Cerca nel blog

2014/09/10

Possibile furto di password per 5 milioni di account Google

Questo articolo vi arriva grazie alla gentile donazione di “tomcec” e alle segnalazioni di “lrosa” e “mauriziog” ed è stato aggiornato dopo la pubblicazione iniziale.

Stando a Russia Today, sta circolando in Rete un file contenente circa 5 milioni di nomi utente e password di account Google. Una versione del database priva di password è qui: sfogliatela per vedere se contiene il vostro nome utente, nel qual caso è meglio cambiare password e in generale attivare l'autenticazione a due fattori.

Aggiornamento (16:00): Oversecurity ha alcuni dettagli aggiuntivi e una copia del file. Da mail private che mi sono giunte e dai commenti qui sotto risulta che almeno alcuni degli indirizzi elencati sono reali.

49 commenti:

Michele/ENERGIA ha detto...

Io non ci sono però una cosa curiosa l'ho trovata. Per verificare che fossero indirizzi reali (specialmente i primi mi sembravano più che inventati) e che la notizia non fosse falsa, ho preso un indirizzo che poteva sembrare italico (giovanni.passalacqua@gmail.com) e l'ho cercato su google plus scoprendo che appartiene ad un certo "Marco Girgenti Meli". E che c'entra con "Giovanni"? E che c'entra con"Passalacqua"? Chi chiamandosi Marco, si creerebbe una e-mail con "Giovanni"?
(non sto divulgano nulla di segreto, questo indirizzo è nel file)

Diego Elio Pettenò ha detto...

Per chi volesse dedicarsi ad un po' di analisi degli utenti per capire da dove arrivino queste password, su Linux o Unix (OSX conta come Unix):

sed -n -e 's:.*+\(.*\)@.*:\1:p' google_5000000.txt | sort | uniq -c | sort -n | tail -n 25

O fate riferimento al tweet su https://twitter.com/flameeyes/status/509647320757960704 se la formattazione va a farsi benedire.

Guardando un po' più attentamente pare che almeno il forum di MythTV sia parte del leak.

nrc ha detto...

Curiosamente il file contiene un mix di email tra gmail.com e yandex.ru

cip650 ha detto...

I miei account sono salvi! Comunque, in questi casi, la doppia autenticazione aiuta :)

Luigi Teschio ha detto...

È possibile utilizzare anche questo sito https://isleaked.com/en.php :)

luca ha detto...

5milioni di indirizzi mail: i signori dello spam gioiranno per questo file.

Dumdumderum ha detto...

Purtroppo quel link col db senza password è lento come una veccha connessione telefonica e dopo un po' va in errore.

rico ha detto...

Fiuu, il mio account non c'è. Certo che ce ne vuole di tempo, ad aprire il bloc note con cinque milioni di nomi, il mio pc ci ha messo più di mezz'ora. Poi li ho visti tutti attaccati, e ho usato lo strumento "trova". La maggior parte non sono gmail.com, ma yandex.ru. Non è la prima volta che vedo tentativi di attacco dalla russia, di solito "phishing" mail.

Roberto ha detto...

Io mi sono ritrovato tra i nominati. :-/
Ho cambiato la password al volo, ora sarebbe interessante quale password hanno preso. Io la cambio molto spesso.

Anonimo ha detto...

I complottisti direbbero che qualcuno si è venduto le password.
Quanto valgono 5 milioni di password ?

Paolo ha detto...

Visto che il link originale è un po' lento ho trovato questo: https://mega.co.nz/#!rgFDDRSD!QyyLxZNnR8i9fF_aNkKI-wUIUV3fjX5o0dxdl-bE3zQ
Ho verificato che non ci sono differenze tra i due file e l'hash sha1 è:
c8663433f4ec29a17e0e42006b8d5b760328d90f

Anonimo ha detto...

Per chi ha linux (forse anche Mac OS) basta de-zippare il file e fare, da terminale

grep tuoindirizzoemail google_5000000.txt

per vedere se si è inclusi nella fantomatica lista senza aprire un file da 108Mb.

Diego Elio Pettenò ha detto...

@rico in realtà la maggior parte sono gmail.com ma c'è una grossa quantità di yandex.ru. Una stima, imperfetta perché il file è mal formattato è

123224 yandex.ru
4799813 gmail.com

Il file però contiene anche delle password!

In ogni caso ad un'occhiata superficiale ho trovato un paio di persone che conosco e almeno una delle due usa un indirizzo specifico per un sito, e dopo aver dato un altro po' di occhiate almeno un sito uhm adulto e qualche forum (mythtv per esempio) sono comuni tra i nomi utente, quindi probabilmente è più una raccolta di password rubate a forum e altri siti.

nrc ha detto...

@Roberto andando su https://isleaked.com/en.php ed inserendo la propria email è possibile vedere se sia compresa nella lista, mostrando anche le prime due lettere della password rubata

cip650 ha detto...

con grep la ricerca è immediata, per esempio; di email con la parola marco ce ne sono 2748, con paolo 592. Tutto questo per la precisione. ;)

Scatola Grande ha detto...

Questa dovrebbe essere una copia su mega
https://mega.co.nz/#!rgFDDRSD!QyyLxZNnR8i9fF_aNkKI-wUIUV3fjX5o0dxdl-bE3zQ
ma non ho l'originale per cui non posso controllare.

Paolo Galluzzi ha detto...
Questo commento è stato eliminato dall'autore.
PhthonosTheon ha detto...

Il link fornito da Paolo è congestionato. Ho trovato il file txt "google_5000000" contenente l'elenco degli account su Mega a questo indirizzo http://tinyurl.com/ps5g3xt

Econoprof ha detto...

A me, lento o meno, non si apre nessuno dei link con l'elenco incriminato.
In ogni modo, vado a cambiare password a tutti i gmail. Si sa mai.
Uff.

(con questo commento, mi sembra ovvio che posso partecipare alla campagna del #noncelapossofare)

cip650 ha detto...
Questo commento è stato eliminato dall'autore.
cip650 ha detto...

altro link per il db intero http://www.fileconvoy.com/dfl.php?id=g38ca78564e708da599955382799c4a4ffd1cdcd30

Massy Biagio ha detto...

cioè: mi dovrei leggere 5 milioni di account per vedere se c'è il mio? mi sa che mi conviene cambiare password col sistema del numero telefonico

Stupidocane ha detto...

Massy Biagio, no.

Basta che apri il file e clicchi sul pulsante "trova". Dopodiché digiti il tuo indirizzo email.

Tukler ha detto...

Non ho trovato nessuna mail mia o di miei conoscenti per verificare, ma (anche se in molti qui sembrano averlo già capito ma forse lo danno già per scontato) è meglio precisare che tutti gli indizi puntano ad una collezione di furti di password di account registrati con email @gmail.com (e @yandex.ru e @mail.ru) su servizi vari di cui sono state rubate le password, non a un furto di password di account Google.

cip650 ha detto...

se hai windows basta aprire cmd e lanciare find "tuamail" "filecon5000k_di_email" così cerchi dentro il tuo indirizzo, senza aprirlo, 5.000.000 di righe sono indigeste per parecchi sw.

Diego Elio Pettenò ha detto...

Ho scritto un po' una disanima della mia analisi del file, disponibile (in inglese) qui: https://blog.flameeyes.eu/2014/09/how-to-analyze-a-dump-of-usernames

Come ha detto Tukler, sono breach di siti minori che han portato a questo dump. Ma c'è troppa gente che non ha "igiene" sulle proprie password e riusa la stessa tra siti diversi. Il risultato sono problemi come questo :(

Ma decisamente è meno interessate di quanto possa sembrare...

Tobacco ha detto...

SI ma non riesco ad aprirlo questo file, come faccio? Seven zip mi va in errore

Fiz ha detto...

Confermo che non sono password di account Google veri e propri, ma di altri siti registrati usando la gmail.
Ho trovato la mia mail e poi ho verificato sul sito isleaked e mi ha dato le prime due lettere della pass.. che non ho mai usato su gmail.
L'autenticazione a 2fattori è indispensabile oramai, attivata non appena fu disponibile.
Consiglio anche l'uso di Lastpass, mi permetto questa pubblicità gratuita, ma fa egregiamente il suo lavoro.

Stuart Delta ha detto...

Aggiungo un dettaglio.
Qui in ufficio ci siamo collegati a isLeaked.com e l'unica email che risulta presente è quella del mio socio, che ne cambia frequentemente la password. Ironia, tra me e lui il più paranoico in termini di sicurezza è proprio lui.
Le due lettere della password mostrata dalla pagina di responso coincidono, ma erano contenute in una password vecchissima, risalente ad almeno 1 anno fa, cambiata ormai almeno cinque volte.

Hanno rubato le password un sacco di tempo fa / hanno iniziato a rubarle un sacco di tempo fa e hanno fatto 'outing' solo una volta raggiunto la quota di 5.000K?

antifuffa83 ha detto...

Scusate ma non ho capito...Ho scaricato il file di testo sia dal link di Paolo che quello di un altro utente, unzippato, e quando lo apro c'è sempre e solo un indirizzo internet https://forum.btcsec.com/index.php?/topic/9426-gmail-meniai-parol/
Dove sarebbero tutti questi indirizzi email e password???
Comunque se è la stessa cosa io ho controllato all'indirizzo postato sempre da un altro utente cioè questo https://isleaked.com/en.php

Fiz ha detto...

NOTA: per aprire il file txt da 100MB ho usato Notepad++ su Windows che se l'è digerito in pochi secondi con un consumo di ram relativamente esiguo (250MB)

abfio ha detto...

Ho trovato un mio account secondario nella lista, modificata la password al volo. Tra l'altro è un vecchio account gmail che uso pochissimo.

Salvatore Capolupo ha detto...

La cosa che mi sfugge è il motivo per cui stanno diffondendo file con sole email... voglio dire, il danno è fatto, una vita a parlare contro la security though obscurity e adesso? :) Ad ogni modo il mio indirizzo c'era, ma vedendolo senza password associata è difficile dire se sia stato inserito a casaccio o con password allegata.

Skyline ha detto...

Innanzitutto un grazie a Paolo per averci avvisato, la mia email era nella lista :( Comunque sono riuscito a scaricare dal forum russo il file con le password e in realtà almeno nel mio caso era effettivamente una password ma era comunque vecchia non più usata; per non sbagliare ho seguito il consiglio di Paolo cambiando la password e abilitando la doppia autenticazione.

Diego Cuoghi ha detto...

Ho trovato il mio indirizzo di GMail :-(
Ma non so se la password fosse quella più recente, che avevo cambiato prima dell'estate. L'ho cambiata di nuovo.
Strano che sia stato violato, perché su questo account avevo attivato la sicurezza con il numero di telefono.
Cos'è l'autenticazione a due fattori?

Range ha detto...

Il mio indirizzo non è sulla lista. Meno male.
Comunque potrebbe essere non solo una lista di account Gmail con le relative password, ma magari anche una lista di login ad altri siti, i quali siti utilizzano, come username, l'indirizzo e-mail dell'utente.
(queste liste sono utilizzate moltissimo da tutti coloro che "crackano" gli account di siti di hosting, siti p***o, ecc.).

Roberto ha detto...

Vedo dai commenti che il dubbio è confermato... Le password rubate probabilmente sono vecchie. A questo punto la domanda è un'altra, come le hanno usare? Io non ho mai notato movimenti sospetti..

antifuffa83 ha detto...

Ah ok risolto. Non so perché ma winrar mi faceva vedere solo 1 documento e che appunto quando lo aprivo l'unica cosa che c'era era quel link al sito russo. Se lo selezionavo e poi facevo "extract" mi dava sempre e solamente quel file di testo con il link, invece non selezionando niente e facendo "extract" e basta finalmente mi ha aperto il file contenente gli indirizzi email...Boh, misteri dell'informatica.

Luca Bandini ha detto...

Volendo essere precisi (usato il "banale" notepad++, che apre il fiel di testo in formato UNIX in automatico):

4929090 record
4804296 @gmail(.com, ...)
123225 @yandex.ru
27 @yahoo.com
29 @hotmail(.com, ...)
9 @yahoo.co.in
1 @gawab.com
1 @bellsouth.net
1 @bhl.com.au
1 @live.co.uk
...
...

355 password in chiaro

Salvatore Capolupo ha detto...

Confermo, ho trovato il file con le password e nel mio caso coincidono con quella che usavo molti anni fa, e che ho cambiato forse altre 30-40 volte, facendo un calcolo ad occhio. Molti altri colleghi si sono ritrovati con la mail in lista con password vecchie corrispondenti, è possibile - ma ipotizzo soltanto - che abbiano mischiato dati vecchi e nuovi. Curioso di sapere come reagirà Google...

Anonimo ha detto...

Nel file linkato nell'articolo c'è un file di testo con questo testo:
"Hotlinking not allowed. Go to https://forum.btcsec.com/index.php?/topic/9426-gmail-meniai-parol/"

Ho guardato il file di oversecurity, che è 28mb contro 245byte.

La mia mail non c'è. Comunque... il sito isleaked indicato da oversecurity ti sembra affidabile?
Perché io quando mi chiedono di inserire la mail sento sempre puzza di bruciato... soprattutto se legata a questo tipo di notizie.

So di essere diffidente, ma non mi stupirei se alla fine della procedura saltasse fuori un bel pharming del tipo "clicca qui per cambiare la tua password".

Stupidocane ha detto...

Su isleaked si possono mettere gli indirizzi con massimo 3 asterischi, per chi giustamente non si fida.

axlman ha detto...

Ma mettendo gli asterischi informano solo se esiste una corrispondenza o meno, ma ovviamente non forniscono le prime due lettere della password per controllarla.

Reiuky ha detto...

Non ci sono. Fiù!

no, perché pare che cambiare la password oggi sia diventato impossibile.

Matteo Ciccone ha detto...

Io ci ho trovato un mio indirizzo gmail che ho disattivato ormai quasi 3 anni fa, e la password non era quella che usavo per l'account google. Quindi è roba vecchia e probabilmente rubata a qualche sito per adulti o similia.

SERGIO ZANATTA ha detto...

Attezione ad usare il sito per le verifiche, secondo questo articolo ( http://jameswatt.me/2014/09/10/isleaked-com-registered-2-days-before-gmail-leak-public/ ) è stato registrato 2 giorni prima della divulgazione dell'elenco e puzza di trappola per recuperare mail attive.
Saluti Sergio

antifuffa83 ha detto...

Grazie zanatta della segnalazione purtroppo io come un pollo visto che qualche utente lo consigliava sono corso a mettere le miei email #-# spero non sia davvero un sito gestito da qualche criminale informatico....

Cmd.J.Keyl ha detto...

OK, alcuni commenti interessanti solo dal punto di vista informatico:
1) @Paolo lo sai che mega dall'italia e' bloccato? InteLLIGIENZA delle nostre istituzioni... cmq a chi interessa scaricatevi tor browser.
2) Non conoscevo il sito "is leaked?" e francamente... continuero a non conoscerlo. Come linea di principio direi di non inserire la propria email su un sito russo che, guarda caso, si sta' occupando della nuova paura che dilaga su internet...
3) Ho visto molti che hanno detto di aver scaricato il file con le password. domanda da un miglione di dollari: Come? non mi interessa avere il file, mi interessa di piu come siete rieusciti a procurarvelo...

Grazie e ciao,
Giovanni

antifuffa83 ha detto...

@Cmd.J.Keyl

Io riesco ad accedere a mega senza nessun problema, immagino sia perché ho cambiato i DNS mettendo quelli di google, non serve quindi tor. Il file si scarica come qualsiasi altro file, se vai su mega fai partire il download, se clicchi sul link messo da Paolo aspetti che ti scarica il file. Voglio dire non è così difficile... XD