В сеть утекло еще 4,5 млн паролей от почты — теперь от Mail.ru

Развитие событий: Google вырвался в лидеры по числу раскрытых паролей к email; чуть больше чем у Mail.ru, много больше Яндекса (10 сентября 2014)

Вслед за Яндекс.Почтой, в сеть утекли и пароли от почты Mail.ru, пишет пользователь форума Bitcoin Security. Раньше именно здесь появились списки логинов на "Яндексе", по которым можно было понять - скомпрометирован ли почтовый ящик.

Базу логинов для Почты@Mail.ru выложил тот же пользователь, что и в случае с "Яндексом". Лента.ру обнаружила в базе ящик одного из своих сотрудников, но при попытке зайти на него получила сообщение, что с адреса рассылался спам и необходимо сменить пароль.

Вчера вечером стало известно, что в сеть попали 1 млн паролей от Яндекс.Почты. Компания придерживается версии, что пароли собирались с пользовательских компьютеров в течение большого периода времени с помощью вирусов и фишинговых атак. Из миллиона затронутых аккаунтов, наибольшему риску подвержены те 150 тысяч, данные о которых ранее не появлялись в подобных списках (из чего можно сделать вывод, что список агрегирует данные из разных источников или за разные периоды времени). "Яндекс" призывает не суетиться со сменой паролей: "Призывать пользователей менять пароли не нужно. Тех, кто попал или мог попасть в этот опубликованный список, мы уже оповестили и сами просим сменить пароль".

Лучшие комментарии

  • Контекст комментария

    Anastasia Kosheleva Mail.Ru Group

    Деньги Mail.Ru имеют отдельный платежный пароль, который не совпадает с паролем от почтового сервиса (другой вариант подтверждения операции — через смс-сообщение). Никакой подозрительной активности по отношению к Робокассе или непосредственно Адвего системой не зарегистрировано.

  • Контекст комментария

    drugoe

    Сегодня при попытках вывода нами было поймано несколько пользователей, активно пополняющих свои аккаунты в Адвего через Робокассу с помощью множества различных кошельков Деньги@Mail.ru. Судя по всему сообщество не очень осознает серьезность случившегося. Учитывая, что у народа и в яндексе и в мэил.ру аккаунт общий и на почту и на много чего еще — утекли не просто пароли от почты, а пароли от целой кучи сервисов, в том числе и связанных с баблом.

  • Контекст комментария

    Иван Ильин

    «Примерно 95 процентов актуальных аккаунтов уже проходят у нас в системе как подозрительные — это означает, что они ограничены в отправке почты, а их владельцам мы уже давно рекомендуем сменить пароль» via: http://lenta.ru/news/2014/09/08/mailpass/ Не-не-не Mail.ru Group! Так не пойдёт! Мало кого волнует, что проходит в закрытых системах публичных компаний. Холдинг получает алиби от 4 миллиона мутных аккаунтов ровно в тот момент, когда он начинает указывать в регулярных отчётах, что: «за квартал Mail.ru обслужил X пользователей, из них 5% — это вероятные боты и непонятные неживые аккаунты».

Добавить 21 комментарий

  • Ответить

    «Тех, кто попал или мог попасть в этот опубликованный список» — если крали через вирусы на стороне юзеров — то как Яндекс мог узнать у кого побывал вирус а у кого нет?

  • Ответить

    Сегодня при попытках вывода нами было поймано несколько пользователей, активно пополняющих свои аккаунты в Адвего через Робокассу с помощью множества различных кошельков Деньги@Mail.ru. Судя по всему сообщество не очень осознает серьезность случившегося. Учитывая, что у народа и в яндексе и в мэил.ру аккаунт общий и на почту и на много чего еще — утекли не просто пароли от почты, а пароли от целой кучи сервисов, в том числе и связанных с баблом.

  • Ответить

    @drugoe — вообще-то и у тех и у других на Деньги отдельный пароль (дополнительный), к тому же, надо понимать, эти аккаунты не «утекли» сегодня. на самом деле это старые базы, давно гуляющие по сети (т.е. они давно были в руках у злоумышленников), просто кто-то любовно собрал их в кучку и зачем-то решил про это громко поорать. если кто-то куда-то и лезет, то это какая-то школота, которая прочитала об этом на хабре.

  • Ответить

    @drugoe — пытающихся пополнить или успешно пополняющих? @Soldat просто Деньги Mail.Ru так устроены, что при попытке оплатить ими надо ввести свой email на mail.ru — видимо, коллеги видят, как школота пробует поживиться нахаляву. Но платежный пароль и смска по идее более чем достаточно для защиты.

  • Ответить

    Да, есть платежный пароль. Не буду спорить и утверждать, подробно не успели исследовать почему на один аккаунт поступают массово деньги с разных мэил.ру-кошельков,.. возможно случайное совпадение, возможно с робокассой не нужен платежный пароль, возможно еще что-то… Возможно у кого-то совпадают основной и денежный пароли (если сервисы позволяют).

  • Ответить

    Ну вообще не все пополнения сегодня были (в день опубликования данных о паролях), это мы озаботились сегодня и поймали сегодня. Активные пополнения — с начала августа начались.

  • Ответить
    Anastasia Kosheleva Mail.Ru Group

    Деньги Mail.Ru имеют отдельный платежный пароль, который не совпадает с паролем от почтового сервиса (другой вариант подтверждения операции — через смс-сообщение). Никакой подозрительной активности по отношению к Робокассе или непосредственно Адвего системой не зарегистрировано.

  • Ответить

    «Примерно 95 процентов актуальных аккаунтов уже проходят у нас в системе как подозрительные — это означает, что они ограничены в отправке почты, а их владельцам мы уже давно рекомендуем сменить пароль» via: http://lenta.ru/news/2014/09/08/mailpass/ Не-не-не Mail.ru Group! Так не пойдёт! Мало кого волнует, что проходит в закрытых системах публичных компаний. Холдинг получает алиби от 4 миллиона мутных аккаунтов ровно в тот момент, когда он начинает указывать в регулярных отчётах, что: «за квартал Mail.ru обслужил X пользователей, из них 5% — это вероятные боты и непонятные неживые аккаунты».

  • Ответить

    Все холдинги давно меряются между собой по TNS или comscore — которые, по понятным причинам, ботов не считают. В отчетах интересны деньги, а не регистрации. Внутренние данные о том, где сколько зарегистрированных аккаунтов, никому не интересны (их, по моему, никто и не пишет давно). Вот допустим, что на mail.ru зарегистрированных аккаунтов 400 миллионов — и что с того?

  • Ответить

    Даже если только часть раскрытых являются подлинными, то могут быть споры в связи с нарушением конфиденциальности и производными правонарушениями… Кому-то придется защищать свои права с суде. Главное в этом случае — найти хорошего адвоката и не тянуть кота за …) Искать лучше по рекомедациям знакомых, но не на форумах и т.п. ресурсах — ответственность-то за такие рекомендации никакая) Если через знакомых не получается — попробуйте через какую нибудь систему для поиска адвокатов и юристов, например, через спаспортал (бесплатный, анонимный, простой). Через обычный поиск искать очень трудозатратно: сравнивать потенциал адвокатов трудно и на согласования по телефону очень много времени и нервов уходит. Но лучше всего — чрез знакомых! И не тянуть. В судебном процессе время — деньги!

  • Ответить
    Альтер Эго

    Сообщений о пойманых хакерах ещё не поступало? [url=http://dolboeb.livejournal.com/2691684.html]Осталось только угадать, к внесению какого нового законопроекта или постановления правительства приурочен вброс.[/url] Может Игорь Станиславович чего добавит.

  • Ответить
    Альтер Эго

    > могут быть споры в связи с нарушением конфиденциальности Какое ещё нарушение конфиденциальности? Обнаруженный и опубликованный пароль к почтовому ящику разве может служить поводом для судебного иска против портала? (Впрочем, если вы представляете интересы адвокатов — то таки да, вам это выгодно — даже в случае заведомо проигрышного дела вы получаете почасовой гонорар). > Осталось только угадать, к внесению какого нового законопроекта Вброс приурочен к началу учебного года. Вася Пупкин показал свою коллекцию паролей на уроке информатики. Васины одноклассники были не лыком шиты и скопировали себе на флешку.

  • Ответить

    Вообще логины и пароли в общем доступе были доступны на сайте (не скажу в целях безопасности) в ночь с 6 на 7 число по Московскому времени. Скачал базу которую от Яндекса выложили на 1000000 наименований и нашел там свою почту. Почему я уверен что Яндекс банально взломали? Да потому что я пароль на своей почте не менял больше 10 лет и почтой пользовался только на 3 компьютерах а тк образован и не ставлю всякий шлак на компьютер возможность спереть у меня пароль приравнена к 2% из 100. Благо пароль я сразу сменил и написал в Блог Яндекс почты после чего мой комментарий был удален модератором с ответом (тоже удален) что ничего подобного не происходило. Для тех кто не знает как же ушли деньги с Яндекса, утекли не только логины и пароли которые есть в открытом доступе, к ним за платную основу прилагаются полные данные владельцев и их платежные пароли. Ну а вчера база от Маил.ру с таким же принципом была выложена. Кстати для тех кому интересно хакер с сайта который выложил логины и пароли занимается данной деятельностью в целях доказать что системы защиты тех или иных компаний не надежны и требуют модернизации.

  • Ответить
    Альтер Эго

    >а тк образован и не ставлю всякий шлак на компьютер возможность спереть у меня пароль приравнена к 2% из 100. этот аргумент любит применять один местный юзер ilyak, аргумент плохой, и вот почему — если это не купленный троян и не сливает в паблик логи, а также не пытается ставить левые инстолы в системы, то висеть всё это может годами и совершенно незаметно. в том числе и для антивирусов. палится же всё на массовости, либо попытках заработать дополнительных денег, путём продажи ботнетов/проксей/инсталлов и т.д. банальным приватным кейлоггером(и не только) можно жить долго и счастливо у меня тоже пароль от яндекса утёк — я нашёл себя в базе, и я тоже считаю себя образованным(смайл), более того — я параноик и пользуюсь всякими фаерволами, параноидальными антивирусами типа авиры и делаю переодически проверку системы с привлечением специалистов. но совершенно не исключаю варианта, что это мой косяк. яндексом пользовался очень редко, по умолчанию на почте стоит форвард на gmail

  • Ответить

    «Какое ещё нарушение конфиденциальности? Обнаруженный и опубликованный пароль к почтовому ящику разве может служить поводом для судебного иска против портала?» Зачем же так упрощать? )) Я совсем не о предъявлении исков к почтовым сервисам )) Иск могут предъявить, например, тому, чья переписка утратила конфиденциальность, те, кто был заинтересован в этой конфиденциальности. Это только один вариант… Вот тогда и спаспортал, и хороший адвокат могут оказаться очень полезными ))