Новости Пикабу

160 постов • 4 140 подписчиков

Рассказываем об изменениях на Пикабу, крупных и не очень.

Другие сообщества:

Отзывы и предложения по Пикабу

Модерация на Пикабу

Сообщества на Пикабу

Теги на Пикабу

Показать полностью

Включена премодерация

Управление сообществом

SupportCommunity Администратор

Moderator9000 Руководитель

pikabu Руководитель

SupportTags Модератор

luchik.magazine 20 постов
Blerk 4 поста
Animalrescueed 28 постов

Посмотреть весь топ

6 лет назад

Новости Пикабу

Почему мы просим сменить пароль ⁠⁠

Аккаунты на Пикабу часто подвергаются взломам. Предыстория:

Сначала были попытки массовой регистрации аккаунтов. Мы поставили работающую капчу и они прекратились.

Затем столкнулись с массовым подбором паролей. Мы включили ограничение на количество авторизаций в один аккаунт.

Тогда злоумышленники стали подбирать пароли множественному числу аккаунтов ограниченное количество раз. Мы стали включать ReCaptcha, когда количество авторизаций превышало норму.

Далее были попытки взлома с помощью купленных баз данных с парами логин/пароль.

Чтобы исключить такой метод, сегодня мы включаем невидимую капчу при авторизации, а также подтверждение по смс при регистрации.

При этом ранее мы выкупили у злоумышленников более 60 тысяч аккаунтов и сбросили Вам пароли. Пароли мы храним в хэшированном виде, но в целях безопасности просим их сменить.

[моё] Пикабу Безопасность Текст Пароль Смена пароля Новости Пикабу

1512

Новости Пикабу

160 постов4.1K подписчиков

Добавить пост

10

6 лет назад

Ну, наверно , помимо настоятельной просьбы смены пароля необходимо разобраться кто из вас слил пары логин/пароль!

раскрыть ветку (1)

50

6 лет назад

Речь о том, что злоумышленники выкупают на стороне базу, скажем, от почтовых ящиков. Затем с имеющимися парами логин/пароль пытаются проникнуть в аккаунт пользователей, надеясь, что на Пикабу используется такой же логин/пароль. И зачастую, к сожалению, так и есть.

показать ответы

67

DELETED

6 лет назад

Простите, от тех кто уже зареган. А где форма для того чтобы добровольно сдать вам свой номерок телефона, если моему аккаунту уже год(вы же не спроста их собираете, а для быстрого восстановления доступа как я понимаю)??? Исходя из поста(ну логично же), я полез рыться в настройки, а там нема такого, как и двухфакторки (кстати почему нет?).

раскрыть ветку (1)

77

6 лет назад

Хотели внедрить как можно быстрее, поэтому в настройках аккаунта пока не добавили возможность указывать номер. В скором времени внедрим )

показать ответы

12

6 лет назад

Эм, а зачем было выкупать, не проще ли было забанить, или вы не знали точно какие увели?

раскрыть ветку (1)

33

6 лет назад

Безусловно, если бы мы знали список взломанных аккаунтов, то так бы и поступили.

показать ответы

7

6 лет назад

А где такие базы найти? Мне тупо любопытно, сколько б за мой акк предложили бы, где б найти эксперта-оценщика? :D

раскрыть ветку (1)

15

6 лет назад

Пожалуйста, не продавайте :) Эти люди продают взломанные аккаунты, а не перекупленные.

показать ответы

4

nicknamereserved

6 лет назад

а двухэтапную аутентификацию по смскам введете?

раскрыть ветку (1)

14

6 лет назад

Скорее всего, да. Сначала мы реализуем возможность смены номера телефона в профиле. А потом, возможно, двухфакторную авторизацию.

показать ответы

85

6 лет назад

@admin sms-reg сайт такой есть

раскрыть ветку (1)

96

6 лет назад

Спасибо. Конечно, полностью защититься таким образом не удастся. Но некоторую степень защиты добавит.

показать ответы

79

6 лет назад

Хе, работающую капчу. А до этого не работала?
P.S. Рад, что администрация всё-таки действительно заботится о безопасности пользователей

раскрыть ветку (1)

72

6 лет назад

Да, под работающей капчей имею в виду ReCaptcha. Другие капчи, к сожалению, недостаточно надежны.

показать ответы

1

6 лет назад

выкупили?? и почем нынче базы -друг интересуется

раскрыть ветку (1)

10

6 лет назад

Выкупили взломанные аккаунты пользователей, к которым злоумышленники получили доступ путем подбора пароля. К сожалению, цену не могу назвать.

показать ответы

81

6 лет назад

Только не очень понятно как это уменьшит кол-во однодневок, если можно генерить номера сим и телефоны!

раскрыть ветку (1)

103

6 лет назад

Уточните, пожалуйста, каким образом это осуществляется?

показать ответы

42

6 лет назад

@admin, товарищ выше дело говорит, можно залить на гуглодиск список взломанных акков без логинов/паролей? а там уже все желающее смогут поискать свой ник

раскрыть ветку (1)

14

6 лет назад

Основная проблема не в этих 60 тысячах, а в возможной компрометации, о которой мы можем не знать. Поэтому просим сменить пароли всех...

показать ответы

26

6 лет назад

Пароль я менять конечно не буду, но хотел спросить. Почему вы 3 раза всю Руанду блокировали на моей памяти?

раскрыть ветку (1)

20

6 лет назад

Это, скорее всего, было из-за DDOS. Иногда из-за него приходится блокировать целые страны :(

показать ответы

5

6 лет назад

@admin, еще добавление, при возможности регистрации через социальные сети, не стоит забывать что у злоумышленников изначально может быть доступ к чужой соц сети: вк, ок и т.д. Они тоже не такие надежные. Поэтому для защиты с этим тоже нужно будет что-то придумать, при условии что при желании им достаточно будет один раз авторизоваться и затем уже заходить по сохраненному профилю.

раскрыть ветку (1)

12

6 лет назад

Да, спасибо. Возможно, мы включим подтверждение по смс при регистрации через соц сети.

показать ответы

5

6 лет назад

Как можно выкупить аккаунт у самого себя? Разве админ не имеет полный доступ к базе данных? О_о

раскрыть ветку (1)

5

6 лет назад

К сожалению, сложно определить, является ли аккаунт взломанным или нет.

показать ответы

6

6 лет назад

Вопрос: сбросили пароли ВСЕМ, или только скомпрометировпнным?

раскрыть ветку (1)

10

6 лет назад

В целях безопасности мы просим поменять пароли всем пользователям, кроме тех, кто авторизовывается через соц сети и не имеет пароля.

показать ответы

30

DELETED

6 лет назад

То есть, при регистрации теперь надо будет указывать номер телефона?

раскрыть ветку (1)

58

6 лет назад

Да, совершенно верно. Теперь создание "однодневок" будет сложнее.

показать ответы

10

6 лет назад

Своевременно)

раскрыть ветку (1)

17

6 лет назад

Прошу прощения за задержку, она была вызвана внедрением смс-регистрацией.

показать ответы

5

DELETED

6 лет назад

Если аккаунт перманентно забанят то новый под тем же телефоном можно будет регистрировать?

раскрыть ветку (1)

14

6 лет назад

Нет, использовать повторно телефон нельзя. Но мы, скорее всего, уйдем от перманентной блокировки после того, как добавим возможность пользователям участвовать в модерировании.

показать ответы

2

6 лет назад

А нафига у меня было предложение поменять пароль?

раскрыть ветку (1)

6

6 лет назад

Не просчитали и ошиблись при реализации. Больше такого не должно быть за исключением случаев, когда пароль установлен. В этом случае мы предложим его просто сбросить. Или поменять.

показать ответы

12

6 лет назад

я не помню старый пароль, как быть?

раскрыть ветку (1)

6

6 лет назад

Вы можете осуществить восстановление пароля через email.

показать ответы

6 лет назад

А как добавить в уже созданный аккаунт номер телефона? Будет ли этот номер скрытым?

раскрыть ветку (1)

6

6 лет назад

Номер не будет нигде отображаться. Позже мы реализуем возможность указания номера в настройках и восстановление аккаунта по номеру телефона.

показать ответы

14

6 лет назад

Их там ограниченное количество, одних и тех же. Рано или поздно они все засветятся.

@admin, достаточно на 15 минут задержать отправку смс, просто дать больше времени на ввод подтверждалки. И куча таких сервисов отпадет.

раскрыть ветку (1)

10

6 лет назад

Спасибо за информацию )

показать ответы

5

DELETED

6 лет назад

Вот так бы сразу.

раскрыть ветку (1)

12

6 лет назад

Прошу прощения за задержку, она была вызвана внедрением смс-регистрацией.

показать ответы

19

6 лет назад

@admin, а если пользователь за границей живет в ебенях, как я, и три года телефона не имеет? Ради регистрации телефон покупать с номером?

раскрыть ветку (1)

12

6 лет назад

Вы можете зарегистрироваться через ВК. Т.к. ВК просит номер телефона, мы считаем его достаточно надежным для регистрации.

показать ответы

1

6 лет назад

Прочитал сейчас, что при регистрации новых пользователей, закрепляется номер телефона. Я регистрировался довольно давно, тогда такого не было. Могу я как то прикрепить акк к номеру телефона?

раскрыть ветку (1)

3

6 лет назад

В скором времени мы добавим такую возможность в настройках аккаунта.

показать ответы

8

6 лет назад

Осуществляется что? Левые симки без привязок к паспорту? Обычно скупают у каких то фирм однодневок, которые в свою очередь выкупают у сотовых операторов, их у метро можно набрать дохрена. Плюс можно генерить номера в определенных диапазонах. Кстати, вот пжлста, для приема смс:

http://onlinesim.ru/sms-receive

раскрыть ветку (1)

3

6 лет назад

Спасибо. Конечно, полностью защититься это не поможет, но хотя бы немного усложнит процедуру регистрации

показать ответы

5 лет назад

А сейчас?

раскрыть ветку (1)

1

5 лет назад

Сейчас динамики нет, старой версией пользуется около 1% посетителей ПК-версии.

показать ответы

5 лет назад

конечно нет, у меня нет претензий к убираемому тегу, речь о добавляемых тегах, которых не существовало до этого. просто я считаю что придумывать разовые теги - только эфир засорять, ибо это не настолько популярные животные, чтобы каждому виду и каждому человеку делать свой тег. к слову помимо хоботковой собачки петерса в род входят золотистая хоботковая собачка, пятнистая и удзунгвенсис, которая даже не переведена на русский официально. в итоге этот дилетант вместо возможного хотя бы обобщающего тега, ставит видовой.

поэтому хотелось бы услышать мнение партии админа. если вы одобряете, я забью и по этому вопросу не буду беспокоить)

раскрыть ветку (1)

1

5 лет назад

Мне кажется, это зависит от добавляемого тега. Мы ведь не запрещаем добавлять новый тег при создании поста, поэтому это не запрещено и при редактировании.

Например, может появиться новая знаменитость, которая еще не оформлена в тег. Соответственно такой тег нужно создать. Или вдруг хоботковая собачка петерса станет новым мемом и данный тег начнут применять гораздо чаще.

Поэтому если тег к месту, то почему бы его не создать. В данном случае, мне кажется, тег подходит. Но и я не могу принимать последнее решение в этом вопросе, пусть это решат сами пользователи, что и произошло путем голосования.

показать ответы

5 лет назад

Кстати, я тут в коде фронта нашёл методы для опросов(/ajax/surveys_actions.php). Т.е. скоро можно будет в посты/комменты добавлять голосование?

раскрыть ветку (1)

1

5 лет назад

Не, это генерируемые нами опросы пользователей.
Сколько в вас много энергии ;)

6 лет назад

А ещё нужно кнопки голосования внизу, чтоб не скроллить обратно, если появилось желание поставить минус ;)

раскрыть ветку (1)

1

6 лет назад

Возможно, пора )
Мы вот расширяем команду. Надеюсь, через полгода-год сможем внедрять фичи гораздо быстрее.

показать ответы

6 лет назад

Вот сразу бы так и написали.

Зачем тянули ?

раскрыть ветку (1)

1

6 лет назад

Задержка вызвана внедрением смс-регистрации, прошу прощения.

6 лет назад

Смс будут приходить на номера из всех стран или только СНГ? Я далеко за рубежом и хотелось бы уточнить

раскрыть ветку (1)

1

6 лет назад

На все страны. Но Вам же нет необходимости регистрировать аккаунт, т.к. у Вас уже имеется.

показать ответы

DELETED

5 лет назад

Комментарий удален. Причина: данный аккаунт был удалён

раскрыть ветку (1)

5 лет назад

Еще пособираем фидбек, но спасибо за предложение )

DELETED

5 лет назад

Комментарий удален. Причина: данный аккаунт был удалён

раскрыть ветку (1)

5 лет назад

Какие цвета вы бы хотели использовать?

Может быть, мы дадим возможность устанавливать кастомный цвет вместо зеленого.

показать ответы

5 лет назад

@admin далеко не в первый раз нетоварищ придумывает 1 чертов ненужный тег. вот зачем вы поощряете это засорение эфира? редактирование тегов было придумано не для этого. если одобряете такое, хоть кивните, не буду тему больше поднимать.
https://pikabu.ru/edits/5930029/43695

Иллюстрация к комментарию

раскрыть ветку (1)

5 лет назад

https://pikabu.ru/story/khobotkovaya_sobachka_petersa_593002... - посмотрите, пожалуйста, сам пост. Считаете ли Вы, что на изображении собака? Такая же, как по тегу "Собака"

показать ответы

6 лет назад

@Admin увеличь чутка зону сворачивания поста, удобнее будет.

Иллюстрация к комментарию

раскрыть ветку (1)

6 лет назад

Она и так увеличена ;)

Иллюстрация к комментарию

6 лет назад

А что там с статистикой старого дизайна? @admin скидывал ниже в комментах стату двухнедельной давности. Интересна динамика. Как я понимаю, именно от неё зависит момент отключения старого дизайна.

раскрыть ветку (1)

6 лет назад

Отрицательная динамика сохраняется. На графике показано общее число посетителей старой версии.

Иллюстрация к комментарию

показать ответы

2

6 лет назад

У меня вчера ушло 5 попыток на восстановление почтового ящика. Сценарий такой - не могу зарегиться, запрос восстановления пароля, на почту приходит ссылка - прохожу по ней, восстанавливаю пароль. Пытаюсь войти - пишет error. Ну, думал, я криворук и ошибался, первые два раза. Потом пароль копировал, вставлял в форму восстановления из блокнота на рабочем столе. Все равно еррор. И только когда отправил в ТП письмо - таки вошел.

Но не видел я запрос на смс. И невидимой картинки тоже не видел (хотя она невидима, да? хз что это значит). Это нормальное явление или не очень?

раскрыть ветку (1)

1

6 лет назад

Ошибку "error" уже устранили )

показать ответы