Адрес для входа в РФ: exler.world

Хьюстон, у нас проблемы

09.05.2021 19:16  14108   Комментарии (100)

Похоже, что злоумышленники все-таки сумели утянуть базу пользователей сайта. С одной стороны, каких-то особых проблем это никому создать не должно: разумеется, мы пароли не храним в открытом виде, а храним только в виде хешей. Однако! На сайте немало регистраций, которые делались еще через мой форум (то есть до 2 апреля 2018 года, когда мы перешли на новый движок), а там хеш еще с mysql 4.1, и его вроде бы научились ломать.

Поэтому большая просьба для тех, кто на Exler.ru регистрировался еще через форум (у них у всех дата и время регистрации выглядят так - 02 апреля, 2018 09:57) - поменяйте пароль, от греха. Причем прежде всего это касается активных комментаторов, потому что злоумышленники могут начать маскироваться под них (остальные старые регистрации им вряд ли могут понадобиться, никто же не мешает зарегистрироваться заново). Да, если вы меняли пароль уже после перехода на новый движок, то у вас уже будет новый хеш, который вроде бы до сих пор не вскрыли.

Ну и если вдруг кто-то обнаружит якобы свои комментарии, которые он не писал, то сначала поменяйте пароль, а потом напишите об этом мне.

Приносим всем свои глубочайшие извинения.

09.05.2021 19:16
Комментарии 100

Блиииннн... то-то мне в пятницу пришлось менять пароли на 20+ емейлах...
11.05.21 00:24
0 0

Переведи
10.05.21 21:27
0 0

Уж не те ли єто уродцьі, которьіе тут страшной местью угрожали за кого-то из забаненньіх?
10.05.21 14:45
0 0

В таких случая правильно делать имейл-рассылку, о дискредитации пароля.
Иначе потом чревато проблемами.
Ну и другие правильные практики есть. Но это уже зависит от архитектуры сайта.
Наиболее правильная: блочить все аккаунты. И чтобы при входе появлялась надпись: "ваш пароль возможно дискредитирован" и предложение отправить ссылку для смены пароля.
10.05.21 12:29
0 7

Хорошо, если неделями.
Некоторые логинятся только раз в пару месяцев, а то и больше, чтобы оставить коммент.
10.05.21 16:46
0 0

В таких случая правильно делать имейл-рассылку, о дискредитации пароля.
Да, это обязательно сделаем.
10.05.21 19:36
0 1

А вот интересно, раз вы живете в Испании, должны ли вы следовать правилам GDPR по декларации таких инцидентов?
10.05.21 11:31
1 1

"‘personal data’ means any information relating to an identified or identifiable natural person (‘data subject’); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person;"Максимум, что есть в базе - е-мейл, ник и место жительства. Но это не позволяет идентифицировать физическое лицо. Так что информация, которую уперли, с моей точки зрения, не попадает под GDPR.
10.05.21 16:57
0 0

"online identifier" = email. , тем более что пароли тоже утекли.
Впрочем, вопрос был больше о юрисдикции
10.05.21 17:27
0 1

Было бы неплохо если так. Но думаю что не гражданство имеет значение, а налоговое резидентсво (primary fiscal residence)
10.05.21 18:05
0 0

Никакие пароли не утекали. Утекли хеши.
10.05.21 19:37
0 0

Пардон. Имел в виду хэши (что с некоторыми алгоритмами равноценно утечке паролей).
10.05.21 19:39
0 0

1. Хеширование с солью?
2. Вообще при таком надо-бы принудительно всем пароли сбрасывать.

P.S. Блин, только зарегался. Нарушив своё правило не регаться на сайте до его взлома. Фактически ради одного коммента. Блин (пароля не жалко, инфы тоже нет)
10.05.21 10:22
0 2

Блин, только зарегался. Нарушив своё правило не регаться на сайте до его взлома... Блин (пароля не жалко, инфы тоже нет)
Мог бы под чьим-то логином зайти.
База уже должна быть в продаже, в даркнете.
:)
10.05.21 10:41
0 1

Вообще при таком надо-бы принудительно всем пароли сбрасывать.
Мы бы сбросили, но многие пользователи забрасывают ящики, на которые регистрируются, и они потом просто не смогут восстановить доступ.
10.05.21 19:38
0 2

если вдруг кто-то обнаружит якобы свои комментарии, которые он не писал
А как это делается? Не вижу кнопки «Мои комментарии».
10.05.21 00:42
0 10

Это скоро будет.
10.05.21 19:38
0 1

Ясно, спасибо.

Можно ещё одно пожелание: сделать в комментах под постом ещё кнопку, отфильтровывающую только твои комментарии.
Типа:
Комментарии: 123, Exler: 7
10.05.21 21:37
0 0

Интересно, только сегодня среагировал на многократные гугловские упреки - проверь аккаунт, есть утёкшие пароли, три штуки. Наконец проверил, а там exler.ru, ФЭР и кинозал.гуру. Но я скорее объясняю, что там пароли были простые, повторялись и им больше 10 лет было, вряд ли из-за этой атаки утекли.
09.05.21 22:47
0 0

Блин. Невозу можно... Не. Невозможно такое осуществить 9 января, тьфу, маября, да ещё вечером. После демона странции под ливнем.
Все, меняю пароль нафиг, а то сопьюсь.
09.05.21 21:59
10 1

а то сопьюсь.
Шуба-дуба!
Блюз!

А как именно хашировалось? Для друга спрашиваю.

P.S. рано или поздно должно было случиться. Может, перерегю на совсем левый емайл, но старые инкриминирующие экстремистсткие каменты никуда не денутся.
09.05.21 21:51
1 1

Что-то не меняется пароль... Нажимаю на кнопочку сохранить - и ничего не происходит
09.05.21 21:07
0 1

Сейчас появилось дополнительное поле "Повторите новый пароль" и после этого всё заработало - пароль сменился. Проверил - вышел/зашёл - всё ок, новый пароль работает
09.05.21 22:21
0 2

после этого всё заработало - пароль сменился
Да, теперь заработало. Тоже не получалось сменить.
09.05.21 22:58
0 0

Поменял на "12345". 😄
09.05.21 20:53
0 4

Для надежности все-таки лучше сделать "54321", так ни в жисть не догадаются! 😄
09.05.21 20:56
0 5

Ошибка, пароль "12345" уже используется пользователем Alex Exler, выберите другой пароль
09.05.21 21:05
0 31

ЧОРД! 😄
09.05.21 21:07
0 1

Поменял на "12345". 😄
Не забудьте ещё для полной безопасности обработать цифровые клавиши антисептиком спиртом!
10.05.21 00:16
0 5

Лучше "×××××"
10.05.21 07:10
0 0

А всё вышеперечисленное касается mai.exler.ru ?
09.05.21 20:43
0 0

Вообще никакого отношения не имеет.
09.05.21 20:44
0 0

Понял, спасибо
09.05.21 20:46
0 0

Не стал смотреть когда регистрировался, явно очень давно и просто поменял пароль, что и всем советую.
09.05.21 20:29
0 7

А в чем состоит экономический смысл ломать сайт? Как на этом зарабатывают?
09.05.21 20:26
1 1

А в чем состоит экономический смысл ломать сайт? Как на этом зарабатывают?
А в чем состоит экономический смысл травить и убивать своих граждан?
09.05.21 21:55
6 9

Так это же ещё Раскольников подсчитал: «одна старушка = триста семнадцать рублей 60 коп.»
09.05.21 22:23
0 4

Ну я ещё и другие гипотезы рассматриваю. Поэтому и спрашиваю, не будучи специалистом
09.05.21 23:50
0 0

Да как только не зарабатывают. Рекламная акция, я заломал эксрерру или дефейснул пентагон. Строчка в резюме. Вписать редирект и залить трафика, подвесить эксплойт и раздать шифровальщика. Стащить базу, пропарсить и продать. Или спамить под видом старых аккаунтов. Шантаж - админ плати выкуп коль не делаешь бакапы или не смог закрыть дыру.
10.05.21 00:19
0 1

Строчка в резюме.
2021. Уронил сайт Экслера А. Б.
10.05.21 02:06
0 0

2021. Уронил сайт Экслера А. Б.
2041. Вышел из комы. Что это было, и кто я?
10.05.21 10:38
0 1

Готово. Старый пароль все равно уже был давно скомпрометирован.
09.05.21 20:21
0 1

Если напишу какую-то фигню считайте это написали злоумышленники угнавшие мой пароль!
09.05.21 20:13
0 26

Отличная отмазка для пьяных комментов! )
09.05.21 20:21
0 12

Не факт, но настолько серьезно нас ломануть (и чтобы я об этом в своем Фейсбуке не написал) - маловероятно. Кроме того, под настоящего Экслера (как и под настоящего кого угодно, чья манера общаться письменно хорошо изучена) косить-то на самом деле очень сложно, проколоться можно на раз-два. Я, например, отлично вижу забаненных ушлепков, которые возвращаются с новыми никами и пытаются делать вид, что это не они. Черта с два у них получается, причем чисто по манере, мне даже никакие другие средства не нужны (а они есть, конечно).
09.05.21 22:20
2 0

У нас есть такие приборы,
Но мы вам про них не расскажем!
09.05.21 22:47
0 10

Противоречишь. То говоришь, что под Экслера косить трудно, а потом говоришь, про распознавание ушлёпков по манере.
Если скормить нейросети архив сайта она вполне сможет делать посты неотличимые по стилю от настоящего Экслера. Другой вопрос - насколько посты нейросети будут осмысленными)
09.05.21 23:41
2 2

Противоречишь. То говоришь, что под Экслера косить трудно, а потом говоришь, про распознавание ушлёпков по манере.
В чем тут противоречие-то?
09.05.21 23:56
1 2

никакие другие средства не нужны (а они есть, конечно).
лингвистический анализ?
10.05.21 04:00
0 0

И не факт, что сейчас настоящий Экслер пишет здесь
Всех пятерых так просто не поделать. Да ещё вот Бублик имеется.
10.05.21 08:07
0 1

никакие другие средства не нужны
(а они есть, конечно).
лингвистический анализ?
Терморектальный криптоанализ.
Глубокий.
ЭПСН-100
10.05.21 10:43
0 0

ЭПСН-100
Тема сисек терморектального криптоанализа не раскрыта.
10.05.21 17:07
0 0

Мне пишет (при попытке сменить пароль) "Значение «Имя пользователя» неверно". Почему?
09.05.21 20:12
0 2

Аналогично.
Что делать?

Наш косячок, сейчас Василий разберется.

Читай коммент от Алекса! Починят! ?

Спасибо!

Сейчас пробуйте.

Алекс, пароль вроде как поменял.
Но при входе он не работает. А работает почему-то старый пароль.
И при смене пароля вводится он лишь раз - без повтора.
09.05.21 21:16
0 2

Строки "имя" вообще нет, пишу новый пароль, старый, нажимаю кнопку "сохранить" и ничего не происходит. Проверил на двух браузерах. Сохраняется старый пароль. Все манипуляции произвожу на телефоне, может быть в этом проблема?

Тоже самое и у меня.

Ясно, сейчас поправим.
09.05.21 21:40
0 0

Поправили. Как сейчас?

Все получилось, спасибо! ??

Если пароль в md5, то они довольно легко подбираются. Так что лучше меняйте )
09.05.21 20:10
0 0

Поменял пароль на форуме.
Сюда залогиниться с новым паролем не дал, но дал залогиниться со старым.
Что происходит?

И, кстати, возможно ли поменать емыл регистрации?
09.05.21 19:58
0 0

Поменял пароль на форуме.
Сюда залогиниться с новым паролем не дал, но дал залогиниться со старым.
Что происходит?
Все нормально, это разные базы. Если менять на форуме, здесь автоматом меняться не будет и не должен.

И, кстати, возможно ли поменать емыл регистрации?
Да, конечно, там же есть такой механизм.
09.05.21 20:05
0 0

Поменял пароль. Он был простой небезопасный. Оказывается е-мэйл был указан, который я уже лет 10 не открывал. Не знаю, он работает ли вообще.
09.05.21 19:53
0 0

Проверил, оказывается, на форуме еще работает мой логин 2008го года. А на сайте его уже давно забанил злой дядя Алекс.
09.05.21 19:51
0 0

Сменил. Хотя кому я нужен? Но обидно было бы в 70 оказаться сломаным.
09.05.21 19:51
0 2

Уже 70?) Как быстро растут чужие дети)))

P.S. На всякий случай, я не хотел обидеть.
09.05.21 22:12
0 6

Если бы хотел обидеть, сказал бы "В 70 вообще что-то сломать стрёмно, кальция в костях совсем не осталось". А так просто шутка.
10.05.21 13:36
0 1

Сменил. Не то, чтобы я такой уж активный, но именем дорожу 😄
09.05.21 19:45
0 0

Ошибка в ссылке "напишите" (лишний https://).
09.05.21 19:43
0 0

Спасибо, исправил.
09.05.21 19:50
0 0

Получается, на форуме тоже нужно пароль менять?
09.05.21 19:36
0 1

Для тех, кто участвует и на форуме, и у меня на сайте - очень желательно, да, я там сделаю объявление.
09.05.21 19:43
0 0

Что ещё было в базе, которую утонули? Имейлы, IP?

Проблемы создаст тем, кто одним имейлом и паролем регистрируется в различных сервисах.
09.05.21 19:33
0 12

Что ещё было в базе, которую утонули? Имейлы, IP?
Адреса регистрации хранились, да. IP регистрации хранились только для новых пользователей, у старых, у которых теоретически уязвимый хеш, их не было.

Проблемы создаст тем, кто одним имейлом и паролем регистрируется в различных сервисах.
Возможно, мы поэтому и предупредили.
09.05.21 19:37
0 2

"Не регистрируйтесь в различных сервисах таким образом" (c)
09.05.21 19:48
0 2

Друзья, я уверен, что многим это само очевидно, но также знаю что многим нет. Если вы используете тот же пароль, что на exler.ru - поменяйте его ВЕЗДЕ. Стандартная схема сейчас - взломать один сайт, взять комбинацию логин-пароль и попробовать его на различных сервиса. Таким простым образом ломают почты, интернет банки, мессенддеры и т.п. не говоря уже о сервисах попроще, особенно с учётом того, что не все настраивают двухфакторную аутентификациию. Цель в 90% случаях одна - деньги. Вы удивитесь, сколько возможностей для кражи, если, например, взломать вашу почту.
09.05.21 19:48
0 13

Да, все верно.
09.05.21 19:51
0 0

Да, все верно.
Даже если это происки кровавого режима, никогда не лишнее напомнить о правилах обращения с паролями!
09.05.21 19:59
5 4

А такие еще есть?
10.05.21 00:21
0 0

А ссылка на Форум указывает на club443.ru
Это норм?
09.05.21 19:32
0 0

Ну да, это его адрес последние лет десять. Я его специально убирал с домена exler.ru.
09.05.21 19:32
0 3

Да у меня пароль на 2006 года.
Я туда уже давно не заходил.
09.05.21 19:36
0 0
Теги
Сортировать по алфавиту или записям
BLM 21
Calella 143
exler.ru 272
авто 442
видео 3997
вино 359
еда 500
ЕС 60
игры 114
ИИ 29
кино 1581
попы 191
СМИ 2761
софт 930
США 132
шоу 6