Несколько тысяч ящиков Рамблер.Почты взломали — через неделю Rambler объяснил взлом «вирусами»

Развитие событий: Правда ли, что «миллионы аккаунтов взломаны»? Антон Носик: мой пароль у взломщиков правильный (12 июня 2016)

Обновлено в 19:20, 27 Мая. Rambler&Co сообщил:

После заявления компании Advego о компрометации 90.000 учетных записей Рамблер Почта (http://advego.ru/blog/read/news/2947266) наши специалисты по кибербезопасности провели расследование и установили, что большая часть учетных записей сейчас заблокированы, либо не существуют, а оставшиеся 5.482 учетных записей утекли с компьютеров пользователей, зараженных вирусами. Данные учетные записи отправлены на принудительную смену пароля. Также мы рекомендуем всем пользователям использовать привязку аккаунта к номеру телефона.


Исходная новость от 18:21, 27 мая:

У нескольких тысяч пользователей Рамблер.Почты "угнали" ящики. С 19 мая на "Адвего" резко увеличилось количество заявок на восстановление паролей для доступа к этому сайту. За неделю пришло 90 000 запросов именно с Рамблера. Сервис восстановил пароль по первым пяти тысячам, с 2700 ящиков пришло подтверждение — значит, у мошенников есть к ним доступ. Сейчас взломанные профили не имеют доступа к основным функциям сайта, но вывод средств возможен, если пользователь хотя бы раз это делал ранее.

Рамблер.Почта Доступ


Комментарий Roem.ru. В ответ на наш вопрос в пресс-службе Rambler&Co сначала не поняли, о чем идет речь, а потом заявили, что будут разбираться и узнавать детали. На момент выхода публикации Rambler&Co никакой информации предоставить не успел. Мы обращались за комментариями в медиахолдинг вчера, днём в четверг 26 мая.

Комментарий представителя компании

  • Контекст комментария

    drugoe

    Ответ Рамблера:

    Окончательно разобрались – это компиляция куска старой базы, которая с 2012 года гуляет по Интернету и нескольких сотен новых аккаунтов. Новые аккаунты были получены через ботнет. Увы, сейчас популярна практика собирать учетные данные в ботнете, компилировать в базу и продавать ее на черном рынке как «новый слив». Слива от нас не было, поскольку храним хеши и база не помогла бы злоумышленникам получить доступ к аккаунтам.

Лучшие комментарии

  • Контекст комментария

    drugoe

    Ответ Рамблера:

    Окончательно разобрались – это компиляция куска старой базы, которая с 2012 года гуляет по Интернету и нескольких сотен новых аккаунтов. Новые аккаунты были получены через ботнет. Увы, сейчас популярна практика собирать учетные данные в ботнете, компилировать в базу и продавать ее на черном рынке как «новый слив». Слива от нас не было, поскольку храним хеши и база не помогла бы злоумышленникам получить доступ к аккаунтам.

Добавить 6 комментариев

  • Ответить

    Объяснение Рамблера не айс

    Поскольку если вирусы у юзеров, то почему только рамблер?

    Если вирусы на сервере сервиса — то почему только рамблер?

  • Ответить

    Антивирус, фаервол, не скачиваю файлы, не кликаю на рекламу (да и её и нет почти из-за адблока), ghostery и опыт. В общем, заразиться массовым вирусом, который украдет пароль от почты, в которую я захожу раз в год и последний раз около года назад, для меня не большой шанс.

    Я один из пострадавших. Много лет назад зарегистрировал почту на рамблере, потом перешел на mail.ru в качестве почты для восстановления пароля указана рамблер почта, пароли разные. В адвего зарегистрирован с mail.ru почтой. И был взломан.

    Если я правильно понимаю, то:

    1) Взломали адвего и узнали почты пользователей
    2) Если это рамблер, то взламывали рамблер
    3) Если это mail.ru, то смотрели можно ли восстановить пароль на почту рамблер и взламывали рамблер.

    Но после взлома mail.ru, пароль на mail.ru не был изменен, я продолжал туда заходить, хотя фильтры злоумышленники настроили под адвего. Такое возможно?

  • Ответить

    Не знаю куда меня рамблер отнес, но почту заблочил, почтой не пользовался (точней снимал её гулом, надоел спам постоянный), с компа не заходил несколько месяцев, на компе с которого заходил, стоит антивирус и настроено SRP, advego не пользовался.

  • Ответить

    После опубликования новости с нами связался начальник отдела информационной безопасности Рамблер и запросил списки скомпрометированных адресов и адресов под подозрением «для проведения внутреннего расследования». Чем сие расследование закончилось — неизвестно.

  • Ответить

    Борис, вы не правильно понимаете. Наиболее достоверный вариант — утеря (подбор) пароля от почтового сервиса. Масса возможностей для этого.

    «…В адвего зарегистрирован с mail.ru почтой. И был взломан…» Если речь идет о взломе аккаунта Адвего — у нас нет информации о каких-бы то ни было взломах Адвего. Адвего не взламывали, но даже если бы взломали — Адвего не хранит пароли в открытом виде, и взлом Адвего не поможет в узнавании пароля. Если кто-то получил доступ к вашему аккаунту Адвего — только через подбор пароля, фишинг, вирусы или восстановление пароля на скомпрометированную почту. Если у вас есть (были) какие-то проблемы с доступом в Адвего — сообщите, пожалуйста, ваш аккаунт в Адвего — смогу прокомментировать. Можно прямо тут.

    Рамблер тоже не хранит пароли в открытом виде я думаю. И мэил тоже.

    Остается два пути:

    1. Сложность пароля уровня 123456 или boris1969
    2. Вирусы, фишинговые сайты и т.п.

    Вообще это стандартная проблема, год назад точно такая же ситуация была с мэил.ру — вначале продавалсь база логинов-паролей мэил.ру, потом во всех сервисах начались массовые подборы паролей.

    Еще не забывайте про фриланс.ру, у которого угнали логины-пароли (юмор, конечно, пароли в открытом виде хранить) пару лет назад — с тех пор эти данные можно и дальше пробивать по сервисам. А аудитория фл.ру очень сильно пересекается с аудиторией Адвего.

    п.с.: исходя из вопроса «почему только рамблер» и высокого процента попаданий (из 90 тысяч 2700 ящиков авторизовалось = 3%) можем сделать вывод, что никакого подбора паролей не производилось, а использовалась какая-то старая база скомпрометированных адресов Рамблер с уже украденными паролями.

  • Ответить

    Ответ Рамблера:

    Окончательно разобрались – это компиляция куска старой базы, которая с 2012 года гуляет по Интернету и нескольких сотен новых аккаунтов. Новые аккаунты были получены через ботнет. Увы, сейчас популярна практика собирать учетные данные в ботнете, компилировать в базу и продавать ее на черном рынке как «новый слив». Слива от нас не было, поскольку храним хеши и база не помогла бы злоумышленникам получить доступ к аккаунтам.