А ты нашёл свой украденный E-Mail на Яндексе ? А на Mail.ru ? А на GMail.com ?!

[VGrad]

С Хабра сообщают !!!

 

07.09.2014 на одном довольно широко известном ресурсе разместили базу email адресов с паролями от почтовых ящиков Яндекса. База представляет собой текстовый документ, в котором заявлено 1000000 позиций.

 

Когда именно, и по какой причине данная база утекла в сеть, остается неизвестным. В комментариях народ пишет, что из первых попавшихся 10 яшиков как минимум 8 являются на настоящий момент валидными…

В общем, дружно меняем пароли, пока представители Яндекса ищут крота.

 

Список скомпроментированных логинов:

http://webfile.ru/2ebe86af3b0e59280a28e1457f1a2a4c

 

Однако, похоже, что беды пользователей почтовых систем на этом не закончились !!!

 

08.09.2014 в сеть попала база email адресов с паролями от почтового сервиса mail.ru. В этой базе содержатся 4 664 478 записей. Актуальность базы не проверена, но, учитывая ситуацию с аккаунтами почты Яндекса, такое продолжение истории не кажется невероятным.

 

В некоторых источниках уже выложена база без паролей для проверки собственных учетных записей на предмет попадения в эту базу. Поскольку ситуация с Яндекс.Почтой получила огласку только спустя почти двое суток и только после попадания на Хабр, считаю нужным оповестить здесь пользователей и об этой потенциальной угрозе.

 

Напомню, что если почта окажется в подобной базе, то имеет смысл на всякий случай сменить пароль на новый, как и на всех связанных сервисах, в которых происходит восстановление паролей на этот почтовый адрес, а так же сторонних сервисах, где использовался аналогичный пароль.

 

Список скомпроментированных логинов:

http://rghost.ru/57911705

 

А теперь и gmail: в сеть выложена база на 5 000 000 адресов

 

Популярному почтовому сервису от Google не получилось избежать повторения ситуации с выкладыванием довольно внушительных баз с логинами и паролями, которая недавно случилась с Yandex и Mail.ru. В сети появилась база с адресами ящиков и паролями на 4929090 аккаунтов gmail. Актуальность базы не проверена, но сообщается о более чем 60% валидных пар почта: пароль.

 

В комментариях к предыдущим записям пользователи резонно замечали, что торговля подобными базами далеко не новость, и чего мол тут шум подняли. С этим трудно не согласиться, но опять же по комментариям видно, что многие пользователи находили в этих базах свои аккаунты, зачастую с актуальными паролями, после чего меняли пароли и начинали более внимательно относиться к безопасности своих почтовых ящиков. Поэтому считаю не лишнем осветить появление и этой базы в свободном доступе в сети.

 

Судя по тому, что появляются базы от многих сервисов, сообщения от яндекса и mail.ru верны, и это не результат утечки, а последствия фишинг атак, действий вредоносного ПО, установки слабых паролей и прочих ошибок в безопасности при работе с почтой со стороны самих пользователей. Поэтому рекомендуется в профилактических целях сменить пароли на своем почтовом ящике, даже если он использует не сервисы yandex, mail.ru или gmail.

 

По традиции напомню существующие на данный момент сервисы для проверки своей почты на наличие в базах. Наверняка они скоро пополнятся и базой gmail адресов:

http://www.isleaked.com (yandex.ru и mail.ru)

http://yaslit.ru (yandex.ru)

http://yandexexpose.azurewebsites.net

 

Скомпроментированные адреса:

https://forum.btcsec.com/index.php?app=core&module=attach&section=attach&attach_id=8801

[n00ne]

07.09.2014 на одном довольно широко известном ресурсе разместили базу email адресов с паролями от почтовых ящиков Яндекса.

 

сомневаюсь, что яндекс хранит пароли в открытом виде. хотя сейчас этому не удивлюсь. :D

если это действительно так, то это лол, а не почта. событие посерьезнее, нежели утечка. :)

[Neinsager]

сомневаюсь, что яндекс хранит пароли в открытом виде

Вряд ли они были в открытом доступе — скорее утекли хэши, а подобрать по ним пароль сейчас несложно: скромная числодробилка из десятка видеокарт и соответствующий софт просто творят чудеса... А вот как произошла утечка — вопрос, конечно, интересный. Хотя у меня есть одна гипотеза :)

[Rumlin]

Хотя у меня есть одна гипотеза

Какая зарплата - такая работа :) Основа основ, остальное дополнительные детали. Мне уже лет 5 не нравится "качество" яндекса. Постоянно впечатление от продукта :"а бы как".

[Neinsager]

Rumlin

Не, я про другое подумал, из серии «расп%#дяйство и его последствия», а именно — у них же стопудово используется какая-то кластерная файловая система с резервированием данных, стойки с винтами раскиданы по куче датацентров... и вот в каком-нить центре приключился небольшой пожар, часть техники пострадала, в том числе и Яндекса, и её, не особо проверяя, тупо выкинули... а кто-то подобрал и реанимировал данные с винтов, в числе которых и оказались хэши паролей.

[KillerSerg]

Вряд ли они были в открытом доступе — скорее утекли хэши, а подобрать по ним пароль сейчас несложно: скромная числодробилка из десятка видеокарт и соответствующий софт просто творят чудеса... А вот как произошла утечка — вопрос, конечно, интересный. Хотя у меня есть одна гипотеза

неа, пароли там основательно сложные встречаются, то есть на перебор по словарю часть из них явно устойчивая.

а перебор хэшей сравнивая с радужными таблицами - уже давно не вариант, ибо добавление salt свело полезный функционал таблиц практически к нулю.

 

Тут скорее фишинг имха. Или снифф трафика(не уверен отключен ли плейн текст поп3 у яндекса)

[Andreios]

KillerSerg, +1

 

и вот в каком-нить центре приключился небольшой пожар, часть техники пострадала, в том числе и Яндекса, и её, не особо проверяя, тупо выкинули... а кто-то подобрал и реанимировал данные с винтов, в числе которых и оказались хэши паролей.

имхо - очень маловероятно.

[gab]

Во первых на хабре так никто пруфов и не выложил, так что обычный фейк.

 

Просто возможно создали обычный текстовый файл с логинами коих можно скачать в инете для спамеров.

 

Пароли у яда хранятся в захешированом виде.

 

Так что все это не понятно кому нужная шумиха на голом месте, или кто-то решил пропиариться.

[KillerSerg]

а хабр истина в последней инстанции? :)

 

ну верьте дальше в то, что файла с паролями нет.

 

 

зы - файл только с логинами - 15 метров. Файл с логинами и паролями - 38. По состоянию на час ночи пароли были валидны более чем на 9 из 10, ага.

[Neinsager]

Хм, пожалуй моя гипотеза несостоятельна... Хотя Jeremi Gosney как-то же расшифровал бОльшую часть украденных парольных хэшей Linkedin

[KillerSerg]

Яндекс ушел в отказную

 

В «Яндексе» опровергли утечку миллиона паролей от почтовых ящиков пользователей

 

«Пароли пользователей «Яндекса» надежно защищены и не хранятся в открытом виде. Речь не идет о взломе инфраструктуры «Яндекса», данные стали известны злоумышленникам в результате фишинга или вирусной активности на зараженных компьютерах некоторых пользователей. Это не целенаправленная атака, а результат сбора скомпрометированных аккаунтов в течение длительного периода времени», — заявили «Газете.Ru» в пресс-службе «Яндекса».

 

По утверждению представителей «Яндекса», о 85% скомпрометированных аккаунтов из этой базы уже было известно: большинство из них уже несколько лет появляются в подобных списках.

 

«Мы предупреждали их владельцев и предлагали сменить пароль, но они этого не сделали. Это означает, что такие аккаунты либо заброшены, либо создавались роботами. Владельцам оставшихся 150 тыс. аккаунтов этой ночью мы сбросили пароль, и они не смогут войти в ящик, пока не поменяют его. Если вы не видите такого предупреждения от «Яндекса», то вашего аккаунта нет в опубликованном списке, и можно не беспокоиться», — сообщили «Газете.Ru» в пресс-службе компании.

[VGrad]

Что завтра ? Рамблер ? Или всё же ГуглоМыло ?

[Andreios]

Или всё же ГуглоМыло ?

сложно очень, даже заимев пароли, имея двухфакторку - они бесполезны.

Поэтому цель может не оправдать средства.

[Nikolas]

А шо? И мейлру тоже слили? А где логины проверить?

[VGrad]

А где логины проверить?

В первом сообщении добавлено ...

[Leprecon]

Своих аккаунтов не нашел ни в списке для Yandex ни в mail

[VGrad]

Своих аккаунтов не нашел ни в списке для Yandex ни в mail

никому ты не нужен ;)

[Leprecon]

никому ты не нужен ;)

Да я как то и не расстраиваюсь :D

[Nikolas]

Аналогично :( Много мыл, и ни одного в списке... эх...

[Afatwist]

первая ссылка уже не работает

[alexk]

Rumlin

Не, я про другое подумал, из серии «расп%#дяйство и его последствия», а именно — у них же стопудово используется какая-то кластерная файловая система с резервированием данных, стойки с винтами раскиданы по куче датацентров... и вот в каком-нить центре приключился небольшой пожар, часть техники пострадала, в том числе и Яндекса, и её, не особо проверяя, тупо выкинули... а кто-то подобрал и реанимировал данные с винтов, в числе которых и оказались хэши паролей.

 

У Яндекса в России собственные датацентры:

https://company.yandex.ru/technologies/datacenter/

 

По-моему то, что сейчас говорят представители Яндекса - самая реалистичная версия из возможных. Если они соврали, то скоро мы либо увидим второй миллион более свежих паролей, либо статью "как мы это сделали", с указанием на свежую уязвимость - и то и другое делает вранье значительно более вредным для компании, чем признание своей ошибки в случае ее совершения.

[Andreios]

1 000 000 уже неработающих паролей в открытом доступе. Как мы защищаем пользователей Яндекса

Блог компании Яндекс, Информационная безопасность*, Яндекс

Вчера ночью в нескольких местах, в том числе на Хабре, появилась информация о базе паролей к некоторым аккаунтам на Яндексе. За последние несколько часов мы тщательно её проанализировали и пришли к следующим выводам. Во-первых, речь не идёт о взломе Яндекса — данные стали известны злоумышленникам в результате вирусной активности на заражённых компьютерах некоторых пользователей или фишинга. Это не целенаправленная атака, а результат сбора скомпрометированных аккаунтов в течение длительного периода времени.

 

О 85% скомпрометированных аккаунтов из этой базы нам уже было известно через анализ их поведения или другими способами. Мы предупреждали их владельцев и отправили их на смену пароля, но они этого не сделали. Это означает, что такие аккаунты, скорее всего, заброшены либо созданы роботами.

 

Проверить, нет ли вас в списке, очень просто — попытайтесь сейчас зайти в Яндекс.Почту. Всех владельцев оставшихся аккаунтов этой ночью мы отправили на принудительную смену пароля.

 

Конечно, мы не храним пароли открытым текстом, никогда не передаём их по сети открытым текстом и не открываем их любым третьим лицам. Более того, большинство из этих паролей слишком простые, и сейчас их даже установить не получилось бы. Технические и не очень подробности читайте под катом.

 

Данные пользователей Яндекса, конечно же, не хранятся в открытом виде: мы используем «соленый хеш» с очень длинной (48 бит) солью. Речь не идёт о «кроте» — пароли «утекли» от пользователей, а не из Яндекса.

 

Эти пароли не могли быть получены в результате пассивного сетевого сниффинга: в Яндексе достаточно давно все ситуации, в которых передается пароль, защищены TLS. Например, в Почте для протоколов POP3, IMAP и SMTP используется STARTTLS или варианты протоколов со включенным TLS. В веб-версии пароль отправляется на passport.yandex.* по https, при этом для этих адресов не только используется HSTS, но и они помещены в так называемый preloaded list для браузеров Chrome, Mozilla и Яндекс.Браузера. Таким образом, трафик на Паспорт всегда приходит по https. Все это позволяет нам исключить версию со сниффингом.

 

По нашему мнению, опубликованный список паролей является результатом длительной работы: частично он наполнен данными, которые явно были получены в момент их ввода пользователем — либо с помощью клавиатурного шпиона, либо за счет фишинга. Кроме того, не исключена ситуация кросс-чека: если пользователь использует один и тот же пароль на разных ресурсах, взлом на одном из них приводит к компрометации и других учетных записей пользователя.

 

Среди скомпрометированных паролей есть такие (например, «qwerty»), которые уже нельзя установить: довольно давно мы включили их в стоп-листы. То есть в опубликованном списке присутствуют очень старые пароли, что мы проверили и по своим базам данных. Это может объяснить, почему некоторые комментаторы пишут, что они нашли в базе логин, которым давно не пользовались. Он мог быть скомпрометирован не на прошлой неделе, а несколько лет назад.

 

По нашим внутренним данным, около 85% логинов в этом списке уже были известны нам как скомпрометированные. При этом на момент публикации списка им уже было предложено сменить пароль, но они этого не сделали. Это говорит о том, что живые люди этими ящиками не пользуются, а боты перестали пользоваться, когда был установлен флаг смены пароля (там нужно ввести капчу, и обычно бот-мастера предпочитают не покупать ее распознавание, а просто бросить аккаунт).

 

На всякий случай, опровергнем и спекуляции о предоставлении доступа сотрудникам спецслужб к серверам Яндекса. Мы никому не предоставляем ни пароли в открытом виде, ни даже их хеши. Сотрудники ФСБ, ЦРУ, АНБ, Моссада и других субъектов ОРМ не имеют доступа к серверам Яндекса. Доступ к содержимому почтового ящика может быть предоставлен исключительно по решению суда.

 

Таким образом, мы исключаем версии об утечке паролей из Яндекса, и считаем, что база могла быть наполнена либо за счет фишинга, либо за счет скомпрометированных компьютеров пользователей, либо за счет кросс-чека.

 

Взлом пароля не означает взлом сервиса. Пароли могут быть скомпрометированы из-за того, что на компьютере пользователя есть вирусы, которые передают информацию о персональных данных злоумышленникам. Или «утекли» в результате фишинга, когда сайт злоумышленника выглядит, как настоящий, и пользователь вводит там пару логин/пароль. Бывает и так, что пользователи регистрируются на разных сомнительных сайтах, в качестве пароля выбирая тот же, что и у почтового ящика, с которого происходит регистрация.

 

Фишинг, кросс-чек и утечка паролей с компьютеров пользователей из-за вирусов — постоянная проблема многих популярных сервисов, а не результат одноразовой и целенаправленной атаки пользователей.

 

В конце хочется ещё раз всем порекомендовать выбирать сложные пароли и регулярно их менять. Не поленимся ещё раз дать ссылку на наш любимый сайт на эту тему: security.yandex.ru.

 

http://habrahabr.ru/company/yandex/blog/236007/

[VGrad]

первая ссылка уже не работает

ХабраЭффект !!! ;)

[VGrad]

Иииииииииииииииииии ....... на третьем месте нашего мыло-пароле-парада .... барабанная дробь ... GMail.com !!!!!!!

[Nikolas]

ни одного гмыловского адреса не находит