РЖД снова слили пароли пользователей⁠⁠

В гугл-хроме есть такая функция как проверка украденных паролей. Есть среди ваших сохраненных паролей есть пароли из базы украденных паролей в сети - браузер об этом расскажет.

Сегодня случайно заметил что пароль для сайта РЖД скомпрометирован, однако я для каждого сайта в конце пароля приписываю название сайта. Те пароль уникальный, и попасть в сеть он мог только от РЖД.

1. Самое базовое правило создания аутентификации это НИКОГДА не хранить пароли на бэкенде сайта, а только специальные “соленые” хэши он них. Это одна строка кода. Те дебики из РЖД были настолько тупые, что даже этого сделать не смогли.

2. Есть база данных утекла в сеть, то бизнес сразу должен оповестить пользователей чтобы они сменили пароли. У меня такого письма в почте нет.

3. Я нагуглил два взлома РЖД, один из внутренней сети которые не скомпрометировал данные пользователей, второй от РЖД бонус. Это другой ресурс, на котором я не зарегистрирован. Те это новая утечка о которой ранее не писали.

4. Наверное мораль истории - никогда не пере-используйте пароли дважды, особенно на государственных некомпетентных конторах. Простой способ пользоваться менеджером паролей.

5.