Яндекс опроверг утечку со своих сервисов миллиона паролей; их крали у юзеров, а не в Яндексе

Я правильно понимаю, что в этот момент: «Редакция ЦП провела эксперимент и обнаружила, что некоторые пароли действительно подходят к почтовым ящикам Яндекса» ребята попали под уголовку по нашему УК?

2014 год отсутствие MFA/TOTP мда, Яндекс.

2Alex Baggins: надо срочно написать в прокуратуру.

Ну вот на Хабре пишут, что через этот список удалось восстановить давно забытый пароль. Могут, конечно, привирать.

Кого бы попинать на предмет очевидной кривости.

Если бы они, как они говорят, знали, что эти ящики взломаны, то при входе в такие ящики должно было крупно выводиться что-нибудь типа «Ваш ящик под подозрением, срочно смените пароль!». Такому пользователю не должны давать отправлять письма и желательно даже не показывать ему контент ящика. Так что, хорошая попытка соврать, Яндекс. Ничего вы не знали.

Я знаю, что вчера украли ключи у кого то из моих соседей. Я не хожу и не меняю замки всем соседям. Я лжец?

У меня не бъется сообщение пресс-службы и представление о реальности. Вот написано «нет оснований считать, что среди среди опубликованных аккаунтов есть те, что принадлежат «живым» пользователям» Это означает, что данные пароли не вводились на Яндексе. Теоретически, можно представить, что комбинация из почты и пароля (того же, что на Яндексе) вводилась на каком-то левом сервисе (сервисах). Но в очень большом проценте случаев, сервисы, которые спрашивают E-mail — требуют подтверждения этого E-mail т.е. шлют таки почту (на @yandex.ru) в которой надо кликнуть на ссылку. Для этого ящик должен быть живым.

Такие сливы не редкость. Если воспользоваться, например, таким инструментом, то можно мониторить всякие файлопомойки, где иногда проскакивают файлы с паролями к различным почтовым сервисам. Или вот парни делятся базами. Осторожно, много суровой рекламы и потенциально малвари.

Блокировка яндексом аккаунтов началась еще в прошлом месяце. В двадцатых числах словила бан пачка не связанных между собой аккаунтов, использовавшихся настоящими людьми, с настоящими задачами. Логиниться разрешали, доступ на чтение почты давали, но попытка отправки письма или захода на соседние с почтой сервисы приводила к появлению сообщения о блокировке и требованию привязать телефон. Т.е. аккаунт считался как минимум скомпроментированным, но можно было решить вопрос, оставив телефон. История заходов не показывала ничего подозрительного, но была подозрительно коротка. После переписки владельцев с саппортом, доступ к аккаунтам был восстановлен. Движ был еще в прошлом месяце, база же всплыла только сейчас. Аккаунты, приведенные в опубликованном куске базы, согласно заверениям многих, умершие или ботоводские. Но ни одного из заблокированных Яндексом в августе аккаунтов в базе нет. Превентивный массовый бан, спасший множество акков и сделавший базу бесполезной, что привело к ее публикации? Или публикация бесполезных ошметков базы, совершенная после захвата мякотки, приведшего к блокировкам еще в августе?

Заброшенные? С числом «2014» в названии ящика? PS. Почему-то выкладывают базы с обрезанными паролями, только емайлы. По-умному, надо бы наоборот. Такие базы после опубликования ценны только для брута. Полезно проверять свои пароли на наличие в таких базах (только пароли, а не связку логин-пароль).

Базы выложены с паролями, целиком. Просто СМИ дают ссылки на «приличную» версию баз. Даже в комментариях на хабре была(может есть до сих пор) ссылка на полную базу.

А с какой целью были выложены базы? Кому-то срочно понадобился шум вокруг конкретных компаний? Но ещё говорят, что типа выложены/собраны они не вчера.

>А с какой целью были выложены базы? Вот это хороший вопрос. Есть версия, что они давно ходили, но кто-то слишком активный смерджил несколько баз и слил в паблик. >Но ещё говорят, что типа выложены/собраны они не вчера. Да, говорят, что с августа, как минимум, в паблике на нескольких форумах.

http://lenta.ru/news/2014/09/10/gmail/ Кто-то жаждет опорочить всех. Но яндекс — первый!

У моей жены заблокировали доступ в Yandex и требуют авторизацию через номер телефона которого у ней пару лет как нет. Письмо в саппорт ничего не дало, саппорт отмолчался. Фиг с ним с яндексом на но Яндекс деньгах лежат реальные деньги для расчета с фрилансерами и не очень хотелось бы их терять, но вход на яндекс-деньги по тому же логин-пароль от почты. Так же вход в админку на которую повесили корпоративные ящики тоже через эту-же связку. Разом потеряли всё. Украсть пароли прямо из компа жены я думаю не могли, никаких вирусных-фишинговых программ Касперский не находит, да и на компе ничего нет кроме лицензионного офисного софта. Получается, что Yandex просто взял и заблокировал, вместо того что бы послать предупреждение и проинформировать что возможно есть подозрение на взлом и примите меры…. Теперь 10 раз подумаю прежде чем связываться с Яндексом.

> Теперь 10 раз подумаю прежде чем связываться с Яндексом. 10 раз думайте прежде чем менять телефон, к которому привязаны какие-либо сервисы.

vladon Привязка автризации только к телефону тут не очень уместна. Если бы Яндекс хотел, то проверить юзера помимо телефона куча вариантов. К счету привязаны карты банков, достаточно попросить перевести один рубль с привязанной карты что бы убедится что юзер тот же самый, именно по такой схеме авторизует Пэйпал клиента и его карты. И еще куча вариантов когда счет привязан к куче всевозможных платежных сервисов где так же этот юзер индентифицирован. А номер телефона можно утратить вне зависимости от вашего желания, по разным причинам. В данном случае как-то наплевали на конечного юзера а не якобы заботились о его безопасности.

Олег, лучший способ — это идентифицироваться. И не париться потом. А ещё лучше — не пользоваться Яндекс.Деньгами, а с фрилансерами рассчитываться банковскими переводами.

ХВАТИТ ВРАТЬ!

В сети в последние месяцы вообще какое-то безумие творится. Уровень безопасности популярных сервисов и (самое главное) грамотность пользователей должны постоянно рости. Я вот BIS’2014 буду в пятницу смотреть — хочу посмотреть, что сейчас для бизнеса актуального в плане ИБ есть. Благо, что бесплатный билет удалось взять по акции.