Адрес для входа в РФ: exler.world
Хьюстон, у нас проблемы
09.05.2021 19:16
13939
Комментарии (100)
Похоже, что злоумышленники все-таки сумели утянуть базу пользователей сайта. С одной стороны, каких-то особых проблем это никому создать не должно: разумеется, мы пароли не храним в открытом виде, а храним только в виде хешей. Однако! На сайте немало регистраций, которые делались еще через мой форум (то есть до 2 апреля 2018 года, когда мы перешли на новый движок), а там хеш еще с mysql 4.1, и его вроде бы научились ломать.
Поэтому большая просьба для тех, кто на Exler.ru регистрировался еще через форум (у них у всех дата и время регистрации выглядят так - 02 апреля, 2018 09:57) - поменяйте пароль, от греха. Причем прежде всего это касается активных комментаторов, потому что злоумышленники могут начать маскироваться под них (остальные старые регистрации им вряд ли могут понадобиться, никто же не мешает зарегистрироваться заново). Да, если вы меняли пароль уже после перехода на новый движок, то у вас уже будет новый хеш, который вроде бы до сих пор не вскрыли.
Ну и если вдруг кто-то обнаружит якобы свои комментарии, которые он не писал, то сначала поменяйте пароль, а потом напишите об этом мне.
Приносим всем свои глубочайшие извинения.
Войдите, чтобы оставить комментарий.
Блиииннн... то-то мне в пятницу пришлось менять пароли на 20+ емейлах...
Переведи
Уж не те ли єто уродцьі, которьіе тут страшной местью угрожали за кого-то из забаненньіх?
В таких случая правильно делать имейл-рассылку, о дискредитации пароля.
Иначе потом чревато проблемами.
Ну и другие правильные практики есть. Но это уже зависит от архитектуры сайта.
Наиболее правильная: блочить все аккаунты. И чтобы при входе появлялась надпись: "ваш пароль возможно дискредитирован" и предложение отправить ссылку для смены пароля.
Иначе потом чревато проблемами.
Ну и другие правильные практики есть. Но это уже зависит от архитектуры сайта.
Наиболее правильная: блочить все аккаунты. И чтобы при входе появлялась надпись: "ваш пароль возможно дискредитирован" и предложение отправить ссылку для смены пароля.
Хорошо, если неделями.
Некоторые логинятся только раз в пару месяцев, а то и больше, чтобы оставить коммент.
Некоторые логинятся только раз в пару месяцев, а то и больше, чтобы оставить коммент.
В таких случая правильно делать имейл-рассылку, о дискредитации пароля.
А вот интересно, раз вы живете в Испании, должны ли вы следовать правилам GDPR по декларации таких инцидентов?
"‘personal data’ means any information relating to an identified or identifiable natural person (‘data subject’); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person;"Максимум, что есть в базе - е-мейл, ник и место жительства. Но это не позволяет идентифицировать физическое лицо. Так что информация, которую уперли, с моей точки зрения, не попадает под GDPR.
Было бы неплохо если так. Но думаю что не гражданство имеет значение, а налоговое резидентсво (primary fiscal residence)
Никакие пароли не утекали. Утекли хеши.
Пардон. Имел в виду хэши (что с некоторыми алгоритмами равноценно утечке паролей).
1. Хеширование с солью?
2. Вообще при таком надо-бы принудительно всем пароли сбрасывать.
P.S. Блин, только зарегался. Нарушив своё правило не регаться на сайте до его взлома. Фактически ради одного коммента. Блин (пароля не жалко, инфы тоже нет)
2. Вообще при таком надо-бы принудительно всем пароли сбрасывать.
P.S. Блин, только зарегался. Нарушив своё правило не регаться на сайте до его взлома. Фактически ради одного коммента. Блин (пароля не жалко, инфы тоже нет)
Блин, только зарегался. Нарушив своё правило не регаться на сайте до его взлома... Блин (пароля не жалко, инфы тоже нет)
База уже должна быть в продаже, в даркнете.
:)
Вообще при таком надо-бы принудительно всем пароли сбрасывать.
если вдруг кто-то обнаружит якобы свои комментарии, которые он не писал
Это скоро будет.
Ясно, спасибо.
Можно ещё одно пожелание: сделать в комментах под постом ещё кнопку, отфильтровывающую только твои комментарии.
Типа:
Комментарии: 123, Exler: 7
Можно ещё одно пожелание: сделать в комментах под постом ещё кнопку, отфильтровывающую только твои комментарии.
Типа:
Комментарии: 123, Exler: 7
Интересно, только сегодня среагировал на многократные гугловские упреки - проверь аккаунт, есть утёкшие пароли, три штуки. Наконец проверил, а там exler.ru, ФЭР и кинозал.гуру. Но я скорее объясняю, что там пароли были простые, повторялись и им больше 10 лет было, вряд ли из-за этой атаки утекли.
Блин. Невозу можно... Не. Невозможно такое осуществить 9 января, тьфу, маября, да ещё вечером. После демона странции под ливнем.
Все, меняю пароль нафиг, а то сопьюсь.
Все, меняю пароль нафиг, а то сопьюсь.
а то сопьюсь.
Блюз!
А как именно хашировалось? Для друга спрашиваю.
P.S. рано или поздно должно было случиться. Может, перерегю на совсем левый емайл, но старые инкриминирующие экстремистсткие каменты никуда не денутся.
P.S. рано или поздно должно было случиться. Может, перерегю на совсем левый емайл, но старые инкриминирующие экстремистсткие каменты никуда не денутся.
Что-то не меняется пароль... Нажимаю на кнопочку сохранить - и ничего не происходит
Сейчас появилось дополнительное поле "Повторите новый пароль" и после этого всё заработало - пароль сменился. Проверил - вышел/зашёл - всё ок, новый пароль работает
после этого всё заработало - пароль сменился
Поменял на "12345". 😄
Для надежности все-таки лучше сделать "54321", так ни в жисть не догадаются! 😄
Ошибка, пароль "12345" уже используется пользователем Alex Exler, выберите другой пароль
ЧОРД! 😄
Поменял на "12345". 😄
Лучше "×××××"
А всё вышеперечисленное касается mai.exler.ru ?
Вообще никакого отношения не имеет.
Понял, спасибо
Не стал смотреть когда регистрировался, явно очень давно и просто поменял пароль, что и всем советую.
А в чем состоит экономический смысл ломать сайт? Как на этом зарабатывают?
А в чем состоит экономический смысл ломать сайт? Как на этом зарабатывают?
Так это же ещё Раскольников подсчитал: «одна старушка = триста семнадцать рублей 60 коп.»
Ну я ещё и другие гипотезы рассматриваю. Поэтому и спрашиваю, не будучи специалистом
Да как только не зарабатывают. Рекламная акция, я заломал эксрерру или дефейснул пентагон. Строчка в резюме. Вписать редирект и залить трафика, подвесить эксплойт и раздать шифровальщика. Стащить базу, пропарсить и продать. Или спамить под видом старых аккаунтов. Шантаж - админ плати выкуп коль не делаешь бакапы или не смог закрыть дыру.
Строчка в резюме.
2021. Уронил сайт Экслера А. Б.
Готово. Старый пароль все равно уже был давно скомпрометирован.
Если напишу какую-то фигню считайте это написали злоумышленники угнавшие мой пароль!
Отличная отмазка для пьяных комментов! )
Не факт, но настолько серьезно нас ломануть (и чтобы я об этом в своем Фейсбуке не написал) - маловероятно. Кроме того, под настоящего Экслера (как и под настоящего кого угодно, чья манера общаться письменно хорошо изучена) косить-то на самом деле очень сложно, проколоться можно на раз-два. Я, например, отлично вижу забаненных ушлепков, которые возвращаются с новыми никами и пытаются делать вид, что это не они. Черта с два у них получается, причем чисто по манере, мне даже никакие другие средства не нужны (а они есть, конечно).
У нас есть такие приборы,
Но мы вам про них не расскажем!
Но мы вам про них не расскажем!
Противоречишь. То говоришь, что под Экслера косить трудно, а потом говоришь, про распознавание ушлёпков по манере.
Если скормить нейросети архив сайта она вполне сможет делать посты неотличимые по стилю от настоящего Экслера. Другой вопрос - насколько посты нейросети будут осмысленными)
Если скормить нейросети архив сайта она вполне сможет делать посты неотличимые по стилю от настоящего Экслера. Другой вопрос - насколько посты нейросети будут осмысленными)
Противоречишь. То говоришь, что под Экслера косить трудно, а потом говоришь, про распознавание ушлёпков по манере.
никакие другие средства не нужны (а они есть, конечно).
И не факт, что сейчас настоящий Экслер пишет здесь
ЭПСН-100
Мне пишет (при попытке сменить пароль) "Значение «Имя пользователя» неверно". Почему?
Аналогично.
Что делать?
Что делать?
Наш косячок, сейчас Василий разберется.
Читай коммент от Алекса! Починят! ?
Спасибо!
Сейчас пробуйте.
Алекс, пароль вроде как поменял.
Но при входе он не работает. А работает почему-то старый пароль.
И при смене пароля вводится он лишь раз - без повтора.
Но при входе он не работает. А работает почему-то старый пароль.
И при смене пароля вводится он лишь раз - без повтора.
Строки "имя" вообще нет, пишу новый пароль, старый, нажимаю кнопку "сохранить" и ничего не происходит. Проверил на двух браузерах. Сохраняется старый пароль. Все манипуляции произвожу на телефоне, может быть в этом проблема?
Тоже самое и у меня.
Ясно, сейчас поправим.
Поправили. Как сейчас?
Все получилось, спасибо! ??
Если пароль в md5, то они довольно легко подбираются. Так что лучше меняйте )
Поменял пароль на форуме.
Сюда залогиниться с новым паролем не дал, но дал залогиниться со старым.
Что происходит?
И, кстати, возможно ли поменать емыл регистрации?
Сюда залогиниться с новым паролем не дал, но дал залогиниться со старым.
Что происходит?
И, кстати, возможно ли поменать емыл регистрации?
Поменял пароль на форуме.
Сюда залогиниться с новым паролем не дал, но дал залогиниться со старым.
Что происходит?
Сюда залогиниться с новым паролем не дал, но дал залогиниться со старым.
Что происходит?
И, кстати, возможно ли поменать емыл регистрации?
Поменял пароль. Он был простой небезопасный. Оказывается е-мэйл был указан, который я уже лет 10 не открывал. Не знаю, он работает ли вообще.
Проверил, оказывается, на форуме еще работает мой логин 2008го года. А на сайте его уже давно забанил злой дядя Алекс.
Сменил. Хотя кому я нужен? Но обидно было бы в 70 оказаться сломаным.
Уже 70?) Как быстро растут чужие дети)))
P.S. На всякий случай, я не хотел обидеть.
P.S. На всякий случай, я не хотел обидеть.
Если бы хотел обидеть, сказал бы "В 70 вообще что-то сломать стрёмно, кальция в костях совсем не осталось". А так просто шутка.
Сменил. Не то, чтобы я такой уж активный, но именем дорожу 😄
Ошибка в ссылке "напишите" (лишний https://).
Спасибо, исправил.
Получается, на форуме тоже нужно пароль менять?
Для тех, кто участвует и на форуме, и у меня на сайте - очень желательно, да, я там сделаю объявление.
Что ещё было в базе, которую утонули? Имейлы, IP?
Проблемы создаст тем, кто одним имейлом и паролем регистрируется в различных сервисах.
Проблемы создаст тем, кто одним имейлом и паролем регистрируется в различных сервисах.
Что ещё было в базе, которую утонули? Имейлы, IP?
Проблемы создаст тем, кто одним имейлом и паролем регистрируется в различных сервисах.
"Не регистрируйтесь в различных сервисах таким образом" (c)
Друзья, я уверен, что многим это само очевидно, но также знаю что многим нет. Если вы используете тот же пароль, что на exler.ru - поменяйте его ВЕЗДЕ. Стандартная схема сейчас - взломать один сайт, взять комбинацию логин-пароль и попробовать его на различных сервиса. Таким простым образом ломают почты, интернет банки, мессенддеры и т.п. не говоря уже о сервисах попроще, особенно с учётом того, что не все настраивают двухфакторную аутентификациию. Цель в 90% случаях одна - деньги. Вы удивитесь, сколько возможностей для кражи, если, например, взломать вашу почту.
Да, все верно.
Да, все верно.
А такие еще есть?
А ссылка на Форум указывает на club443.ru
Это норм?
Это норм?
Ну да, это его адрес последние лет десять. Я его специально убирал с домена exler.ru.
Да у меня пароль на 2006 года.
Я туда уже давно не заходил.
Я туда уже давно не заходил.
Теги
Информация
Что ещё почитать
Обзор защищенного смартфона Cubot KingKong X
23.07.2024
23
Обзор наушников-каффов Sanag S6S
24.09.2024
69
