Violati 5 Milioni di Account Google

Precisamente sono 4.929.090 gli Account Google Violati resi pubblici ieri sera alle 23:38 GMT-4 attraverso un Forum Russo dedicato ai BitCoin. In una discussione è stato pubblicato un archivio contenente eMail e relavite password come potete vedere dall’immagine di apertura di quasi cinque milioni di account Google. L’archivio che a dire dell’autore è stato recentemente aggiornato e più del 60% della password risultano veritiere, glli amministratori del forum hanno prontamente rimosso le password lasciando visibili esclusivamente gli indirizzi eMail per poter eseguire dei controlli personali e capire se la propria casella è stata violata o meno. L’archivio in questione è denominato google_5000000.7z (HASH MD5: 4ef74c48d1599802f5ef32c04852e764) ed è liberamente scaribabile da tutti. Sulla rete Torrent è invece già disponibile l’archvio originale contenete anche le password, questo archivio preferisco non pubblicarlo garantendo la sicurezza dei quasi 5 milioni di utenti.

 

Schermata 2014-09-10 alle 12.59.53

Concludo lasciandovi i consigli di Google per scegliere una password robusta e nel dubbio cambiate subito la password ed abilitate la verifica in due passaggi!

Se dovessero esserci ulteriori novità vi terrò aggiornati!

[AGGIORNAMENTO]

In molti mi segnalate che il Forum Russo risulta Down e quindi non è possibile scaricare l’archivio, ho quindi pensato di renderlo disponibile da una fonte alternativa. Potete scaricare il file clicando qui google_5000000.7z!

[AGGIORNAMENTO x2 x5]

Accedendo al sito internet https://isleaked.com/en.php è possibile inserire il proprio indirizzo di gMail e scoprire se fate parte del leak in questione, se fosse presente l’indirizzo il sito vi riporterà i primi due caratteri della vostra password. Il mio consiglio è comunque quello di NON sfruttare il sito internet in questione, piuttosto scaricatevi l’archivio che ho reso disponibile anche tramite una seconda fonte. È possibile che questo servizio sia stato creato appositamente per creare un elenco di eMail che verranno sfruttate chissà come (spam, phishing, ecc ecc). Un grazie a MyWeb per aver alimentato un po’ di sana paranoia 🙂

[AGGIORNAMENTO x3]

Nell’archivio pubblico o comunque in quello contenenete le password non sono presenti esclusivamenti indirizzi di posta elettronica @gmail.com ma son presenti anche 123224 eMail con estensione @yandex.ru che provengono sicuramente dal leak del 8 Settembre scorso, ma andiamo per ordine così posso mostrarvi dalla mia piccola analisi cosa ho rilevato:

drego85$ wc -l google_5000000.txt
4929090 google_5000000.txt

Il file come vi anticipavo dovrebbe contenere 4.929.090 eMail di Google ma successivamente decido di eliminare dall’elenco le porzioni di test non valide, prelevando esclusivamente le eMail

drego85$ fgrep @ google_5000000.txt -c
4927698

scopro conseguentemente che le eMail valide solo realmente 4.927.698 e me le salvo all’interno del file google_5000000_validemail.txt, proseguendo:

drego85$ grep @yandex.ru google_5000000_validemail.txt -c
123224

di esse però vi sono 123.224 eMail di @yandex.ru, le rimanenti eMail saranno tutte di Google?

 drego85$ sed -n -e ‘s:.*@::p’ google_5000000_validemail.txt | sort | uniq -c | sort -n -r
sed: RE error: illegal byte sequence
4723698 gmail.com
123224 yandex.ru
600 gmail.com777
335 gmail.com.vn
254 gmail.com.br
234 gmail.com.au
187 gmail.com7777
171 gmail.com.com
120 gmail.com.
95 gmail.comm
89 gmail.com_abuse
68 gmail.com|login
59 gmail.com
47 gmail.com.pl
44 gmail.com777777
43 gmail.comn
43 gmail.com77777
38 gmail.coml
37 gmail.com.ar
33 gmail.com.mm
31 gmail.com\r\n
29 gmail.com.my
27 gmail.com.sg
25 gmail.comq
24 gmail.coma
23 gmail.come
23 gmail.com.tw
23 gmail.com.mx
22 hotmail.com
21 gmail.com_xtube
19 yahoo.com
19 gmail.como
18 gmail.com.il
16 gmail.com`
16 gmail.com.in
15 gmail.com|googlemail}.com
15 gmail.comi
15 gmail.com,
15 gmail.com%
12 gmail.com1
11 gmail.comt
11 gmail.coms
11 gmail.comr
11 gmail.comj
11 gmail.com777777777
10 gmail.comk
10 gmail.com.tr
10 gmail.com.ph
10 gmail.com.hk

Bene scopriamo quindi che il file non è ancora perfettamente formattato, ma tralasciando questo dettaglio scopriamo che nell’archvio vi sono realmente 123224 di @yandex.ru e 22 eMail di @hotmail.com con le relative password. Ma mi balza all’occhio l’estensione _xtube che appartire a 21 account eMail quasi come se il creatore dell’archivio avesse voluto specificare la fonte degli indirizzi eMail in questione. XTube fa parte di una delle più grandi società di Pornografia online, detiene infatti la proprietà di YouPorn, ed è proprio YouPorn ad essere stato vittima di un attacco nel 2012 che esponeva le credenziali di accesso come vi riportai in questo articolo. Ho quindi deciso di analizzare le eMail contrassegnate con “Xtube”:

drego85$ grep @gmail.com_xtube google_5000000_validemail.txt | sort
[email protected]_xtube
[email protected]_xtube
[email protected]_xtube
[email protected]_xtube
[email protected]_xtube
[email protected]_xtube
[email protected]_xtube
[email protected]_xtube
[email protected]_xtube
[email protected]_xtube
[email protected]_xtube
[email protected]_xtube
[email protected]_xtube
[email protected]_xtube
[email protected]_xtube
[email protected]_xtube
[email protected]_xtube
[email protected]_xtube
[email protected]_xtube
[email protected]_xtube
[email protected]_xtube

Gli archivi che avevo pubblicato nell’articolo sull’attacco a YouPorn purtroppo non sono più accessibili, ma cercando su internet ed usando l’archivio di Dazzlepod scopro che solo [email protected] appartiene al portale XTube ma non fa parte del Leak pubblicato nel 2012.

Onestamente speravo di aver trovato la fonte, o almeno parziale, di questo mega archivio di indirizzi Gmail e relative password…ma ho sbagliato strada! Scorro l’elenco manualmente e scopro che diverse email vengono espresse nel seguente formato: [email protected]. Un formato assolutamente anomalo perchè il carattere “+” viene spesso ignorato oppure usato per creare filtri personalizzati.

Allora analizzo meglio i risultati e tento di capire se dall’espressione “+sitointernet.estensione” posso ottenere qualche dettaglio in più, tramite il comando sed ottengo l’elenco dei nomi maggiornmente usati successivamente al + e antecedenti a @gmail.com. Poi inizio a contarli:

drego85$ grep +daz google_5000000_validemail.txt -c
213

drego85$ grep +xtube google_5000000_validemail.txt -c
196

drego85$ grep +savage google_5000000_validemail.txt -c
117

grep +filedropper google_5000000_validemail.txt -c
90

grep +daz3d google_5000000_validemail.txt -c
69

drego85$ grep +eharmony google_5000000_validemail.txt -c
65

Quindi è possibile, ma ovviamente non posso esserne sicuro, che tali eMail e relative password siano state sottratte dai siti in qestione (Daz, xTube, Filedropper, ecc) e memorizzate con la dicitura “+sito.estesione” per ricordarsi la fonte.

Concludo questo sito articolo confermando che a mio giudizio le password sono state sottratte tramite attacchi di Phishing oppure attraverso SQL Injection su siti non appartenenti a Gmail e quindi l’abitudine frequente di usare sempre una stessa password permette di accedere comunque all’indirizzo di posta elettronica fornito da Google.

[AGGIORNAMENTO x4]

Un’analisi similare alla mia che mostra altri aspetti e punti di vista l’ha condotta Diego Elio Pettenò in Inglese, vi invito a leggerla perchè è interessante.

For English readers, Diego Elio Petternò wrote in English an analysis similar to mine. Here you can read, it is interesting!

36
Lascia una recensione

Rispondi

  Subscribe  
più nuovi più vecchi più votati
Notificami
ClsHackBlog
Ospite
ClsHackBlog

Ciao Andrea, mi passi l’archivio senza password via email che il forum risulta giù 🙁

vikkio88
Ospite
vikkio88

basta cercare su google il nome del file 7z, c’é pure un tizio che ha incollato il tutto su un pastebin, ma solo le passwd cosí puoi cercare la tua

ClsHackBlog
Ospite
ClsHackBlog

yes 😀 il file è hostato ovunque ormai e quindi avevo già risolto 😀 comunque grazie 😉

elto
Ospite
elto

del file con le pwd comunque, non ce n’è neanche l’ombra.

Mattia
Ospite
Mattia

Basta saper cercare. Email e password.

danosavi
Ospite
danosavi

Io sono tra gli elencati, ma a mio parere potrebbe non essere una lista di password di Google. Infatti andando sul sito https://isleaked.com/en.php, che mi è stato segnalato, mi dice che le prime due cifre della password nell’elenco appartengono a una password molto vecchia, che usavo molti anni fa per siti di poco conto. Non ricordo di averla mai usata per Google, per lo meno non negli ultimi anni. Potrebbero essere password “rubate” ad altri siti, oppure molto vecchie. Magari, faccio un’ipotesi azzardata, funzionano anche su Google perché molti purtroppo usano la stessa password per tutti i siti…

ArgiaSbolenfi
Ospite
ArgiaSbolenfi

Nella lista c’è un amico che dice di usare l’autenticazione a due fattori da un paio di anni. Propendo per leak di credenziali provenienti da altri siti.

Leprechaun
Ospite
Leprechaun

C’è anche una mia mail e la password che hanno preso è del 2010… ed arriva da un dump di un circuito di forum italiano molto conosciuto.
Ergo, questo tizio ha preso password recuperate da attacchi vecchissimi, ha impacchettato tutto e sta facendo il figo.
No comment xD

zampem0
Ospite
zampem0

Concordo, mi ritrovo nella stessa situazione ma non sono preoccupato proprio per quel motivo.

bencio
Ospite
bencio

Scusate ma se anche arrivi alla password in chiaro è possibile risalire al corrispondente reale? non sono un massimo esperto ma non mi risulta possibile. A me ‘sto file sa di bufala

zaesar
Ospite
zaesar

Un paio di account nell’immagine sono accedibili… non mi sembra una bufala.

gianni
Ospite
gianni

help! non riesco ad aprire il file!

Nicksoft
Ospite
Nicksoft

Installa 7-zip : http://www.7-zip.org/

dfdf
Ospite
dfdf

use gzip, or winrar.
or just don’t bother, because the file is only a bunch of emails without passwords.

supercoffe
Ospite
supercoffe

Io sono uno di quelli violati…!! Che mi consigliate.? Password già cambiata….

zack
Ospite
zack

Confermo anch’io che uno dei miei due indirizzi è presente, ma con password incredibilmente vecchia.

ergosum
Ospite
ergosum

una domanda, ma per avere un file con indirizzi e password in chiaro bisognerebbe che google nei suoi database salvasse le password in chiaro altrimenti si avrebbe una lista di indirizzi e password criptate almeno con md5 e quindi assolutamente inutili. Davvero google salva le password degli utenti in chiaro nel database?

Shaduck
Ospite
Shaduck

Trovato il mio indirizzo gmail, però “isleaked” mi ritorna i primi 2 caratteri di una mia vecchia password “usa e getta” che sono sicuro di non aver mai usato per l’account google o altri siti minimamente sensibili.

Diego Elio Pettenò
Ospite

Uh e neanche un link alla mia analisi che hai sicuramente visto, dato che mi hai seguito su Twitter dopo che l’ho postata?

Arf
Ospite
Arf

Vi do per certo un’informazione (essendo uno degli account elencati il mio)
parte dell’elenco arriva dal leak di qualche anno fa di linkedin (ve lo ricordate?)
la password elencata la usavo solo lì e su twitter (roba di poco conto per me)
quindi l’elenco è basato anche sull’idea che si utilizzi la stessa password per più servizi…