Rambler&Co стал жертвой очередного массового взлома, но проблемы в этом не видит

Сервис LeakedSource сообщил об утечке данных 98,2 млн аккаунтов почтового сервиса Rambler, которые хранились в формате обычного текста. Взлом почты Rambler произошел не сейчас, а еще в феврале 2012 года, однако, как выяснила редакция «Роем!», часть паролей до сих пор подходит к реальным аккаунтам, причем это не самые банальные пароли формата QWERTY. Пресс-секретарь Rambler&Co София Иванова говорит, что проблема была давно известна и решена, а пострадать от нее можно только по глупости:

Никакой проблемы здесь нет: эта база всплывала еще в 2014 года, после ее анализа мы выявили, что скомпрометированы 4 миллиона активных пользователей — всем им пароли были, разумеется, изменены. При этом какой-то процент паролей все-равно может подходить, т.к. пользователи используют пароли типа 123456, они взламываются элементарным перебором по словарю. Плюс пользователи могли после нашей принудительной смены еще неоднократно сменить пароль, в том числе и на старый, который был скомпрометирован.Сейчас такая ситуация в принципе невозможна: пароли в открытом виде мы давно не храним, все данные шифруются, введена авторизация по мобильному телефону и мы постоянно напоминаем пользователям о необходимости сменить пароль.

За прошедшие полгода от таких «ретро-краж» уже пострадали Mail.ru Group, «ВКонтакте», Twitter и некоторые другие крупные сервисы.

В мае взломали несколько тысяч ящиков Рамблер.Почты — через неделю Rambler объяснил взлом «вирусами» → Roem.ru

Очевидно, что пресса зря раздувала истерику по поводу кражи «сотен миллионов паролей россиян». С другой стороны, почтовые сервисы могли бы извиниться за то, что всего несколько лет назад хранили базу паролей в открытом виде.

Добавить 7 комментариев

  • Ответить
    Юрий Синодов Основатель Roem.ru, sinodov.com

    Можно пройти по базе юзеров Роема с почтой на Рамблере, рассказать им, что они глупцы, ага

    Ну и то, что скомпрометированный пароль среднего юзера, даже если он заменен на Рамблере, подходит к другим сервисам пользователя — не стоит забывать

  • Ответить

    «пароли в открытом виде мы давно не храним»

    как давно? мне казалось, что и в 2012 году это уже считалось дурной практикой…

  • Ответить
    Анатолий Орлов ex-Яндекс

    Могу сказать что мой пароль был правильный. В активные пользователи меня разумеется не посчитали, т.к. у меня account на рамблере давно стерли за неактивность, но мне от этого не легче т.к. пароль подходил к некоторыми другим сервисам еще вчера, и вообще относился к strong паролям.

  • Ответить

    Ага, неприятный момент. Собственно, поэтому, даже если ты не лох, и используешь только стойкие пароли, надо использовать их только один раз.

    Потому что лох может рулить сервером, которому ты даёшь стойкий пароль

  • Ответить
    Анатолий Орлов ex-Яндекс

    Проблема в том что ты не можешь эффективно менеджить допустим 20 разных стойких паролей. Я сейчас эту проблему решаю с помощью LastPass, только во первых лох может рулить LastPass, а во вторых при цеплянии вируса у злоумышленника может оказаться весь твой дамп LastPass, что тоже ниже среднего удовольствие.

Для добавления комментария войдите или зарегистрируйтесь.