Лого vc.ru

В сети появилась база с паролями от миллиона аккаунтов «Яндекса»

В сети появилась база с паролями от миллиона аккаунтов «Яндекса»

Вечером 7 сентября на «Хабрахабре» появилось сообщение о том, что на одном из форумов была размещена база паролей от «Яндекс.Почты» — всего скомпрометировано 1 261 809 аккаунтов. 

Поделиться

В пресс-службе «Яндекса» редакции ЦП рассказали, что появление такого файла не стало следствием взлома сервиса.

Пароли пользователей «Яндекса» надёжно защищены и не хранятся в открытом виде. Поэтому опубликованный список — это не «взлом» и не «утечка» «Яндекса». Наши специалисты проверяют этот список, и пока нет оснований считать, что среди опубликованных аккаунтов есть те, что принадлежат «живым» пользователям (тем, кто бы заходил на наши сервисы, в «Почту», и совершал какие-либо действия), или тех, о взломе которых бы мы не знали (такие аккаунты уже давно отправлены на восстановление пароля). 

В «Яндексе» добавили, что каждый отдельный пароль мог утечь вследствие заражения компьютера пользователя вирусом, который передаёт персональные данные мошенникам. Также рассматривается вариант фишинга — схемы, при которой злоумышленник создаёт копию сайта или сервиса, чтобы ввести пользователя в заблуждение и выкрасть пароль. 

Пользователи «Хабрахабра» ссылаются на несколько ресурсов, разместивших базу с паролями — форумы Infosliv и Bitcoin Security. Некоторые из комментаторов утверждают, что нашли в файле свои аккаунты. В результате эксперимента редакция ЦП выяснила, что некоторые пароли подходят к настоящим аккаунтам — тем не менее, протестированные аккаунты выглядят давно заброшенными. 

Один из подвергшихся утечке аккаунтов

В распоряжении редакции ЦП имеется полный файл с паролями. Проверить, есть ли ваш аккаунт в списке скомпрометированных, можно при помощи этого файла (пароли удалены) или на стороннем сайте. В целях безопасности всем пользователям «Яндекса» рекомендуется сменить пароль от аккаунта.

Пользователь «Хабрахабра» под ником Haoose провёл исследование, чтобы выяснить, какие пароли попадаются в скомпрометированных аккаунтах чаще всего.

Обновлено 8 сентября в 12:36: Представители «Яндекса» рассказали ЦП, что за прошедшие несколько часов компания тщательно проанализировала базу паролей и пришла к выводу, что произошедшее — не целенаправленная атака, а результат сбора скомпрометированных аккаунтов в течение длительного периода времени: 

О 85% скомпрометированных аккаунтов из этой базы нам уже было известно: большинство из них уже несколько лет появляются в подобных списках. Мы предупреждали их владельцев и предлагали сменить пароль, но они этого не сделали. Это означает, что такие аккаунты либо заброшены, либо создавались роботами. Владельцам оставшихся 150 тысяч аккаунтов этой ночью мы сбросили пароль, и они не смогут войти в ящик, пока не поменяют его. Если вы не видите такого предупреждения от «Яндекса», то вашего аккаунта нет в опубликованном списке и можно не беспокоиться.

Если мы видим, что аккаунт мог быть взломан — по его присутствию в подобных базах, по тому, как изменилось поведение пользователя после входа в аккаунт, или по другим признакам — мы разлогиниваем пользователя и отправляем его на принудительную смену пароля.

Обновлено 8 сентября в 14:53: пресс-секретарь «ВКонтакте» Георгий Лобушкин сообщил, что социальная сеть заморозила все аккаунты, связанные с логинами из скомпрометированной базы.

Статьи по теме
«Яндекс.Деньги» начнут списывать средства у неактивных пользователей29 августа 2014, 13:04
Популярные статьи
Показать еще
Комментарии отсортированы
как обычно по времени по популярности

Мы проверили несколько аккаунтов из разных частей файла, большинство заблокированы, но есть и те, в которые удалось залогиниться. Все они оказались заброшенными, но это не значит, что все аккаунты в этом сливе неактивны, скорее всего, там есть и вполне живые, пользователи Хабра это подтверждают.

Зато этот факт говорит о том, что Яндекс не заблокировал все аккаунты из этого списка.

Гликс, ты .удак малолетний

Старый петух в треде? Попробуй-ка напиши что-нибудь такое на хабре.

Да-да, я помню, как тебя на хабре банили. Аккурат за твоё .удачество.
Реплика насчёт "петуха" сразу выдаёт твою гопническую суть и гниль. Видимо, для тебя это болезненная темка...

0

Спорить с идиотом себе дороже. Относительно невинный комментарий вызывает бурную реакцию и утверждения в чьем-то мудачестве, а последующие выпады усиливают баттхерт со всеми вытекающими.

Приношу извинения невольным читателям сего бреда в исполнении меня и старого маразматика, не столь давно откинувшегося с зоны.

PS. Старый пердун, причина бана на хабре была из-за обсуждения некоторых мер администрацией предпринимаемых.

Слово "мудачество" ты сам себе придумал. Хотя был и менее болезненный для тебя вариант с "чудачеством". Как говорится, шапка горит...
Насчет "не столь давно откинувшегося с зоны" - в нашей стране ни от чего зарекаться нельзя. И я перестал вспоминать об этом. К тому же "не столь давно" - это примерно 30% твоей жизни назад было.

0

Да даже в траншее от столь неприкрытого нарушения закона с чистосердечным признанием публичным не скрыться, не?

Чекер валидных email`ов уже подняли? Оперативно.

0

Самое интересное - почему пароли в открытом виде, как они были получены?

В тексте новости есть ответы на оба этих вопроса.

Крайне сомнительная отмазка, на мой взгляд.
Нашел свой ящик в списке.
Абсолютно точно уверен, что на домашнем компе вирусов нет(Мак), а на рабочем - не пользуюсь этой почтой.
Про фишинговые сайты - тоже бред.
Хотя, признаю, что пароль был очень простой(состоял из восьми цифр)

А какие у вас расширения в браузере стоят?

0

Кнопочка от soundcloud, raindrop.io. Больше никаких.

0

брутфорс наверное какой-то базовый?
я вот ввел только что пароль неправильно раз пять, никаких капч, ничего

0

Там есть сложные пароли вроде DjQ%yJk#. Еще несколько тысяч email'ов совпадают, только написаны в разном регистре, что заставляет думать, что их где-то вводили вручную.

0

Проверила все свои ящики, ни одного нет в списке, фух)

0

нашел себя, побежал менять пароли

0

> Пользователь «Хабрахабра» под ником Haoose провёл исследование, чтобы выяснить, какие пароли попадаются в скомпрометированных аккаунтах чаще всего.

Жалко там сумму не прописали итоговую супер паролей. Удивительно, конечно, 2014 год заканчивается, а у нас такие пароли все еще используют.

0

лучше бы выложили голые фотки милонова с мизулиной

Месье знает толк в извращениях

Что они заливают? Есть там мыла "живых" пользователей! Проверял парочку.

0

и посыпался спам... мало того, что взломали.

0

Хоть где этот список находится написали бы, а то может и мне пора менять

0

Им нужно добавить 100 (1000) популярных паролей в стоп-лист и не давать их вводить пользователям.

У них есть некий список популярных паролей. Если попробовать такой пароль задать, то дадут подсказку "Пароль слишком простой" и шкала надежности покраснеет. Но во-первых, это надо еще заметить, и во-вторых, список хромой - password там есть, а вот Password-а - нет.

0

Бла бла бла, моей почты в списке не было, но в истории входов у меня за последние пару дней была куча нидерландских айпишников.
Использую мак и андройд, в офисе бывает винда, но там все достаточно секьюрно. Софт никакой не ставлю, по сомнительным ссылкам не хожу. Так что я сомневаюсь в том, что это был не взлом. Пароль был 8 знаков буквоцифренный с разным регистром.

Вот кстати по поводу нидерландских айпишников интересно, потому что у меня такая же ботва.

можно собрать список, но для расковыривания инцидента не очень ясно как может помочь..

0

В списке попался мой фейк, но я пытался зайти на него (пароль естественно забыл) восстановил, как надо и все работает и ничего нету об взломе.

0

Возможно, с какого-то сайта, где люди вводили почту и пароль ставили такой же, как на почте?
Алсо, что за странный пароль werilopert, почему он в топе?

0

Кстати, гуглинг этого верилоперта интересные результаты выдает - масса разных раздач аккаунтов на каких-то левых форумах.

Только сегодня мне говорили, что я не могу использовать в аватарке выбранное мной изображение...
И тут вы просрали миллион паролей...
Ребята! вы не тем занимаетесь!
Вам нет доверия!

почему пароль 4815162342 ??

0

Панфилов, вы бы уже банили дятлов, что чушь несут. Коэффициент полезной нагрузки от них уже закончил стремиться к нулю. Пусть идут на хабр чушь нести в комментах.

я такой сайт нашел где проверить можно mailproverka.ru

0

Печальные известия. Пользователи не совсем понимают всю опасность, которую таит в себе интернет. Но одно дело когда отдельные пользователи за этим не следят, и совсем другое, когда подобные ошибки допускают крупные сервисы и организации. Буду, кстати, завтра смотреть трансляцию Business Information Security Summit'а. Интересно, что сейчас в плане защиты предлагают. Можно даже бесплатный билет успеть получить, если повезёт.

0

Возможность комментирования статьи доступна только в первые две недели после публикации.

Сейчас обсуждают
Дмитрий Борисов

Ну что за дела, сегодня уже программу C#-разработчик и тестировщик ПО убрали, оставили джаву только...

В университете Иннополиса бесплатно обучат разработчиков для «Сбербанка», «Яндекса» и других резидентов города
0
Morris Drum

Меня смущает не желание зарабатывать, а способ.

Комиссию оплачивать картой, а поездки наличкой. Как мне ответили: "вы не представляете какое количество не хочет оплачивать картой". Но при этом навязывать оплату комиссии картой - норм.

Да еще и количество предложений сокращают из-за непонятной борьбы с "автобусами". Я вот не против на автобусе ехать, почему бы не дать выбор? "Потому что мы сервис для компенсации бензина".
Неуместный максимализм какой-то. В итоге всё чаще не получается уехать, приходится искать другие способы.

Блаблакар очень нравился своей идеей, но реализацию начинают запарывать. Аж обидно.

Сервис поиска попутчиков BlaBlaCar ввёл комиссию 20% с пассажиров в России
0
Dmitry Honcharenko
ПланФикс

Те, кто строит свой SaaS, найдут в этой заметке много любопытного и полезного. Я прочитал с удовольствием. Очень интересные параллели с нашими внутрикомандными размышлениями по поводу идеологии универсального продукта (хоть и с отличающимися выводами - но тем интереснее). Аналогичные муки выбора системы тарификации - и похожие наблюдения по поводу минусов ее сложности (здорово, что мы решили вначале обсудить это с пользователями и не вляпались в сложную систему, которую планировали изначально).

Отдельно удивил достаточно долгий упор на продукт, а не на маркетинг - обычно складывается впечатление, что для всех западных сервисов маркетинг всегда на первом месте, а тут от оно чо, Михалыч.

Ну, в общем, я не зря потратил время на чтение. Спасибо редакции!

«Фиксированная цена $200 в год — самая большая ошибка, которую мы когда-либо делали»
0
Матвей Панов

В маршрутке - подорожник...
Короче: все твои деньги должны плавно рассеиваться по карточкам...
Желательно иметь 30 карточек по 20 рублей, чем 600 рублей в кармане.
И скоро тебе докажут, что это удобнее и выгоднее, т.к. 600 р в кармане могут украсть..
600 р на 1 карточке - то же не выгодно, из-за хакеров....
А вот 30 карточек по 20 рублей - самое то!!!
ЗЫ
Переводы между разными картами разных банков и тд занимают до 2-5 дней...
+еще желательно, чтоб ты оплачивал смс уведомления, комиссии за переводы между картами и тд и тп....
ЗЗЫ
Владельцам и сотрудникам банков то же кушать хочется...

CoinOut — сервис, который позволяет получить сдачу в магазине в виртуальном виде
0
Денис Демидов

боец!!

Сергей Барышников: Как я вернул долг размером в $2 млн благодаря созданию BigPicture.ru
0
Показать еще