1000000 паролей от почтовых ящиков Яндекса утекли в сеть

[Дар Ветер]

http://habrahabr.ru/post/235949/

 

 

Сегодня на одном довольно широко известном ресурсе разместили базу email адресов с паролями от почтовых ящиков «Яндекса». База представляет собой текстовый документ, в котором заявлено 1 млн позиций.

С удивлением обнаружил там один из своих, и хотя пароль не был космической сложности, уж точно не для брута и словарей.

Когда именно, и по какой причине данная база утекла в сеть, остается неизвестным. В комментариях народ пишет, что из первых попавшихся 10 яшиков как минимум 8 являются на настоящий момент валидными.

В общем, дружно меняем пароли, пока представители «Яндекса» ищут крота.

 

Список логинов https://docs.google.com/file/d/0BwRHTZchAxwBaWdQQ1FrWEtiSmc/view?sle=true&pli=1

 

UPD

 

В сети появилась база с паролями от миллиона аккаунтов «Яндекса»

 

Вечером 7 сентября на «Хабрахабре» появилось сообщение о том, что на одном из форумов была размещена база паролей от «Яндекс.Почты» — всего скомпрометировано 1 261 809 аккаунтов.

В пресс-службе «Яндекса» редакции ЦП рассказали, что появление такого файла не стало следствием взлома сервиса.

Пароли пользователей «Яндекса» надёжно защищены и не хранятся в открытом виде. Поэтому опубликованный список — это не «взлом» и не «утечка» «Яндекса». Наши специалисты проверяют этот список, и пока нет оснований считать, что среди опубликованных аккаунтов есть те, что принадлежат «живым» пользователям (тем, кто бы заходил на наши сервисы, в «Почту», и совершал какие-либо действия), или тех, о взломе которых бы мы не знали (такие аккаунты уже давно отправлены на восстановление пароля).  

 В «Яндексе» добавили, что каждый отдельный пароль мог утечь вследствие заражения компьютера пользователя вирусом, который передаёт персональные данные мошенникам. Также рассматривается вариант фишинга — схемы, при которой злоумышленник создаёт копию сайта или сервиса, чтобы ввести пользователя в заблуждение и выкрасть пароль.

Пользователи «Хабрахабра» ссылаются на несколько ресурсов, разместивших базу с паролями — форумы Infosliv и Bitcoin Security. Некоторые из комментаторов утверждают, что нашли в файле свои аккаунты. В результате эксперимента редакция ЦП выяснила, что некоторые пароли подходят к настоящим аккаунтам — тем не менее, протестированные аккаунты выглядят давно заброшенными.

 В распоряжении редакции ЦП имеется полный файл с паролями. Проверить, есть ли ваш аккаунт в списке скомпрометированных, можно при помощи этого файла (пароли удалены) или на стороннем сайте. В целях безопасности всем пользователям «Яндекса» рекомендуется сменить пароль от аккаунта.

Пользователь «Хабрахабра» под ником Haoose провёл исследование, чтобы выяснить, какие пароли попадаются в скомпрометированных аккаунтах чаще всего.

 

Обновлено 8 сентября в 12:36: Представители «Яндекса» рассказали ЦП, что за прошедшие несколько часов компания тщательно проанализировала базу паролей и пришла к выводу, что произошедшее — не целенаправленная атака, а результат сбора скомпрометированных аккаунтов в течение длительного периода времени:

    О 85% скомпрометированных аккаунтов из этой базы нам уже было известно: большинство из них уже несколько лет появляются в подобных списках. Мы предупреждали их владельцев и предлагали сменить пароль, но они этого не сделали. Это означает, что такие аккаунты либо заброшены, либо создавались роботами. Владельцам оставшихся 150 тысяч аккаунтов этой ночью мы сбросили пароль, и они не смогут войти в ящик, пока не поменяют его. Если вы не видите такого предупреждения от «Яндекса», то вашего аккаунта нет в опубликованном списке и можно не беспокоиться.

    Если мы видим, что аккаунт мог быть взломан — по его присутствию в подобных базах, по тому, как изменилось поведение пользователя после входа в аккаунт, или по другим признакам — мы разлогиниваем пользователя и отправляем его на принудительную смену пароля.

 

Обновлено 8 сентября в 14:53: пресс-секретарь «ВКонтакте» Георгий Лобушкин сообщил, что социальная сеть заморозила все аккаунты, связанные с логинами из скомпрометированной базы.

Edited September 8, 2014 by Дар Ветер

[gurzhap]

Есть жертвы? Моего нету

[Malve]

Проверил около 5 своих аккаунтов. Ни одного моего в базе нет.

[Mr.Wolf]

2 месяца назад в папке "Отправленные" на Яндекс-почте увидел несколько писем, отправленных с моей почты с рекламной рассылкой.

Проверил IP-адреса, все с Украины.

Связался с техподдержкой Яндекса. После непродолжительного общения на тему: "Как мне привязать почту к одному статическому адресу?" получил ответ - "Это невозможно. О проблеме мы знаем, меняйте пароль."

Пароль заменил, проблем больше нет.

Меняю теперь каждый месяц.

Edited September 8, 2014 by Mr.Wolf

[Дар Ветер]

В сеть попала база 4,5 млн паролей от почтовых ящиков Mail.Ru

Вчера, если точнее, то поздним вечером седьмого сентября, было выложено предупреждение «1000000 паролей от почтовых ящиков Яндекса утекли в сеть», которое для многих оказалось неожиданностью и вызвало бурю эмоций. Странно, что это не произошло ранее, так как новость о базе появилась на форумах как минимум еще утром шестого числа. Компания «Яндекс» уже дала свои комментарии по этому поводу.

Однако, похоже, что беды пользователей почтовых систем на этом не закончились — в сеть попала база email адресов с паролями от почтового сервиса mail.ru. В этой базе содержатся 4 664 478 записей. Актуальность базы не проверена, но, учитывая ситуацию с аккаунтами почты Яндекса, такое продолжение истории не кажется невероятным.

В некоторых источниках уже выложена база без паролей для проверки собственных учетных записей на предмет попадения в эту базу. Поскольку ситуация с Яндекс.Почтой получила огласку только спустя почти двое суток и только после попадания на Хабр, считаю нужным оповестить здесь пользователей и об этой потенциальной угрозе.

Напомню, что если почта окажется в подобной базе, то имеет смысл на всякий случай сменить пароль на новый, как и на всех связанных сервисах, в которых происходит восстановление паролей на этот почтовый адрес, а так же сторонних сервисах, где использовался аналогичный пароль.

UPD:
Список сервисов для проверки своей почты на вхождение в базы:
isleaked.com/ (yandex.ru и mail.ru)
yaslit.ru/ (yandex.ru)
yandexexpose.azurewebsites.net/

[Дар Ветер]

СМИ: «Яндекс» и Mail.ru были взломаны из-за уязвимости программного обеспечения

По мнению эксперта, неожиданные массовые утечки паролей к почтовым ящикам «Яндекса» и Mail.ru произошли в результате взлома, совершённого в связи с уязвимостью программного обеспечения, которое применяют крупнейшие российские интернет-компании. Использовав специальные таблицы данных, хакеры расшифровали содержащие до восьми знаков пароли.

Причиной крупных утечек паролей к почтовым сервисам «Яндекса» и Mail.ru стала уязвимость бесплатного ПО, которое используют крупнейшие российские интернет-компании. Об этом пишут «Известия».

Эксперт в области интернет-технологий Владимир Рузайкин рассказал изданию, что компании «Яндекс» и Mail.ru для работы своих серверов используют операционную систему Linux и ряд так называемых продуктов open-source. Взлом был осуществлён ввиду уязвимости веб-сервиса или системы управления базами данных, уверен эксперт.

Какой именно недостаток ПО послужил причиной взлома, сказать сейчас невозможно – эту информацию, по мнению специалиста, интернет-компании «не раскроют ни при каких сценариях». Однако такая недоработка позволила хакерам получить доступ к логинам пользователей, отмечает издание.

Рузайкин пояснил, каким образом взломщикам удалось получить секретные сведения. По его словам, восстановить длинные пароли, содержащие большое количество символов, невозможно, однако для паролей до восьми знаков существуют таблицы данных («радужные таблицы»), позволяющие в ускоренном режиме подобрать нужную комбинацию.

Эксперты не исключают утечки всей пользовательской базы и того, что со временем злоумышленники смогут получить доступ к учётным записям с более сложными паролями – длиной до 10–12 символов.

Издание напоминает, что 6 сентября пользователь форума Bitcoin Security под псевдонимом tvskit опубликовал 1,3 млн пар «логин-пароль» к почтовому сервису «Яндекса». 8 сентября был размещён в сети файл, содержащий 4,7 млн учётных записей Mail.ru, из которых порядка 800 тыс. сопровождались паролями.

[yurark]

Взлом был осуществлён ввиду уязвимости веб-сервиса или системы управления базами данных, уверен эксперт.

если админы не ставили обновы, то ссзб

с более сложными паролями – длиной до 10–12 символов

в случае sha256, очень сомневаюсь

[Neoki]

То самое чувство когда твой ящик, созданный на заре интернета, с паролем 111 не оказался среди миллионов взломанных. Хоть я им уже и не пользуюсь)

[yurark]

Популярному почтовому сервису от Google не удалось избежать повторения ситуации с выкладыванием довольно внушительных баз с логинами и паролями, которая недавно случилась с Yandex и Mail.ru. В сети появилась база с адресами ящиков и паролями на 4929090 аккаунтов gmail.com. Актуальность базы не проверена, но сообщается о более чем 60% валидных пар почта: пароль.

В комментариях к предыдущим записям пользователи резонно замечали, что торговля подобными базами далеко не новость, и чего мол тут шум подняли. С этим трудно не согласиться, но опять же, по комментариям видно, что многие пользователи находили в этих базах свои аккаунты, зачастую с актуальными паролями, после чего меняли пароли и начинали более внимательно относиться к безопасности своих почтовых ящиков. Поэтому считаю не лишним осветить появление и этой базы в свободном доступе в сети.

Судя по тому, что появляются базы от многих сервисов, сообщения от «Яндекса» и Mail.ru верны, и это не результат утечки, а последствия фишинг атак, действия вредоносного ПО, использования слабых паролей и прочих ошибок в безопасности при работе с почтой со стороны самих пользователей. Поэтому рекомендуется в профилактических целях сменить пароли на своем почтовом ящике, даже если он не использует сервисы yandex.mail, mail.ru или gmail.

http://habrahabr.ru/post/236283/

[bonfunk]

В базе Gmail нашёл только один ящик своих (немногочисленных - от силы десятка два) адресатов; переписывались ну очень давно.

____________

Есть варианты:

1. В базах пароли, угнанные до выявления и исправления уязвимости OpenSSL (многие пароли опознаны, но старые, сменены давно) Маловероятно (разве что, верно лишь для некоторых паролей) - уж слишком много людей сообщили о том, что выложенные пароли к почте не подходят.
2. Поломали (или даже купили кого-то) не сами почтовики, а какие-то ресурсы, где возможно пользователь использовал пароль такой же, как к мылу (или совершенно не такой, что и наводит, например)
3. Самое банальное - тупо снифф/фишинг/шаловливые расширения для браузеров (например, в Хроме почти каждое расширение требует разрешений как минимум к истории; не факт, что в серую оно не тырит чего ещё; и что хуже: например, Firefox подобных вопросов даже на задаёт), но...

... что интереснее, зачем это всё? Кого-то реально хакнули, а они уже выкидывают базы с (хоть и старьём, но пока там ньязмейкеры из РБК разберутся)? Или просто кому-то очень нужно выставить крупные почтовые сервисы в очень невыгодном свете; например, чтобы предложить пользователям собственную альтернативу (возможно, принудительно).

Edited September 12, 2014 by bonfunk

[Mac]

Вроде как подобные базы ходят в хакерских сообществах и продаются за большие бабки. Просто тут кто-то все это слил в широкий паблик, отсюда и такая огласка.

[yurark]

например, Firefox подобных вопросов даже на задаёт

зато расширения для него премодерацию проходят

зачем это всё?

есть у меня несколько вариантов, но не стыкуются они

ждем дальнейшие сливы

Вроде как подобные базы ходят в хакерских сообществах и продаются за большие бабки

ходят, ходят

[bonfunk]

Опубликованы базы ещё некоторых операторов: Рамблер, Yahoo. Всплыла в комментариях на Хабре, ссылку приводить не буду по понятным причинам.

 

Вариант с OpenSSL отпадает практически полностью: кроме того, что это достаточно долго, большинство опознанных паролей - не от почты, а от других сайтов, на которых с этой почтой регистрировались. Очень мало актуальных. Подтверждают не только множество пользователей, но и западные эксперты по безопасности.

 

зато расширения для него премодерацию проходят

Действительно. Хотя это не мешает время от времени просачиваться расширениям, которые-таки тащат данные пользователей (из последнего, с чем сталкивался - достаточно давно - скачивалка для Вконтакте, которая предположительно их же аккаунты уводила)