stato registrato 2 giorni prima della divulgazione dell'elenco e puzza di trappola per recuperare mail attive.
Saluti Sergio
Grazie zanatta della segnalazione purtroppo io come un pollo visto che qualche utente lo consigliava sono corso a mettere le miei email #-# spero non sia davvero un sito gestito da qualche criminale informatico....
OK, alcuni commenti interessanti solo dal punto di vista informatico:
1) @Paolo lo sai che mega dall'italia e' bloccato? InteLLIGIENZA delle nostre istituzioni... cmq a chi interessa scaricatevi tor browser.
2) Non conoscevo il sito "is leaked?" e francamente... continuero a non conoscerlo. Come linea di principio direi di non inserire la propria email su un sito russo che, guarda caso, si sta' occupando della nuova paura che dilaga su internet...
3) Ho visto molti che hanno detto di aver scaricato il file con le password. domanda da un miglione di dollari: Come? non mi interessa avere il file, mi interessa di piu come siete rieusciti a procurarvelo...

Grazie e ciao,
Giovanni
@Cmd.J.Keyl

Io riesco ad accedere a mega senza nessun problema, immagino sia perché ho cambiato i DNS mettendo quelli di google, non serve quindi tor. Il file si scarica come qualsiasi altro file, se vai su mega fai partire il download, se clicchi sul link messo da Paolo aspetti che ti scarica il file. Voglio dire non è così difficile... XD