Хоть сервис LeakCheck существует уже давно, открыл я его для себя совсем недавно.
Неделю назад знакомый поделился со мной телеграм-ботом mailsearch_bot. Суть такова, что вы пишите боту адрес своего почтового ящика, или знакомого, а в ответ получаете возможный пароль к нему.
Я решил попробовать и получил предполагаемое совпадение. Однако с паролем здесь не было совершенно никакого совпадения, я никогда не использовал такую комбинацию. Тем более, что предполагаемый пароль был очень банальный, такой, как бы например, для почты 3-kit@gmail.com выдало пароль 3-kit.
Поэтому изначально я подумал, что это очередной фейк. Но потом решил закрепить результат и дал сервису еще один шанс.
Я ввел свою древнюю почту, которой уже 8 лет как не пользуюсь. На удивление, я получил целый список предполагаемых паролей, и действительно, в то время на данной почте использовались такие пароли. Сервис показал, что любой (кто оформит платную подписку) может спокойно узнать мой пароль и зайти на мою почту, старую почту.
На следующий день я пришел на работу и начал тестировать данный сервис на коллегах. Результат был таковым:
- для тех людей, которым почта нужна сугубо для телефона (сервисы Google) или для пересілки документов – совпадений вообще не было.
- более активные в сети люди, которым приходиться очень часто искать в сети какую-то информацию, программы, фильмы и т.д. – имели как минимум 2 совпадения, при чем в 60% случаев, это реально был пароль к почте.
То есть, как и у меня был целый список предполагаемых паролей (7-10 вариантов), но совпадало только 2-3 из них.
Я сразу же догадался каким образом могли быть слиты эти пароли, кстати я был прав.
Дело в том, что я, как и другие активные пользователи сети, очень часто ищут какую-то программу, реферат, музыку или еще что-то. Чтобы скачать найденный файл, сайт просит создать аккаунт. Люди создают аккаунт на сайте, где для регистрации используют какой-то e-mail и желаемый пароль. Вот из таких сайтов и сливаются эти пароли.
Что касается тех паролей из списков, которые не совпадают с вашими истинными паролями – дело в том, что некоторые сайты не дают возможности установить желаемый пароль сразу, а генерируют для вас какой-то свой уникальный набор символов.
Реально, многие пользователи не очень беспокоятся за свою безопасность. Каюсь, когда давно я был таким же, однако уже больше 5 лет для таких случаев я использую отдельную почту, которую не жаль засорить спамом. При регистрации на «одноразовых» сайтах я всегда указываю только ее и только тот пароль, где больше нигде не указываю.
Всем вам я тоже советую создать отдельную почту, с помощью которой вы будете создать одноразовые аккаунты на подозрительных сайтах. Ну и, естественно, придумайте какой-то отдельный пароль для таких случаев.
Можете взять в привычку делать так – придумать какой-то пароль, скажем «gldNED45» и каждый раз при регистрации в начало пароля добавлять 3-4 первых символа с сайта, где вы создаете аккаунт. Например, вы хотите создать аккаунт на 3-kit.ru, поэтому при регистрации указываем пароль «3kitgldNED45». Таким образом у вас везде будет разный пароль, а когда его солью в базу, вы сразу же поймете с какого сайта он был слит.