DeviceLock нашло данные 33,7 млн пользователей «Живого журнала» в открытом доступе — владелец сервиса опроверг утечку
Утечка произошла в 2014 году, но появилась в открытом доступе только в начале мая.
Данные авторов блог-платформы «Живой журнал» оказались в открытом доступе, сообщают «Ведомости» со ссылкой на основателя и технического директора компании DeviceLock Ашота Оганесяна. База включает в себя информацию о 33,7 млн пользователей, в частности, идентификатор, адрес электронной почты, ссылку на профиль и пароль от его блога.
Утечка произошла в 2014 году, база продавалась на форумах в «даркнете», объяснил Оганесян. В начале мая в бесплатный доступ её выложил пользователь Винни Тройя. Газета отмечает, что логин совпадает с именем известного американского исследователя в области кибербезопасности, который обнаружил утечку данных 1,2 млрд пользователей Facebook, Twitter, LinkedIn и сервиса Github в 2019 году.
Данные некоторых пользователей, опрошенных «Ведомостями», оказались актуальными. 10 мая администрация сервиса разослала пользователям письмо с рекомендацией изменить пароль в течение пяти дней из-за изменения требований платформы.
С 2016 года сервис принадлежит Rambler Group, напоминает газета.
Мы не признаем достоверность информации об утечке, так как заявленный массив состоит из неактуальных и сфальсифицированных данных. Свыше шести лет мы используем систему защиты от подозрительных авторизаций и усовершенствовали механизм хранения паролей. Сейчас в группе риска могли оказаться именно те пользователи, которые не меняли пароли с того времени, — их пароли будут принудительно сброшены.
Мы регулярно информируем наших пользователей о необходимости смены пароля и сделали это и в настоящий момент. Информация, распространяемая в сети о якобы «массовой утечке» данных пользователей ЖЖ, не соответствует действительности — это одна из кликбейтных новостей, задача которой — привлечь интерес к третьей стороне в данном вопросе
Специалисты DeviceLock выяснили, что около 69% пар «почта — пароль» оказались уникальными и никогда раньше не встречались в других утечках. По словам Оганесяна, утечка свидетельствует об уязвимости, заложенной еще при проектировании системы.
Данные многих аккаунтов устарели, считает технический директор компании Qrator Labs Артем Гавриченков. Однако пароли могут подходить для других сервисов и почтовых ящиков пользователей, заявил он.
Комментарий недоступен
Реакция Рамблера — это полный адище, компания жёстко подставляет собственных пользователей.
Многие используют везде одинаковые логины и пароли. Значит, хотя ЖЖ и деактивировал пароли у себя, злоумышленникам достаточно попробовать те же пары логин/пароль на других сервисах, чтобы получить доступ ко множеству аккаунтов.
В такой ситуации от Рамблера требуется срочно сообщить пользователям «ваш пароль скомпрометирован», чтобы они могли принять меры и поменяли его на других сервисах. Он вместо этого отрицает реальную утечку.
По-моему, это самая мощная антиреклама Рамблера, которую можно придумать: компания наглядно демонстрирует, что готова делать хуже своим собственным пользователям. Как ещё где-то у них заводить пароль, если там могут не только его продолбать, но даже не сообщить мне об этом?
"По словам Оганесяна, утечка свидетельствует об уязвимости, заложенной еще при проектировании системы."
И вообще во всем виноват прошлый режим, с них и спрос.
По словам Оганесяна, утечка свидетельствует об уязвимости, заложенной еще при проектировании системы
Если я правильно помню (уж больно старые системы обсуждаются), ЖЖ изначально был основан на Movable Type. Соответственно ноги уязвимости (if any) могут расти оттуда.
Использовал ли он систему как есть, какую-то её модификацию, или впоследствии отошёл от неё вообще — лучше спросить владеющих более актуальной информацией.
Изначально его написал Брэд Фицпатрик в 1999 году. Потом его перекупили Six Apart, разработчики movable type. Правда не совсем понятно перевели они LJ на movable type или нет. В описании компании они указаны как отдельные платформы.
Вряд ли есть что-то более зашкваренное, низкокачественное, чем жежешка, ставшая таковой после появления хоббита Бармина и его всратой команды монетизаторов. Вспомнил, есть: ли.ру. Если он не умер, конечно, проверять брезгую
Читаю там Лебедева (вопрос считается ли он зашкваром и низким качеством оставлю за рамками обсуждения)