[AGGIORNATO x5] Violati 5 milioni di Account Google, ecco i dettagli!

Violati 5 Milioni di Account Google

Precisamente sono 4.929.090 gli Account Google Violati resi pubblici ieri sera alle 23:38 GMT-4 attraverso un Forum Russo dedicato ai BitCoin. In una discussione è stato pubblicato un archivio contenente eMail e relavite password come potete vedere dall’immagine di apertura di quasi cinque milioni di account Google. L’archivio che a dire dell’autore è stato recentemente aggiornato e più del 60% della password risultano veritiere, glli amministratori del forum hanno prontamente rimosso le password lasciando visibili esclusivamente gli indirizzi eMail per poter eseguire dei controlli personali e capire se la propria casella è stata violata o meno. L’archivio in questione è denominato google_5000000.7z (HASH MD5: 4ef74c48d1599802f5ef32c04852e764) ed è liberamente scaribabile da tutti. Sulla rete Torrent è invece già disponibile l’archvio originale contenete anche le password, questo archivio preferisco non pubblicarlo garantendo la sicurezza dei quasi 5 milioni di utenti.

 

Schermata 2014-09-10 alle 12.59.53

Concludo lasciandovi i consigli di Google per scegliere una password robusta e nel dubbio cambiate subito la password ed abilitate la verifica in due passaggi!

Se dovessero esserci ulteriori novità vi terrò aggiornati!

[AGGIORNAMENTO]

In molti mi segnalate che il Forum Russo risulta Down e quindi non è possibile scaricare l’archivio, ho quindi pensato di renderlo disponibile da una fonte alternativa. Potete scaricare il file clicando qui google_5000000.7z!

[AGGIORNAMENTO x2 x5]

Accedendo al sito internet https://isleaked.com/en.php è possibile inserire il proprio indirizzo di gMail e scoprire se fate parte del leak in questione, se fosse presente l’indirizzo il sito vi riporterà i primi due caratteri della vostra password. Il mio consiglio è comunque quello di NON sfruttare il sito internet in questione, piuttosto scaricatevi l’archivio che ho reso disponibile anche tramite una seconda fonte. È possibile che questo servizio sia stato creato appositamente per creare un elenco di eMail che verranno sfruttate chissà come (spam, phishing, ecc ecc). Un grazie a MyWeb per aver alimentato un po’ di sana paranoia 🙂

[AGGIORNAMENTO x3]

Nell’archivio pubblico o comunque in quello contenenete le password non sono presenti esclusivamenti indirizzi di posta elettronica @gmail.com ma son presenti anche 123224 eMail con estensione @yandex.ru che provengono sicuramente dal leak del 8 Settembre scorso, ma andiamo per ordine così posso mostrarvi dalla mia piccola analisi cosa ho rilevato:

drego85$ wc -l google_5000000.txt
4929090 google_5000000.txt

Il file come vi anticipavo dovrebbe contenere 4.929.090 eMail di Google ma successivamente decido di eliminare dall’elenco le porzioni di test non valide, prelevando esclusivamente le eMail

drego85$ fgrep @ google_5000000.txt -c
4927698

scopro conseguentemente che le eMail valide solo realmente 4.927.698 e me le salvo all’interno del file google_5000000_validemail.txt, proseguendo:

drego85$ grep @yandex.ru google_5000000_validemail.txt -c
123224

di esse però vi sono 123.224 eMail di @yandex.ru, le rimanenti eMail saranno tutte di Google?

 drego85$ sed -n -e ‘s:.*@::p’ google_5000000_validemail.txt | sort | uniq -c | sort -n -r
sed: RE error: illegal byte sequence
4723698 gmail.com
123224 yandex.ru
600 gmail.com777
335 gmail.com.vn
254 gmail.com.br
234 gmail.com.au
187 gmail.com7777
171 gmail.com.com
120 gmail.com.
95 gmail.comm
89 gmail.com_abuse
68 gmail.com|login
59 gmail.com
47 gmail.com.pl
44 gmail.com777777
43 gmail.comn
43 gmail.com77777
38 gmail.coml
37 gmail.com.ar
33 gmail.com.mm
31 gmail.com\r\n
29 gmail.com.my
27 gmail.com.sg
25 gmail.comq
24 gmail.coma
23 gmail.come
23 gmail.com.tw
23 gmail.com.mx
22 hotmail.com
21 gmail.com_xtube
19 yahoo.com
19 gmail.como
18 gmail.com.il
16 gmail.com`
16 gmail.com.in
15 gmail.com|googlemail}.com
15 gmail.comi
15 gmail.com,
15 gmail.com%
12 gmail.com1
11 gmail.comt
11 gmail.coms
11 gmail.comr
11 gmail.comj
11 gmail.com777777777
10 gmail.comk
10 gmail.com.tr
10 gmail.com.ph
10 gmail.com.hk

Bene scopriamo quindi che il file non è ancora perfettamente formattato, ma tralasciando questo dettaglio scopriamo che nell’archvio vi sono realmente 123224 di @yandex.ru e 22 eMail di @hotmail.com con le relative password. Ma mi balza all’occhio l’estensione _xtube che appartire a 21 account eMail quasi come se il creatore dell’archivio avesse voluto specificare la fonte degli indirizzi eMail in questione. XTube fa parte di una delle più grandi società di Pornografia online, detiene infatti la proprietà di YouPorn, ed è proprio YouPorn ad essere stato vittima di un attacco nel 2012 che esponeva le credenziali di accesso come vi riportai in questo articolo. Ho quindi deciso di analizzare le eMail contrassegnate con “Xtube”:

drego85$ grep @gmail.com_xtube google_5000000_validemail.txt | sort
[email protected]_xtube
[email protected]_xtube
[email protected]_xtube
[email protected]_xtube
[email protected]_xtube
[email protected]_xtube
[email protected]_xtube
[email protected]_xtube
[email protected]_xtube
[email protected]_xtube
[email protected]_xtube
[email protected]_xtube
[email protected]_xtube
[email protected]_xtube
[email protected]_xtube
[email protected]_xtube
[email protected]_xtube
[email protected]_xtube
[email protected]_xtube
[email protected]_xtube
[email protected]_xtube

Gli archivi che avevo pubblicato nell’articolo sull’attacco a YouPorn purtroppo non sono più accessibili, ma cercando su internet ed usando l’archivio di Dazzlepod scopro che solo [email protected] appartiene al portale XTube ma non fa parte del Leak pubblicato nel 2012.

Onestamente speravo di aver trovato la fonte, o almeno parziale, di questo mega archivio di indirizzi Gmail e relative password…ma ho sbagliato strada! Scorro l’elenco manualmente e scopro che diverse email vengono espresse nel seguente formato: username+sitointernet.este[email protected]. Un formato assolutamente anomalo perchè il carattere “+” viene spesso ignorato oppure usato per creare filtri personalizzati.

Allora analizzo meglio i risultati e tento di capire se dall’espressione “+sitointernet.estensione” posso ottenere qualche dettaglio in più, tramite il comando sed ottengo l’elenco dei nomi maggiornmente usati successivamente al + e antecedenti a @gmail.com. Poi inizio a contarli:

drego85$ grep +daz google_5000000_validemail.txt -c
213

drego85$ grep +xtube google_5000000_validemail.txt -c
196

drego85$ grep +savage google_5000000_validemail.txt -c
117

grep +filedropper google_5000000_validemail.txt -c
90

grep +daz3d google_5000000_validemail.txt -c
69

drego85$ grep +eharmony google_5000000_validemail.txt -c
65

Quindi è possibile, ma ovviamente non posso esserne sicuro, che tali eMail e relative password siano state sottratte dai siti in qestione (Daz, xTube, Filedropper, ecc) e memorizzate con la dicitura “+sito.estesione” per ricordarsi la fonte.

Concludo questo sito articolo confermando che a mio giudizio le password sono state sottratte tramite attacchi di Phishing oppure attraverso SQL Injection su siti non appartenenti a Gmail e quindi l’abitudine frequente di usare sempre una stessa password permette di accedere comunque all’indirizzo di posta elettronica fornito da Google.

[AGGIORNAMENTO x4]

Un’analisi similare alla mia che mostra altri aspetti e punti di vista l’ha condotta Diego Elio Pettenò in Inglese, vi invito a leggerla perchè è interessante.

For English readers, Diego Elio Petternò wrote in English an analysis similar to mine. Here you can read, it is interesting!

  • ClsHackBlog

    Ciao Andrea, mi passi l’archivio senza password via email che il forum risulta giù 🙁

    • vikkio88

      basta cercare su google il nome del file 7z, c’é pure un tizio che ha incollato il tutto su un pastebin, ma solo le passwd cosí puoi cercare la tua

      • ClsHackBlog

        yes 😀 il file è hostato ovunque ormai e quindi avevo già risolto 😀 comunque grazie 😉

    • Ho aggiornato l’articolo con una nuova fonte 😉

  • elto

    del file con le pwd comunque, non ce n’è neanche l’ombra.

    • Mattia

      Basta saper cercare. Email e password.

      • Mattia,
        puoi condividermi in privato il file che hai tu?

        Grazie

  • danosavi

    Io sono tra gli elencati, ma a mio parere potrebbe non essere una lista di password di Google. Infatti andando sul sito https://isleaked.com/en.php, che mi è stato segnalato, mi dice che le prime due cifre della password nell’elenco appartengono a una password molto vecchia, che usavo molti anni fa per siti di poco conto. Non ricordo di averla mai usata per Google, per lo meno non negli ultimi anni. Potrebbero essere password “rubate” ad altri siti, oppure molto vecchie. Magari, faccio un’ipotesi azzardata, funzionano anche su Google perché molti purtroppo usano la stessa password per tutti i siti…

    • ArgiaSbolenfi

      Nella lista c’è un amico che dice di usare l’autenticazione a due fattori da un paio di anni. Propendo per leak di credenziali provenienti da altri siti.

      • Grazie per aver condiviso la tua esperienza, sto anche io facendo qualche ricerca per capire meglio la fonte di questo archivio.

        Andrea

      • Una cortesia,
        sai dirmi se il tuo amico si è mai iscritto su questo sito: http://www.yandex.ru/

        ?

        Grazie
        Andrea

        • ArgiaSbolenfi

          Dice di no. E che difficilmente usa quella mail come username per iscrizioni a forum ecc.

    • Grazie Mille di aver condiviso la tua esperienza, sto provando anche io di raccogliere più dati possibili per approfondire la vicenda.

    • Una cortesia,
      ti sei mai iscritto a questo sito: http://www.yandex.ru/

      ?

      Andrea

      • danosavi

        Non mi pare, anche se ricordo che tempo fa Yandex aveva lanciato un qualche servizio (di cloud storage?) e potrei essermi iscritto…però penso che dovrei avere un account yandex, non gmail a quel punto. Ho visto anche che un utente sul sito di Attivissimo ha messo un comando per avere una lista di probabili siti da cui sono stati presi gli account, ed è citato bryce. Se è il forum di Bryce (il programma di 3D), potrebbe essere quello visto che anni fa ero iscritto, e probabilmente avevo usato quella password. Ma è una mera supposizione che magari non c’entra niente.

    • Leprechaun

      C’è anche una mia mail e la password che hanno preso è del 2010… ed arriva da un dump di un circuito di forum italiano molto conosciuto.
      Ergo, questo tizio ha preso password recuperate da attacchi vecchissimi, ha impacchettato tutto e sta facendo il figo.
      No comment xD

    • zampem0

      Concordo, mi ritrovo nella stessa situazione ma non sono preoccupato proprio per quel motivo.

  • bencio

    Scusate ma se anche arrivi alla password in chiaro è possibile risalire al corrispondente reale? non sono un massimo esperto ma non mi risulta possibile. A me ‘sto file sa di bufala

    • zaesar

      Un paio di account nell’immagine sono accedibili… non mi sembra una bufala.

    • Ciao,
      avendo la mail puoi accedere al profilo di Google+ scoprendo Nome, Cognome e data di nascita dell’interessato. Ed ovviamente potrai leggere le sue eMail, messaggi privati, cronologia delle ricerche, posizioni GPS se ha un dispositivo Android e tanto altro…

      Andrea

  • gianni

    help! non riesco ad aprire il file!

    • Nicksoft

      Installa 7-zip : http://www.7-zip.org/

    • dfdf

      use gzip, or winrar.
      or just don’t bother, because the file is only a bunch of emails without passwords.

    • supercoffe

      Io sono uno di quelli violati…!! Che mi consigliate.? Password già cambiata….

      • Usavi la stessa password su più siti? Se sì, cambiala il più possibile anche negli altri siti. Soprattutto nei siti dove memorizzi dato sensibili (Facebook, Twitter, Home Banking, ecc).

  • zack

    Confermo anch’io che uno dei miei due indirizzi è presente, ma con password incredibilmente vecchia.

  • ergosum

    una domanda, ma per avere un file con indirizzi e password in chiaro bisognerebbe che google nei suoi database salvasse le password in chiaro altrimenti si avrebbe una lista di indirizzi e password criptate almeno con md5 e quindi assolutamente inutili. Davvero google salva le password degli utenti in chiaro nel database?

    • A mio giudizio è possibile che le password siano state sottratte altrove oppure talmente deboli da essere state scoperte tramite un brute force!
      Andrea

      • ergosum

        concordo

  • Shaduck

    Trovato il mio indirizzo gmail, però “isleaked” mi ritorna i primi 2 caratteri di una mia vecchia password “usa e getta” che sono sicuro di non aver mai usato per l’account google o altri siti minimamente sensibili.

  • Uh e neanche un link alla mia analisi che hai sicuramente visto, dato che mi hai seguito su Twitter dopo che l’ho postata?

    • Ciao Diego,
      avevo iniziato a seguirti per il Tweet in cui dicevi a Paolo che il file continuava a contenere alcune password. Ed effettivamente lo confermo. Ora ho visto anche il tuo articolo in Inglese e ti faccio i complimenti, il tempo di arrivare in ufficio ed aggiorno nuovamente il mio articolo! Sto rivendo molte visite extra ITA e una versione similare alla mia in Inglese può solo tornare utile!
      Andrea

  • Arf

    Vi do per certo un’informazione (essendo uno degli account elencati il mio)
    parte dell’elenco arriva dal leak di qualche anno fa di linkedin (ve lo ricordate?)
    la password elencata la usavo solo lì e su twitter (roba di poco conto per me)
    quindi l’elenco è basato anche sull’idea che si utilizzi la stessa password per più servizi…