มีรายงานจากสำนักข่าว RT ในรัสเซียระบุว่าเว็บบอร์ดบิทคอยน์เผยแพร่ฐานข้อมูลรหัสผ่านของ Gmail เกือบห้าล้านรายการ โดยบนบอร์ดโพสเฉพาะรายชื่ออีเมลที่ได้รับผลกระทบแต่ไม่มีการเปิดเผยรหัสผ่าน ขณะที่สมาชิกบอร์ดที่อ้างว่าได้เห็นฐานข้อมูลนี้แล้วระบุว่ารหัสผ่านใช้งานได้จริงประมาณ 60% และน่าจะเป็นฐานข้อมูลเก่าสักหน่อย
กูเกิลรัสเซียระบุว่ากำลังสอบสวนเรื่องนี้อยู่ พร้อมกับแนะนำให้ตั้งรหัสผ่านให้หนาแน่นพร้อมกับใช้การล็อกอินแบบ 2-step (เพิ่มความปลอดภัยให้บัญชี Google ด้วยการเปิดใช้ระบบล็อกอินสองชั้น (2-Step Verification))
ก่อนหน้านี้มีรายงานรหัสผ่านอีเมลในรัสเซีย Yandex และ Mail.ru หลุดออกมานับล้านรายเช่นกัน โดยทั้งสองบริษัทระบุว่าเป็นข้อมูลเก่าที่น่าจะได้มาจากการหลอกเอารหัสผ่านจากเว็บ phishing หรือมัลแวร์ดักจับรหัสผ่าน
ผมโหลดรายการอีเมลมาตรวจสอบดูพบอีเมลคนไทยอยู่บ้าง แต่ไม่มีฐานข้อมูลพร้อมรหัสให้ตรวจสอบ จึงไม่สามารถยืนยันได้ว่าเป็นฐานข้อมูลจริงหรือ สำหรับคนที่สงสัยเข้าไปตรวจได้ที่เว็บ yaslit.ru หรือ isleaked.com อันหลังเป็นภาษาอังกฤษ เว็บมีการเข้ารหัสดูน่าเชื่อถือกว่าพอสมควร
ที่มา - RT
Get latest news from Blognone
Follow @twitterapi
Hiring! บริษัทที่น่าสนใจ
Blognone Jobs Premium
Cloudnone
- Kubernetes คืออะไร [Part 1] เกิดขึ้นมาอย่างไร? ทำไมต้องใช้มัน? | Cloudnone EP.14
- CI/CD ยังไงดี ตั้งเซิร์ฟเวอร์เอง vs เช่าคลาวด์ | Cloudnone EP.13
- รู้จักโน้ตบุ๊กบนคลาวด์ เช่าใช้งาน Jupyter Notebook ที่ไหนดี | Cloudnone Ep.12
- สรุปข่าวใหญ่ปี 23 และคาดการณ์เทรนด์ปี 24 ในวงการ Cloud | Cloudnone EP.11
- สรุปของใหม่และสาระสำคัญจาก AWS re:Invent 2023 | Cloudnone Special EP
Comments
ง่ะ เข้าไป Search เมล์ตัวเองเจอ บอกว่า database found. แบบนี้แปลว่าโดนด้วยใช่มั้ยครับเนี่ย
หุหุใช้ยืนยันตัวสองชั้นมานานละ แต่จะรอดไหมนะ
ใช้ 2Step อยู่ไม่กลัว แถมพาสของ gmail ก็ไม่ซ้ำกับอพไรเลย เปลี่ยน พาสที่เดียวจบ
********@gmail.com находится в базе. แสดงว่า .........
เข้าไปดูในนี้ https://isleaked.com/en.php
มีเมล์เราด้วย แต่รหัสผ่านสองตัวแรกที่แสดงให้ดูเป็นรหัสผ่านเก่ามาก
ซึ่งเราเปลี่ยนมาหลายครั้งแล้วนะและตอนนี้ก็ใช้ 2Step ด้วย
ขอบคุณทีแนะนำ เว็บตรวจเช็คนะครับอ๊ากก ของผมโดนไป 1 Account จาก Gmail จำนวน 5 Account
เป็น Account ID เก่ามากเป็นตัวแรกๆ เลยแต่ก็ไม่ค่อยได้ใช้งานแล้วล่ะ ตอนนี้แก้ไขเปลี่ยนรหัสกับเปิดใช้งาน 2 Steps Authentication เรียบร้อย :D
การตั้งค่ารหัสให้ยาวๆ ก็ช่วยได้ระดับนึง
เข้าไปเช็คไม่ได้แฮะ.. ล่มไปแล้วปะเนี่ย Y-Y
iPAtS
เข้าไปเช็คไม่เจอนะแต่ก็เสียวเหมือนกัน -*-
นี่ต้องเปลี่ยนรหัสอีกรอบแล้วสินะ lol
มีเมลผมอยู่ในฐานข้อมูลด้วย แต่ใช้ 2step มาพักใหญ่แล้วแถมเพิ่งเปลี่ยนรหัสผ่านเมื่อเร็ว ๆ นี้ คิดว่าไม่นามีปัญหาอะไร
รอดตัวไป ไม่มีในฐานข้อมูล
...@gmail.com in the database is not found.
รอดแฮะ โชคดีไป
เปลี่ยนพาสอีกรอบกันเหนียวพาส Gmail หลุดนี้งานเข้าแน่ๆ เชื่อมหลายอย่างเกิน
****@gmail.com в базе не найдено.
ของผมไม่เจอเลยแต่ก็ลุ้นเหมือนกัน
เช็คที่ เว็บนี้ ก็ได้นะครับ
เป็นภาษาอังกฤษ น่าจะอ่านได้สะดวกกว่า
เมื่อกี๊เข้าไปดูในนี้แหละ
มีเมล์เราด้วย แต่รหัสผ่านสองตัวแรกที่แสดงเป็นรหัสผ่านเก่า
ซึ่งเปลี่ยนมาหลายครั้งแล้วและก็ใช้ 2-Step ด้วย
ผมเช็ค email ตัวเอง เจอครับ แต่...
ผมไม่เคยตั้งรหัสขึ้นด้วย 12 ครับ ที่ผมเช็คนี่เป็น email หลัก รหัสยาว+ซับซ้อน ตอนตั้งรหัสผ่านแต่ละครั้งผมใช้เวลาท่องจำรหัสตัวเองเป็นวันๆ ไม่มีทางที่ผมจะเคยตั้งรหัสขึ้นด้วย 12 แน่นอน
และด้วย email เดียวกันนี้ผมเช็คใน yaslit.ru ขึ้นว่าไม่เจอครับ (в базе не найдено.)
อันนี้...ผมก็ไม่รู้เหมือนกันอ่ะนะครับ
ผมได้ link ของเว็บนี้มาจาก http://habrahabr.ru/post/236283/ ครับ
พอดีเห็นมันเป็นภาษาอังกฤษ น่าจะอ่านง่ายกว่า
ไม่รู้เหมือนกันว่าทำไมผลเช็คไม่ตรงกับ yaslit.ru
ครับ ที่ชี้จุดน่าสงสัยนี้ขึ้นมาเพราะลองเช็คแล้วสองเว็บไม่ตรงกันนี่ละครับ คราแรกผมสันนิฐานว่าถ้าไม่ใช่รหัสผ่านตรงๆอย่างเดียวละ อาจรวมถึง app password หรือ recovery code ด้วยไหม? แต่พอยิ่งเช็คยิ่งสับสน ตอนนี้ผมก็ยังเชื่อครึ่งไม่เชื่อครึ่งเหมือนเดิม แต่ให้ดีก็เปลื่ยนรหัสกันไว้ก่อน :3
เท่าที่ดูไฟล์ที่หลุดมาบางรหัสที่โชว์อาจไม่ตรงครับเพราะมีอัขระแปลกๆผสมอยู่(ซึ่งอาจะไมไ่ด้มาจากที่เราทำไว้แต่มาจากวิธีการเก็บบันทึกข้อมูลเลยทำให้มีตัวแปลกๆผสมอยู่นบางเรคคอร์ด)
โดนครับ แต่เป็นรหัสผ่านเก่าที่เก่ามาก ๆ น่าจะเก่าเกิน 1 ปี อาจจะถึงสองปี แต่เปลี่ยนไว้ก็ดีครับ
รอดครับ в базе не найдено.
ผมไม่มีความรู้เรื่องพวกนี้เอาเลย แต่อยากรู้เฉยๆ ว่าเรื่องนี้ไม่มีความเชื่อมโยงกับ HeartBleed ใช่ไหมครับ?
ช่างไฟสมัครเล่น (- -")
ยังไม่สามารถยืนยันอะไรได้ แม้ว่ากระแสที่ออกมา "น่าจะ" ไม่เกี่ยวครับ
lewcpe.com, @wasonliw
รอดฮะ นำหรับคนที่เจออาจจะต้อง format เครื่องโดยด่วน ไม่งั้นเปลี่ยน password กี่รอบๆ มัลแวร์มันก็ดัก pass ไปอีกแหละ
ใช้ 2 step น่าจะปลอดภัยใช่ไหมครับ?
No! Your account probably is not in public access! However, we are strongly recommend to change your password periodically.
ใช้ two step ร่วมกับ Application Generate รหัสออกมาตลอด เพราะเมล์ไม่ใช่แค่ส่งข้อมูล แต่มันรวมไปถึงการเงินในบัญชีด้วย -. -
ข้าขอทรยศต่อคนทั้งโลก ดีกว่าให้ใครมาทรยศข้า
เดี๋ยวนะ.. รหัสผ่านมันไม่ได้เก็บแบบ MD5 เหรอ ?
ไม่น่าจะเกิดจากการ hack server นะครับ
Russia is just nazi who accuse the others for being nazi.
someone once said : ผมก็ด่าของผมอยู่นะ :)
md5 ล้าสมัยแล้วครับ เพราะสร้าง rainbow table ได้ หลุดออกมาทีก็รู้แทบรหัสผ่านจริงๆ เลย
ถามเป็นความรู้ครับ ตอนนี้เขาใช้แบบไหนกันหรอครับ
SHA-1 เป็นขั้นต่ำครับ
เสริมว่า SHA-1 ก็เริ่มไม่ "ลำบาก" ในการใช้กำลังแหก(brute force)เท่าไหร่แล้วครับ ตามฮาร์ดแวร์ที่พัฒนาขึ้น https://www.blognone.com/node/60213
ของผมคงไม่ใช่มาตฐานเท่าไหร่ เว็บส่วนตัวผมใช้ scrypt ไม่ก็ bcrypt ครับ (ความยาว,ซับซ้อน ตามกำลัง cpu server รับไหว)
สูตรมันจะประมาณ (แล้วแต่ว่าซีเรียสแค่ไหน)
[protected password] = [salt] + hash_function([salt] + [password])
[salt] เป็นการสุ่มจาก function สุ่มใดๆ ที่ปลอดภัย
hash_function ก็เลือกว่าจะเอาตัวไหนก็ได้ แต่ที่ใช้ๆ กันก็ md5, sha1 เพราะมันหาง่าย หรือจะดีหน่อยก็พวก PBKDF2
+1
แค่เพิ่ม salt ทึ่สุ่มใหม่สำหรับทุก password ก็เพิ่มความยากขึ้นไปมากแล้ว นอกจากเราเป็นบุคคลเป้าหมายจริงๆ ก็แทบจะไม่มีโอกาสโดน attack เลย (เพราะคชจ.ในการ attack ต่อ account จะพุ่งเป็นหลักหลายล้านบาท แฮกเกอร์คงไม่สนใจแลกเงินเป็น้ลานเพื่อดูอีเมล์ตาสีตาสาเท่าไหร่)
โอกาสที่จะหลุดทีนึงเป็นล้านๆ account ยิ่งแทบไม่มี
iPAtS
gmail ผมโดน spam อย่างหนักหน่วงเพราะอีเมลหลุดนี่แหละครับ เข้าใจว่าหลุดจากบริการอื่นแล้ว Bot ไปเก็บจากเว็บที่เปิดเผย (เพื่อให้เราเช็ค)
คนขี้ลืม | คนบ้าเกม | คนเหงาๆ
กรอกเมล์ลงไปใน yaslit.ru นี่ไว้ใจได้ใช่ไหมครับ ?
แอบคิดเหมือนกันว่า เวบนี้จะเก็บเมลที่กรอกไว้แล้วส่ง spam มาทักทายเล่น
ผมก็ว่าเหมือนกัน แต่กดไปตรวจแล้ว
ใช้ 2 Step อยู่แล้ว แต่เว็ปที่ใช้ตรวจสอบโอเครึเปล่า ครับ
ของผมพลาด ลองเช็คไปแหละ
555โชคดีไปผมใช้ยาฮู เสียอย่างเดียวพื้นที่ที่ให้ 1TB ใช้ได้แต่เมล์กับฟลิคเกอร์ ถ้าใช้เป็นคลาวด์สตอเรจได้จะเจ๋งมาก
spam?
พึ่งปิด 2-step verification ไปเอง
ลำบากเปลี่ยนพาสอีกแล้วเรา เฮ้อ ~
ตอนนี้เปิด 2 step ละครับ วุ่นวายกับการ set มือถือสองเครื่องไปซักพักนึง 555
จะว่าไปทำไม online banking ในไทย ไม่ทำ 2 step ซักที ??
เปิด 2 stepล่ะครับ
เริ่มไม่ชัวร์มีเมล์หลุด
ไม่น่าโดนแฮคจาก Gmail ของผมใช้ 3 - 4 accounts ไม่มีติดโผซักอัน
ใช้พาสเดิมมาห้าหกปีละ แต่เดี๋ยวนี้มี 2-step
May the Force Close be with you. || @nuttyi
อุส่าไว้ใจ Google ยังโดน เหยดด -"-
ตรวจทั้งสองเวบ ไม่พบอีเมลตัวเอง รอดตัว = w=) -3
มันหลุดจริงๆ หรือแค่ปล่อยข่าวให้เราเอาอีเมล์ตัวเองไปกรอกเนี่ย