Názory k článku
Zveřejněno 226 milionů účtů z úniku Cit0Day

Přišel mi mail z Have I Been Pwned, že jsou tam dvě moje adresy. Bohužel se k tomu nemůžu dostat, asi je HIBP přetížené, takže mi nechodí verifikační mail. Napsal bych vám, jaké služby (primárně asi české) to byly -- protože každé službě dávám unikátní adresu.

Zkusím to znovu později, případně zkusím naskriptovat lookup přes ty jejich hashe, a budu zde informovat.

Z HIBP se nedozvis jaka konkretni sluzba to byla (alespon ne ted), je to tam kolektivne oznacene jako "Cit0day" breach.

protože každé službě dávám unikátní adresu

A už se mi tu stránku na třetí pokus podařilo načíst (předtím to vracelo cloudflare backend timeout). A je to jednou moje primární adresa bez unikátního tagu (tj. buď ze služeb registrovaných před rokem 2012/2013, kdy jsem začal unikátní adresy dávat, nebo odjinud (je leaknutá na webu)) a jednou uživatelský účet na wifileaks.cz, kde už jsem prolomení detekoval před rokem (přišel mi na tu adresu spam) a admina služby jsem o tom informoval.

Je tam napr. auctions-art.cz dj-shop.cz dj-shop.sk genomacinst.cz jaj.cz ostyle.cz pocasi.divoch.cz stribro.cz

Mám to úplně stejně - doménový koš na mé doméně + před zavináčem používám název serveru, kam adresu dávám. Suveréně nejvíc spamů chodí na o2@* (jsem kdysi ten mail dával při přecházení na paušál) a dfens@* (kde to před léty vyharvestovali roboti z diskuzního fóra).
Jen na root.cz překvapivě nemám root@* adresu :D

To je nevhodné, protože když budu chtít pošpinit nějaký server, kde máš účet, tak napíšu na název_serveru@do­ména. Proto je potřeba dávat tam náhodnou výzvu.

Ano, pamatuji si. Wifileaks vznikl nárazově jednoho večera kdysi na sklonku roku 2011 a jeho backend je s odstupem devíti let tak brutálně starý, že už oprava a zvýšení zabezpečení nemá smysl = bylo by snazší to smazat a celé to napsat znovu, na což už nebudu mít nikdy čas. Experiment jsem tedy převedl do stavu read-only bez uživatelské části a možnosti nahrávání dalších dat. Případní useři, kterým by dorazilo varování z haveibeenpwned, už nemusejí na Wifileaks nic dělat.

To není tvoje kritika nebo tak, taky jsem měl v nějaké srandaslužbě SQL injection protože PHP pro začátečníky se bůhví proč strašně dlouho učilo jako „lepíme SQL dotazy ze stringů“ :).

To je škoda, že končíš. Se serverovou částí bych mohl pomoci, jestli chceš, ale appky neumím vůbec.

Mohl bys alespoň opravit export? Aktuálně exportovaný soubor končí lehce za půlkou (MAC adresy začínající 98) - tipuju to na nějaký časový limit skriptu, který to exportuje.

Mě se povedlo to získat, ale není tam konkrétní web.

Takže vysvětlení, protože to zdá se více lidí nepochopilo: kdykoli, kdy po mně chce někdo adresu (eshop, fórum, jakákoli služba), tak mu dám adresu ve tvaru jenda.náhodně_vy­generovaný_ře­tězec@example­.com a u sebe si ji uložím společně s datem a jménem služby. Můj poštovní server je nastavený, že všechny tyto maily doručuje do mé schránky, ale když mi přijde spam, tak vidím, komu byl původně poslán, a mohu zjistit, z jaké služby ta adresa unikla.

Vím, že se na to má používat plus, ale spameři to vědí taky a části v adrese za plusem zahazují.

Nevím teď, jestli to tak dělá yahoo nebo gmail (znám to jen z druhé ruky), ale můžeš si u nich kromě svého skutečného e-mailu (muj.email@pos­kytovatel.tld) udělat alias na ty pluskový věci, který bude fungovat jenom na vyjmenované "koncovky" (čili se doručí e-mail poslaný na alias+rootcz@pos­kytovatel.tld, ale ne na alias+foobarbaz@pos­kytovatel.tld a už vůbec ne na alias@poskyto­vatel.tld).

Ale to je přece pro mé použití k ničemu, protože spammer zahodí část s plusem a pošle mail na alias@poskyto­vatel.tld a k čemu to.

alias@poskyto­vatel.tld - bez platného suffixu - maily právě zahazuje.

co potom robite s informaciou ze xyz leakol vas email?

Napíšu jim to a oni většinou (2/3) neodpoví, nebo poděkují, konstatují špatný stav své aplikace a napíšou, že to budou opravovat (1/3).

Seznam služeb/sitů, ze kterých získali data, je tady:
https://gist.github.com/gvolluz/dd0df2ba2400c4891f95d05de3dde1da

Zrovna jsem to sel postnout, on to vlastne Troy zverejnuje primo v tom clanku s odkazem na gist https://gist.githubusercontent.com/troyhunt/0282a5bad48bd6698672735519ca883a/raw/53ba9bd51256dc658b39094660ac3c2ade7f3aea/Cit0day%20%5B_special_for_xss.is%5D.txt

Co to znamená "objevila se"? Značí to za peníze nebo volně dostupná? Nějaký postup, jak zjistit, jaké heslo jsem kde použil? Dříve jsem dával opravdu pitomá hesla. Díky.

Je dostupná na některých fórech, možná i na torrentech, ale mi se nepodařilo originální soubor získat.

Seznam, které domény byly postiženy je v odkazovaném článku od Troye, případně zde v komentářích je odkaz na github.

Ověřit, jestli jsou vaše hesla "známá" umí například password manager v chromu, pokud chromu věříte, případně existuje plugin např. do do keepassu, který to umí taky, pokud věříte autorovi pluginu.

Pak se dá na HIBP vyhledat třeba váš email, který dohledá ve kterých únicích jste figuroval. Zde ale třeba já mám spoustu "falešných výsledků". Tedy, nejsou možná úplně falešné, jelikož jsem v minulosti zaznamenal několik pokusů o registraci někam s mým emailem a bohužel spousta webů neposílá žádné ověření takže se to těm lidem i podaří...

magnet:?xt=ur­n:btih:92d00ba67037fd439­7fe5259824b0f0a5d3b0f33

Password for the archive is "xss.is"