credential stuffing атака

  1. Сергей Попов

    Статья Bcrypt взлом паролей: как утекают хэши с Dragonica и почему это проще, чем кажется

    На CTF в прошлом году попался дамп базы частного сервера Dragonica - около 40 тысяч аккаунтов, bcrypt-хэши с cost factor 10. Организаторы закладывали на этап крекинга два дня. Две RTX 3090, словарь rockyou плюс кастомный геймерский wordlist с правилами мутации - и за 14 часов удалось...
  2. Сергей Попов

    Статья Атаки через украденные учётные данные: kill chain от стилер-лога до domain admin

    Последний год я разбираю дампы инфостилеров - архивы с Telegram-каналов и лог-маркетплейсов - и в каждом втором нахожу действующие VPN- или RDP-аккаунты корпоративных сетей. Не тестовые, не просроченные - рабочие. По данным Verizon DBIR 2025, украденные учётные данные стали начальным вектором в...