České weby v databázi uniklých hesel „Collection #1“ a dalších

Minulý týden se hojně psalo o úniku 773 milionů účtů, kterému se přezdívá „Collection #1“. Ve skutečnosti to je několik let stará kompilace předchozích úniků, ale i tak stojí za to se podívat, které české (a slovenské) weby v této a dalších databázích („Collection #2“ až „Collection #5“, „BigDB“) jsou.

Zprávu o existenci „Collection #1“ přinesl Troy Hunt, který tuto databázi nahrál do svého nástroje na prohledávání uniklých databází Have I Been Pwned? Skoro 90 GB dat, 773 milionů unikátních e-mailů a celkem 2,7 miliardy záznamů, slušnej balík. Data v této sbírce jsou několik let stará a mnoho pár úniků je tak již známých a nějak vyřešených. Snad.

Existují i další kompilace: „Collection #2“ až „Collection #5“ – ty mají dohromady skoro 850 GB dat. Vypadá to, že všechny tyhle kolekce, alespoň co se týká českých a slovenských webů, vychází z jedné obrovské databáze „BigDB“, ta má 595 GB a obsahuje spoustu komprimovaných souborů, takže finální velikost dat bude ještě o dost vyšší.

Databáze jsou často rozškatulkovány na skupiny „hry“, „kryptoměny“, podle států apod. a útočníci tyto databáze používají k útokům, kterým se říká credential stuffing. Mizerové zkouší známá jména a hesla ládovat do dalších služeb a v mnoha případech se jim podaří přihlásit, protože uživatelé používají jedno heslo na více místech.

Které české weby tyto databáze obsahují? Nutno podotknout, že všechny jsou již obsaženy v „BigDB“, některé dokonce vícekrát s různým počtem záznamů, a že to neznamená, že data v každém jednotlivém případu opravdu pochází z uvedených domén. Přistupujte k tomu tak, dokud se únik nepotvrdí. Pokud je některý web váš, tak byste měli případný únik prověřit, informovat uživatele i Úřad pro ochranu osobních údajů. Dobré je také připomenout, že polovina těchto českých úniků již byla do Have I Been Pwned? nahrána zhruba před rokem, ale tenkrát nebylo známo, kolik dat to vlastně bylo.

Dal jsem dohromady i seznam slovenských webů, najdete ho v dalším dílu.

U každého webu uvádím způsob uložení hesel, resp. tak jak byla v „BigDB“ zveřejněna, a počet záznamů. Pokud daný web používal nějaké „nečitelné“ uložení hesel, tak přidám i informaci o tom, kolik cracknutých hesel v čitelné podobě z toho konkrétního webu databáze obsahuje. Zcela jistě by za pár peněz (a hodin) šlo cracknout mnohem více hesel, ale to jsem tentokrát, až na výjimky, nezkoušel. Podívejte se na starší článek o lámání hesel pokud vás zajímá, jak se to dnes dělá a kolik to stojí.

Spousta těch webů totiž bohužel používá (nebo používala v době možného úniku) velmi nevhodné ukládání hesel, pokud to děláte podobně, tak to prosím změňte. Jak na to se dozvíte v mém návodu.

Seznam českých webů v kompilacích

1. abkontakt.cz: 191199 záznamů, MD5, 0 čitelných hesel (11564× heslo „katerina“, 1500× „dana“, 171013× „robot“)
2. achpak.cz: 690 záznamů, plaintext
3. poradna.adikto­logie.cz: 14540 záznamů, prvních 11 znaků z MD5, 0 čitelných hesel
4. almipraha.cz: 2829 záznamů, plaintext
5. aloki.cz: 14613 záznamů, MD5, 13634 čitelných he­sel
6. alveus-drezy.cz: 1184 záznamů, MD5, 0 čitelných hesel
7. asiantitulky.cz: 4063 záznamů, MD5(?), 3038 čitelných he­sel
8. var2.astro.cz: 584 záznamů, plaintext
9. eshop.atos.cz: 1501 záznamů, MD5, 474 čitelných hesel
10. auctions-art.cz: 5091 záznamů, SHA-1, 5444 čitelných he­sel
11. banner-lov.cz: 10751 záznamů, MD5, 6520 čitelných he­sel
12. banner-security.cz: 10746 záznamů, MD5, 6511 čitelných he­sel
13. beers.cz: 1284 záznamů, plaintext
14. big-wall.cz: 3401 záznamů, MD5, 0 čitelných hesel
15. biomonitoring.cz: 5486 záznamů, MD5, 0 čitelných hesel
16. bonekan.cz: 1372 záznamů, MD5, 363 čitelných hesel
17. canicross.cz: 887 záznamů, plaintext
18. casino-technology.cz: 6758 záznamů, plaintext+bcrypt, 1603 čitelných he­sel
19. chotec.cz: 620 záznamů, MD5, 0 čitelných hesel
20. comx.cz: 885 záznamů, MD5, 0 čitelných hesel (ale všechny účty mají stejné heslo „1X1A“)
21. coollight.cz: 2127 záznamů, plaintext
22. crew.cz: 3037 záznamů, MD5, 2782 čitelných he­sel
23. projekty.czechna­tionalteam.cz: 4729 záznamů, MD5+phpBB3($H$)+Drupal7($S$), 1924 čitelných he­sel
24. czshopy.com: 2403 záznamů, MD5, 2225 čitelných he­sel
25. danutiming.cz: 3767 záznamů, MD5, 3270 čitelných he­sel
26. dbsvet.cz: 17565 záznamů, MD5, 3140 čitelných he­sel
27. desky.cz: 5236 záznamů, MD5, 5107 čitelných he­sel
28. 2010.divadelnis­vet.cz: 9100 záznamů, MD5, 0 čitelných hesel
29. pocasi.divoch.cz: 3094 záznamů, MD5, 3018 čitelných he­sel
30. dj-shop.cz: 2040 záznamů, plaintext
31. dracidoupe.cz: 12982 záznamů, MD5, 5514 čitelných hesel (jiný soubor má jen 5584 účtů)
32. forum.drbal.cz: 2017 záznamů, MD5, 0 čitelných hesel
33. drp.cz: 1112 záznamů, MD5, 0 čitelných hesel
34. ekopress.cz: 3693 záznamů, plaintext (hesla vypadají generovaná, délka 12 znaků)
35. elektroprinc.cz: 2704 záznamů, MD5, 2587 čitelných he­sel
36. idnes.www.elweb­.cz: 585 záznamů, plaintext, 308 čitelných hesel (některé účty jsou bez hesla, o pár hesel méně je i v úniku z tatoomira.el­web.cz, zbytek je totožný)
37. eone.cz: 1650 záznamů, plaintext, 1060 čitelných hesel (některé účty jsou bez hesla)
38. eski.cz: 3448 záznamů, MD5, 0 čitelných hesel
39. urel.feec.vut­br.cz: 999 záznamů, MD5, 363 čitelných hesel (20× heslo „h54rsjrF5J46­788998“, 13× „I9k7hnv5sR“, 9× „1721k1721“)
40. www2.fm.vse.cz: 1745 záznamů, plaintext
41. foosball.cz: 1108 záznamů, plaintext
42. kss.fp.tul.cz: 941 záznamů, plaintext
43. funexplosive.cz: 2646 záznamů, Salted MD5, 0 čitelných hesel (spousta e-mailů je nejspíš generovaných, např. somadrughblhguliwadmin@dendride.ru)
44. gastrotrend.cz: 938 záznamů, MD5, 925 čitelných hesel
45. genomac.cz: 4401 záznamů, MD5, 1648 čitelných hesel (část je i v úniku z genomacinst.cz)
46. hazena.pb.cz: 5263 záznamů, plaintext (3292 účtů je generovaných ve tvaru awuodefs@nmjanodd.com)
47. helmetshop.cz: 1190 záznamů, plaintext
48. helmy.cz: 1758 záznamů, plaintext
49. hvezdarna.cz: 6063 záznamů, MD5, 5431 čitelných he­sel
50. ian.cz: 10073 záznamů, plaintext
51. instrumento.cz: 3448 záznamů, plaintext
52. isumava.cz: 1559 záznamů, MD5, 1490 čitelných he­sel
53. hry.izde.cz: 583 záznamů, plaintext
54. jaj.cz: 1117 záznamů, MD5, 880 čitelných hesel
55. jince.cz: 1635 záznamů, MD5, 0 čitelných hesel
56. jseddica.cz: 2995 záznamů, MD5, 2947 čitelných he­sel
57. kaktusy-rysavy.cz: 1602 záznamů, MD5, 0 čitelných hesel
58. kkkonstruktiva­.cz: 1782 záznamů, MD5, 777 čitelných hesel
59. kuma.cz: 81663 záznamů, plaintext (těm jsem se to snažil minulý rok nahlásit, pamatujete?)
60. legendapraha.cz: 502 záznamů, MD5, 0 čitelných hesel
61. lezec.cz: 9678 záznamů, plaintext
62. libchavy.cz: 6560 záznamů, plaintext (hesla vypadají generovaná o délce 7 znaků, některá jako „procházka po klávesnici“, např. „fssjsjsf“)
63. eshop.ltec.cz: 3592 záznamů, MD5, 0 čitelných hesel
64. majkluvsvet.cz: 4877 záznamů, MD5, 0 čitelných hesel
65. mesto-klimkovice.cz: 1920 záznamů, SHA-1, 1712 čitelných hesel (s emailem .cz jich je jen 21, ostatní vypadají náhodně/divně, v hashi některých hesel je kus SQL dotazu UNION SELECT)
66. nesedtedoma.cz: 585 záznamů, plaintext
67. nockostelu.cz: 2668 záznamů, bcrypt, 0 čitelných hesel
68. online-hry.cz: 1907 záznamů, plaintext+MD5, 1390 čitelných he­sel
69. ostyle.cz: 4157 záznamů, Salted MD5, 3845 čitelných he­sel
70. ovocenaraut.cz: 1451 záznamů, MD5, 1125 čitelných he­sel
71. papcel.cz: 11583 záznamů, MD5, 11208 čitelných he­sel
72. pressonline.cz: 5100 záznamů, plaintext+MD5, 5071 čitelných he­sel
73. rallyfan.cz: 75317 záznamů, SHA-1, 0 čitelných hesel (74960 uživatelů má SHA-1 z prázdného hes­la)
74. regionvalassko­.cz: 496 záznamů, plaintext
75. roxette.cz: 4215 záznamů, SHA-256, 0 čitelných hesel
76. expedice.rps.cz: 21655 záznamů, plaintext+MD5, 20596 čitelných hesel (plaintext hesla vypadají generovaná náhodně o délce 5–6 znaků, hesla v MD5 už ne)
77. saspi.cz: 5579 záznamů, MD5, 4828 čitelných he­sel
78. satelit.cz: 2380 záznamů, DES crypt()+md5crypt, 0 čitelných hesel (161 účtů má md5crypt $1$)
79. sawan.cz: 7537 záznamů, plaintext
80. scandinaviashop­.cz: 2249 záznamů, MD5, 1327 čitelných he­sel
81. scena.cz: 2142 záznamů, plaintext
82. sexonline.cz: 2832 záznamů, plaintext
83. sexyweb.cz: 8871 záznamů, plaintext
84. signaturymali­ru.cz: 53377 záznamů, MD5, 50852 čitelných he­sel
85. skmseno.cz: 5117 záznamů, plaintext+MD5, 4793 čitelných he­sel
86. softball.cz: 640 záznamů, plaintext
87. soural.cz: 93499 záznamů, MD5, 69840 čitelných he­sel
88. spoltex-kravare.cz: 2036 záznamů, MD5+SHA-1, 447 čitelných hesel
89. stoebich.cz: 1702 záznamů, MD5, 0 čitelných hesel
90. www1.streetpun­k.cz: 1370 záznamů, SHA-1, 1351 čitelných he­sel
91. mks.stribro.cz: 3422 záznamů, MD5, 3379 čitelných hesel (v kompilaci též jako infocentrum.stri­bro.cz a stribro.cz s o něco méně totožnými záznamy)
92. studiumchemie.cz: 1495 záznamů, MD5, 0 čitelných hesel
93. foto.sviga.cz: 4236 záznamů, plaintext+MD5, 4190 čitelných he­sel
94. thalie.pilsfre­e.cz: 3796 záznamů, MySQL5 hash, 2794 čitelných he­sel
95. valtickepodze­mi.cz: 1748 záznamů, MD5, 1618 čitelných he­sel
96. w.veteranforum­.cz: 9520 záznamů, plaintext
97. vysivaniberus­ka.cz: 537 záznamů, plaintext
98. wifi.vscom.cz: 1085 záznamů, plaintext
99. windseznam.pb.cz: 2244 záznamů, MD5, 2214 čitelných he­sel
100. wohnout.nen.cz: 4429 záznamů, MD5, 0 čitelných hesel

Celkem to dělá necelých 450 tisíc hesel v čitelné podobě. Pokud se vám zdá, že z některého webu uniklo víc účtů, než kolik jich ve skutečnosti může mít v databázi, tak je to nejspíš proto, že kvůli sdílenému databázovému přístupu se podařilo jednou dírou vytáhnout data z více služeb.

V balíku „BigDB“ se nachází i pár souborů s názvy cz.txt apod., které jsou nejspíš kompilací některých dalších úniků a minimálně část obsahu se shoduje s hesly z databáze, která se objevila už v roce 2017. Celkem v nich je 3 295 430 hesel v čitelné podobě.

Analýza všech hesel

Když všechna ta hesla nasypeme na jednu hromadu a pustíme na ni analyzátor hesel Pipal, tak dostaneme tyto výsledky:

• Celkový počet hesel: 3 740 880
• Celkový počet unikátních hesel: 2 281 413
• Nejčastější hesla:
  1. 123456 = 19 323 (0,52%)
  2. password = 13 155 (0,35%)
  3. 123456789 = 6 436 (0,17%)
  4. qwerty = 5 521 (0,15%)
  5. 12345 = 5 197 (0,14%)
• Nejčastější základní slova:
  1. password = 15 619 (0,42%)
  2. qwerty = 9 953 (0,27%)
  3. martin = 4 747 (0,13%)
  4. heslo = 4 422 (0,12%)
  5. a838hfid = 4 124 (0,11%)
• Délka hesel podle četnosti:
  1. 8 = 984 760 (26,32%)
  2. 6 = 734 481 (19,63%)
  3. 7 = 556 580 (14,88%)
  4. 9 = 410 853 (10,98%)
  5. 10 = 324 030 (8,66%)
• Hesla složená pouze z malých písmen: 1 355 091 (36,22%)
• Pouze z velkých písmen: 40 970 (1,1%)
• Pouze písmena: 1 396 061 (37.32%)
• Pouze čísla: 447 514 (11,96%)

Celkový počet unikátních e-mailů

V „BigDB“ je celkem 3 023 494 uni­kátních e-mailových adres a hesel v čitelné podobě, které pochází z českých webů, z toho 2 923 512 uni­kátních e-mailových adres s koncovkou .cz.

Pokud to dáme dohromady s e-maily z databáze 1,4 miliardy přihlašovacích jmen a hesel z prosince 2017, tak nám vyjde, že útočníci mají k dispozici 6,2 milionu unikátních e-mailových adres s koncovkou .cz a hesel, přičemž do toho nepočítám např. únik z Mall.cz a další, které v těchto obřích databázích z nějakého důvodu nejsou. To na tuhle malou zemičku není špatný.

Pokud nemáte každé heslo jiné, tak bych vám rád popřál hodně štěstí, budete ho potřebovat.

---

Mohlo by vás také zajímat

• Slovenské weby v databázi uniklých hesel „Collection #1“ a dalších
• Moje přednáška o heslech, managerech a hlavě
• Článek o crackování hesel z úniku Mall.cz