Адрес для входа в РФ: exler.world

Хьюстон, у нас проблемы

09.05.2021 19:16  14023   Комментарии (100)

Похоже, что злоумышленники все-таки сумели утянуть базу пользователей сайта. С одной стороны, каких-то особых проблем это никому создать не должно: разумеется, мы пароли не храним в открытом виде, а храним только в виде хешей. Однако! На сайте немало регистраций, которые делались еще через мой форум (то есть до 2 апреля 2018 года, когда мы перешли на новый движок), а там хеш еще с mysql 4.1, и его вроде бы научились ломать.

Поэтому большая просьба для тех, кто на Exler.ru регистрировался еще через форум (у них у всех дата и время регистрации выглядят так - 02 апреля, 2018 09:57) - поменяйте пароль, от греха. Причем прежде всего это касается активных комментаторов, потому что злоумышленники могут начать маскироваться под них (остальные старые регистрации им вряд ли могут понадобиться, никто же не мешает зарегистрироваться заново). Да, если вы меняли пароль уже после перехода на новый движок, то у вас уже будет новый хеш, который вроде бы до сих пор не вскрыли.

Ну и если вдруг кто-то обнаружит якобы свои комментарии, которые он не писал, то сначала поменяйте пароль, а потом напишите об этом мне.

Приносим всем свои глубочайшие извинения.

09.05.2021 19:16
Комментарии 100

Блиииннн... то-то мне в пятницу пришлось менять пароли на 20+ емейлах...
11.05.21 00:24
0 0

Переведи
10.05.21 21:27
0 0

Уж не те ли єто уродцьі, которьіе тут страшной местью угрожали за кого-то из забаненньіх?
10.05.21 14:45
0 0

В таких случая правильно делать имейл-рассылку, о дискредитации пароля.
Иначе потом чревато проблемами.
Ну и другие правильные практики есть. Но это уже зависит от архитектуры сайта.
Наиболее правильная: блочить все аккаунты. И чтобы при входе появлялась надпись: "ваш пароль возможно дискредитирован" и предложение отправить ссылку для смены пароля.
10.05.21 12:29
0 7

В таких случая правильно делать имейл-рассылку, о дискредитации пароля.
Да, это обязательно сделаем.
10.05.21 19:36
0 1

Хорошо, если неделями.
Некоторые логинятся только раз в пару месяцев, а то и больше, чтобы оставить коммент.
10.05.21 16:46
0 0

А вот интересно, раз вы живете в Испании, должны ли вы следовать правилам GDPR по декларации таких инцидентов?
10.05.21 11:31
1 1

Пардон. Имел в виду хэши (что с некоторыми алгоритмами равноценно утечке паролей).
10.05.21 19:39
0 0

Никакие пароли не утекали. Утекли хеши.
10.05.21 19:37
0 0

Было бы неплохо если так. Но думаю что не гражданство имеет значение, а налоговое резидентсво (primary fiscal residence)
10.05.21 18:05
0 0

"online identifier" = email. , тем более что пароли тоже утекли.
Впрочем, вопрос был больше о юрисдикции
10.05.21 17:27
0 1

"‘personal data’ means any information relating to an identified or identifiable natural person (‘data subject’); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person;"Максимум, что есть в базе - е-мейл, ник и место жительства. Но это не позволяет идентифицировать физическое лицо. Так что информация, которую уперли, с моей точки зрения, не попадает под GDPR.
10.05.21 16:57
0 0

1. Хеширование с солью?
2. Вообще при таком надо-бы принудительно всем пароли сбрасывать.

P.S. Блин, только зарегался. Нарушив своё правило не регаться на сайте до его взлома. Фактически ради одного коммента. Блин (пароля не жалко, инфы тоже нет)
10.05.21 10:22
0 2

Вообще при таком надо-бы принудительно всем пароли сбрасывать.
Мы бы сбросили, но многие пользователи забрасывают ящики, на которые регистрируются, и они потом просто не смогут восстановить доступ.
10.05.21 19:38
0 2

Блин, только зарегался. Нарушив своё правило не регаться на сайте до его взлома... Блин (пароля не жалко, инфы тоже нет)
Мог бы под чьим-то логином зайти.
База уже должна быть в продаже, в даркнете.
:)
10.05.21 10:41
0 1

если вдруг кто-то обнаружит якобы свои комментарии, которые он не писал
А как это делается? Не вижу кнопки «Мои комментарии».
10.05.21 00:42
0 10

Ясно, спасибо.

Можно ещё одно пожелание: сделать в комментах под постом ещё кнопку, отфильтровывающую только твои комментарии.
Типа:
Комментарии: 123, Exler: 7
10.05.21 21:37
0 0

Это скоро будет.
10.05.21 19:38
0 1

Интересно, только сегодня среагировал на многократные гугловские упреки - проверь аккаунт, есть утёкшие пароли, три штуки. Наконец проверил, а там exler.ru, ФЭР и кинозал.гуру. Но я скорее объясняю, что там пароли были простые, повторялись и им больше 10 лет было, вряд ли из-за этой атаки утекли.
09.05.21 22:47
0 0

Блин. Невозу можно... Не. Невозможно такое осуществить 9 января, тьфу, маября, да ещё вечером. После демона странции под ливнем.
Все, меняю пароль нафиг, а то сопьюсь.
09.05.21 21:59
10 1

а то сопьюсь.
Шуба-дуба!
Блюз!

А как именно хашировалось? Для друга спрашиваю.

P.S. рано или поздно должно было случиться. Может, перерегю на совсем левый емайл, но старые инкриминирующие экстремистсткие каменты никуда не денутся.
09.05.21 21:51
1 1

Что-то не меняется пароль... Нажимаю на кнопочку сохранить - и ничего не происходит
09.05.21 21:07
0 1

после этого всё заработало - пароль сменился
Да, теперь заработало. Тоже не получалось сменить.
09.05.21 22:58
0 0

Сейчас появилось дополнительное поле "Повторите новый пароль" и после этого всё заработало - пароль сменился. Проверил - вышел/зашёл - всё ок, новый пароль работает
09.05.21 22:21
0 2

Поменял на "12345". 😄
09.05.21 20:53
0 4

Лучше "×××××"
10.05.21 07:10
0 0

Поменял на "12345". 😄
Не забудьте ещё для полной безопасности обработать цифровые клавиши антисептиком спиртом!
10.05.21 00:16
0 5

ЧОРД! 😄
09.05.21 21:07
0 1

Ошибка, пароль "12345" уже используется пользователем Alex Exler, выберите другой пароль
09.05.21 21:05
0 31

Для надежности все-таки лучше сделать "54321", так ни в жисть не догадаются! 😄
09.05.21 20:56
0 5

А всё вышеперечисленное касается mai.exler.ru ?
09.05.21 20:43
0 0

Понял, спасибо
09.05.21 20:46
0 0

Вообще никакого отношения не имеет.
09.05.21 20:44
0 0

Не стал смотреть когда регистрировался, явно очень давно и просто поменял пароль, что и всем советую.
09.05.21 20:29
0 7

А в чем состоит экономический смысл ломать сайт? Как на этом зарабатывают?
09.05.21 20:26
1 1

2021. Уронил сайт Экслера А. Б.
2041. Вышел из комы. Что это было, и кто я?
10.05.21 10:38
0 1

Строчка в резюме.
2021. Уронил сайт Экслера А. Б.
10.05.21 02:06
0 0

Да как только не зарабатывают. Рекламная акция, я заломал эксрерру или дефейснул пентагон. Строчка в резюме. Вписать редирект и залить трафика, подвесить эксплойт и раздать шифровальщика. Стащить базу, пропарсить и продать. Или спамить под видом старых аккаунтов. Шантаж - админ плати выкуп коль не делаешь бакапы или не смог закрыть дыру.
10.05.21 00:19
0 1

Ну я ещё и другие гипотезы рассматриваю. Поэтому и спрашиваю, не будучи специалистом
09.05.21 23:50
0 0

Так это же ещё Раскольников подсчитал: «одна старушка = триста семнадцать рублей 60 коп.»
09.05.21 22:23
0 4

А в чем состоит экономический смысл ломать сайт? Как на этом зарабатывают?
А в чем состоит экономический смысл травить и убивать своих граждан?
09.05.21 21:55
6 9

Готово. Старый пароль все равно уже был давно скомпрометирован.
09.05.21 20:21
0 1

Если напишу какую-то фигню считайте это написали злоумышленники угнавшие мой пароль!
09.05.21 20:13
0 26

ЭПСН-100
Тема сисек терморектального криптоанализа не раскрыта.
10.05.21 17:07
0 0

никакие другие средства не нужны
(а они есть, конечно).
лингвистический анализ?
Терморектальный криптоанализ.
Глубокий.
ЭПСН-100
10.05.21 10:43
0 0

И не факт, что сейчас настоящий Экслер пишет здесь
Всех пятерых так просто не поделать. Да ещё вот Бублик имеется.
10.05.21 08:07
0 1

никакие другие средства не нужны (а они есть, конечно).
лингвистический анализ?
10.05.21 04:00
0 0

Противоречишь. То говоришь, что под Экслера косить трудно, а потом говоришь, про распознавание ушлёпков по манере.
В чем тут противоречие-то?
09.05.21 23:56
1 2

Противоречишь. То говоришь, что под Экслера косить трудно, а потом говоришь, про распознавание ушлёпков по манере.
Если скормить нейросети архив сайта она вполне сможет делать посты неотличимые по стилю от настоящего Экслера. Другой вопрос - насколько посты нейросети будут осмысленными)
09.05.21 23:41
2 2

У нас есть такие приборы,
Но мы вам про них не расскажем!
09.05.21 22:47
0 10

Не факт, но настолько серьезно нас ломануть (и чтобы я об этом в своем Фейсбуке не написал) - маловероятно. Кроме того, под настоящего Экслера (как и под настоящего кого угодно, чья манера общаться письменно хорошо изучена) косить-то на самом деле очень сложно, проколоться можно на раз-два. Я, например, отлично вижу забаненных ушлепков, которые возвращаются с новыми никами и пытаются делать вид, что это не они. Черта с два у них получается, причем чисто по манере, мне даже никакие другие средства не нужны (а они есть, конечно).
09.05.21 22:20
2 0

Отличная отмазка для пьяных комментов! )
09.05.21 20:21
0 12

Мне пишет (при попытке сменить пароль) "Значение «Имя пользователя» неверно". Почему?
09.05.21 20:12
0 2

Все получилось, спасибо! ??

Поправили. Как сейчас?

Ясно, сейчас поправим.
09.05.21 21:40
0 0

Тоже самое и у меня.

Строки "имя" вообще нет, пишу новый пароль, старый, нажимаю кнопку "сохранить" и ничего не происходит. Проверил на двух браузерах. Сохраняется старый пароль. Все манипуляции произвожу на телефоне, может быть в этом проблема?

Алекс, пароль вроде как поменял.
Но при входе он не работает. А работает почему-то старый пароль.
И при смене пароля вводится он лишь раз - без повтора.
09.05.21 21:16
0 2

Сейчас пробуйте.

Спасибо!

Читай коммент от Алекса! Починят! ?

Наш косячок, сейчас Василий разберется.

Аналогично.
Что делать?

Если пароль в md5, то они довольно легко подбираются. Так что лучше меняйте )
09.05.21 20:10
0 0

Поменял пароль на форуме.
Сюда залогиниться с новым паролем не дал, но дал залогиниться со старым.
Что происходит?

И, кстати, возможно ли поменать емыл регистрации?
09.05.21 19:58
0 0

Поменял пароль на форуме.
Сюда залогиниться с новым паролем не дал, но дал залогиниться со старым.
Что происходит?
Все нормально, это разные базы. Если менять на форуме, здесь автоматом меняться не будет и не должен.

И, кстати, возможно ли поменать емыл регистрации?
Да, конечно, там же есть такой механизм.
09.05.21 20:05
0 0

Поменял пароль. Он был простой небезопасный. Оказывается е-мэйл был указан, который я уже лет 10 не открывал. Не знаю, он работает ли вообще.
09.05.21 19:53
0 0

Проверил, оказывается, на форуме еще работает мой логин 2008го года. А на сайте его уже давно забанил злой дядя Алекс.
09.05.21 19:51
0 0

Сменил. Хотя кому я нужен? Но обидно было бы в 70 оказаться сломаным.
09.05.21 19:51
0 2

Если бы хотел обидеть, сказал бы "В 70 вообще что-то сломать стрёмно, кальция в костях совсем не осталось". А так просто шутка.
10.05.21 13:36
0 1

Уже 70?) Как быстро растут чужие дети)))

P.S. На всякий случай, я не хотел обидеть.
09.05.21 22:12
0 6

Сменил. Не то, чтобы я такой уж активный, но именем дорожу 😄
09.05.21 19:45
0 0

Ошибка в ссылке "напишите" (лишний https://).
09.05.21 19:43
0 0

Спасибо, исправил.
09.05.21 19:50
0 0

Получается, на форуме тоже нужно пароль менять?
09.05.21 19:36
0 1

Для тех, кто участвует и на форуме, и у меня на сайте - очень желательно, да, я там сделаю объявление.
09.05.21 19:43
0 0

Что ещё было в базе, которую утонули? Имейлы, IP?

Проблемы создаст тем, кто одним имейлом и паролем регистрируется в различных сервисах.
09.05.21 19:33
0 12

А такие еще есть?
10.05.21 00:21
0 0

Да, все верно.
Даже если это происки кровавого режима, никогда не лишнее напомнить о правилах обращения с паролями!
09.05.21 19:59
5 4

Да, все верно.
09.05.21 19:51
0 0

Друзья, я уверен, что многим это само очевидно, но также знаю что многим нет. Если вы используете тот же пароль, что на exler.ru - поменяйте его ВЕЗДЕ. Стандартная схема сейчас - взломать один сайт, взять комбинацию логин-пароль и попробовать его на различных сервиса. Таким простым образом ломают почты, интернет банки, мессенддеры и т.п. не говоря уже о сервисах попроще, особенно с учётом того, что не все настраивают двухфакторную аутентификациию. Цель в 90% случаях одна - деньги. Вы удивитесь, сколько возможностей для кражи, если, например, взломать вашу почту.
09.05.21 19:48
0 13

"Не регистрируйтесь в различных сервисах таким образом" (c)
09.05.21 19:48
0 2

Что ещё было в базе, которую утонули? Имейлы, IP?
Адреса регистрации хранились, да. IP регистрации хранились только для новых пользователей, у старых, у которых теоретически уязвимый хеш, их не было.

Проблемы создаст тем, кто одним имейлом и паролем регистрируется в различных сервисах.
Возможно, мы поэтому и предупредили.
09.05.21 19:37
0 2

А ссылка на Форум указывает на club443.ru
Это норм?
09.05.21 19:32
0 0

Да у меня пароль на 2006 года.
Я туда уже давно не заходил.
09.05.21 19:36
0 0

Ну да, это его адрес последние лет десять. Я его специально убирал с домена exler.ru.
09.05.21 19:32
0 3
Теги
Сортировать по алфавиту или записям
BLM 21
Calella 143
exler.ru 272
авто 441
видео 3992
вино 359
еда 499
ЕС 60
игры 114
ИИ 29
кино 1580
попы 190
СМИ 2757
софт 930
США 131
шоу 6