Яндекс опроверг утечку со своих сервисов миллиона паролей; их крали у юзеров, а не в Яндексе

Развитие событий: В сеть утекло еще 4,5 млн паролей от почты - теперь от Mail.ru (8 сентября 2014)

Миллион паролей к Яндекс.Почте, найденных поздно вечером воскресенья 7 сентября юзерами Хабрахабра, не мог попасть к взломщикам после взлома самого Яндекса, сообщил поисковик изданию «Цукерберг Позвонит».

Пароли пользователей «Яндекса» надёжно защищены и не хранятся в открытом виде. Поэтому опубликованный список — это не «взлом» и не «утечка» «Яндекса». Наши специалисты проверяют этот список, и пока нет оснований считать, что среди опубликованных аккаунтов есть те, что принадлежат «живым» пользователям (тем, кто бы заходил на наши сервисы, в «Почту», и совершал какие-либо действия), или тех, о взломе которых бы мы не знали (такие аккаунты уже давно отправлены на восстановление пароля).

Редакция ЦП провела эксперимент и обнаружила, что некоторые пароли действительно подходят к почтовым ящикам Яндекса, при этом аккаунты выглядят давно заброшенными. Яндекс предполагает, что пароли могли похитить при помощи вирусов или за счёт использования фишинговых схем.

Впрочем, для десятков тысяч почтовых адресов не требовалось и этого. Так около 40 тысяч человек использовали пароль: «123456», 13 тысяч предпочитали пароль: «1234567890» и так далее. Соответствующую статистику собрал пользователь Хабрахабра с ником Haoose.

Лучшие комментарии

  • Контекст комментария

    VKuser2482686

    Такие сливы не редкость. Если воспользоваться, например, таким инструментом, то можно мониторить всякие файлопомойки, где иногда проскакивают файлы с паролями к различным почтовым сервисам. Или вот парни делятся базами. Осторожно, много суровой рекламы и потенциально малвари.

  • Контекст комментария

    xddx

    Блокировка яндексом аккаунтов началась еще в прошлом месяце. В двадцатых числах словила бан пачка не связанных между собой аккаунтов, использовавшихся настоящими людьми, с настоящими задачами. Логиниться разрешали, доступ на чтение почты давали, но попытка отправки письма или захода на соседние с почтой сервисы приводила к появлению сообщения о блокировке и требованию привязать телефон. Т.е. аккаунт считался как минимум скомпроментированным, но можно было решить вопрос, оставив телефон. История заходов не показывала ничего подозрительного, но была подозрительно коротка. После переписки владельцев с саппортом, доступ к аккаунтам был восстановлен. Движ был еще в прошлом месяце, база же всплыла только сейчас. Аккаунты, приведенные в опубликованном куске базы, согласно заверениям многих, умершие или ботоводские. Но ни одного из заблокированных Яндексом в августе аккаунтов в базе нет. Превентивный массовый бан, спасший множество акков и сделавший базу бесполезной, что привело к ее публикации? Или публикация бесполезных ошметков базы, совершенная после захвата мякотки, приведшего к блокировкам еще в августе?

Добавить 21 комментарий

  • Ответить

    Я правильно понимаю, что в этот момент: «Редакция ЦП провела эксперимент и обнаружила, что некоторые пароли действительно подходят к почтовым ящикам Яндекса» ребята попали под уголовку по нашему УК?

  • Ответить
    Альтер Эго

    Ну вот на Хабре пишут, что через этот список удалось восстановить давно забытый пароль. Могут, конечно, привирать.

  • Ответить

    Если бы они, как они говорят, знали, что эти ящики взломаны, то при входе в такие ящики должно было крупно выводиться что-нибудь типа «Ваш ящик под подозрением, срочно смените пароль!». Такому пользователю не должны давать отправлять письма и желательно даже не показывать ему контент ящика. Так что, хорошая попытка соврать, Яндекс. Ничего вы не знали.

  • Ответить

    У меня не бъется сообщение пресс-службы и представление о реальности. Вот написано «нет оснований считать, что среди среди опубликованных аккаунтов есть те, что принадлежат «живым» пользователям» Это означает, что данные пароли не вводились на Яндексе. Теоретически, можно представить, что комбинация из почты и пароля (того же, что на Яндексе) вводилась на каком-то левом сервисе (сервисах). Но в очень большом проценте случаев, сервисы, которые спрашивают E-mail — требуют подтверждения этого E-mail т.е. шлют таки почту (на @yandex.ru) в которой надо кликнуть на ссылку. Для этого ящик должен быть живым.

  • Ответить

    Такие сливы не редкость. Если воспользоваться, например, таким инструментом, то можно мониторить всякие файлопомойки, где иногда проскакивают файлы с паролями к различным почтовым сервисам. Или вот парни делятся базами. Осторожно, много суровой рекламы и потенциально малвари.

  • Ответить

    Блокировка яндексом аккаунтов началась еще в прошлом месяце. В двадцатых числах словила бан пачка не связанных между собой аккаунтов, использовавшихся настоящими людьми, с настоящими задачами. Логиниться разрешали, доступ на чтение почты давали, но попытка отправки письма или захода на соседние с почтой сервисы приводила к появлению сообщения о блокировке и требованию привязать телефон. Т.е. аккаунт считался как минимум скомпроментированным, но можно было решить вопрос, оставив телефон. История заходов не показывала ничего подозрительного, но была подозрительно коротка. После переписки владельцев с саппортом, доступ к аккаунтам был восстановлен. Движ был еще в прошлом месяце, база же всплыла только сейчас. Аккаунты, приведенные в опубликованном куске базы, согласно заверениям многих, умершие или ботоводские. Но ни одного из заблокированных Яндексом в августе аккаунтов в базе нет. Превентивный массовый бан, спасший множество акков и сделавший базу бесполезной, что привело к ее публикации? Или публикация бесполезных ошметков базы, совершенная после захвата мякотки, приведшего к блокировкам еще в августе?

  • Ответить

    Заброшенные? С числом «2014» в названии ящика? PS. Почему-то выкладывают базы с обрезанными паролями, только емайлы. По-умному, надо бы наоборот. Такие базы после опубликования ценны только для брута. Полезно проверять свои пароли на наличие в таких базах (только пароли, а не связку логин-пароль).

  • Ответить
    Альтер Эго

    Базы выложены с паролями, целиком. Просто СМИ дают ссылки на «приличную» версию баз. Даже в комментариях на хабре была (может есть до сих пор) ссылка на полную базу.

  • Ответить
    Альтер Эго

    А с какой целью были выложены базы? Кому-то срочно понадобился шум вокруг конкретных компаний? Но ещё говорят, что типа выложены/собраны они не вчера.

  • Ответить
    Альтер Эго

    >А с какой целью были выложены базы? Вот это хороший вопрос. Есть версия, что они давно ходили, но кто-то слишком активный смерджил несколько баз и слил в паблик. >Но ещё говорят, что типа выложены/собраны они не вчера. Да, говорят, что с августа, как минимум, в паблике на нескольких форумах.

  • Ответить
    Олег Хан Интернет СМИ

    У моей жены заблокировали доступ в Yandex и требуют авторизацию через номер телефона которого у ней пару лет как нет. Письмо в саппорт ничего не дало, саппорт отмолчался. Фиг с ним с яндексом на, но Яндекс деньгах лежат реальные деньги для расчета с фрилансерами и не очень хотелось бы их терять, но вход на яндекс-деньги по тому же логин-пароль от почты. Так же вход в админку на которую повесили корпоративные ящики тоже через эту-же связку. Разом потеряли всё. Украсть пароли прямо из компа жены я думаю не могли, никаких вирусных-фишинговых программ Касперский не находит, да и на компе ничего нет кроме лицензионного офисного софта. Получается, что Yandex просто взял и заблокировал, вместо того что бы послать предупреждение и проинформировать что возможно есть подозрение на взлом и примите меры…. Теперь 10 раз подумаю прежде чем связываться с Яндексом.

  • Ответить

    > Теперь 10 раз подумаю прежде чем связываться с Яндексом. 10 раз думайте прежде чем менять телефон, к которому привязаны какие-либо сервисы.

  • Ответить
    Олег Хан Интернет СМИ

    vladon Привязка автризации только к телефону тут не очень уместна. Если бы Яндекс хотел, то проверить юзера помимо телефона куча вариантов. К счету привязаны карты банков, достаточно попросить перевести один рубль с привязанной карты что бы убедится что юзер тот же самый, именно по такой схеме авторизует Пэйпал клиента и его карты. И еще куча вариантов когда счет привязан к куче всевозможных платежных сервисов где так же этот юзер индентифицирован. А номер телефона можно утратить вне зависимости от вашего желания, по разным причинам. В данном случае как-то наплевали на конечного юзера, а не якобы заботились о его безопасности.

  • Ответить

    Олег, лучший способ — это идентифицироваться. И не париться потом. А ещё лучше — не пользоваться Яндекс.Деньгами, а с фрилансерами рассчитываться банковскими переводами.

  • Ответить

    В сети в последние месяцы вообще какое-то безумие творится. Уровень безопасности популярных сервисов и (самое главное) грамотность пользователей должны постоянно рости. Я вот BIS’2014 буду в пятницу смотреть — хочу посмотреть, что сейчас для бизнеса актуального в плане ИБ есть. Благо, что бесплатный билет удалось взять по акции.