DeviceLock нашло данные 33,7 млн пользователей «Живого журнала» в открытом доступе — владелец сервиса опроверг утечку Материал редакции

Утечка произошла в 2014 году, но появилась в открытом доступе только в начале мая.

В закладки

Данные авторов блог-платформы «Живой журнал» оказались в открытом доступе, сообщают «Ведомости» со ссылкой на основателя и технического директора компании DeviceLock Ашота Оганесяна. База включает в себя информацию о 33,7 млн пользователей, в частности, идентификатор, адрес электронной почты, ссылку на профиль и пароль от его блога.

Утечка произошла в 2014 году, база продавалась на форумах в «даркнете», объяснил Оганесян. В начале мая в бесплатный доступ её выложил пользователь Винни Тройя. Газета отмечает, что логин совпадает с именем известного американского исследователя в области кибербезопасности, который обнаружил утечку данных 1,2 млрд пользователей Facebook, Twitter, LinkedIn и сервиса Github в 2019 году.

Данные некоторых пользователей, опрошенных «Ведомостями», оказались актуальными. 10 мая администрация сервиса разослала пользователям письмо с рекомендацией изменить пароль в течение пяти дней из-за изменения требований платформы.

С 2016 года сервис принадлежит Rambler Group, напоминает газета.

Мы не признаем достоверность информации об утечке, так как заявленный массив состоит из неактуальных и сфальсифицированных данных. Свыше шести лет мы используем систему защиты от подозрительных авторизаций и усовершенствовали механизм хранения паролей. Сейчас в группе риска могли оказаться именно те пользователи, которые не меняли пароли с того времени, — их пароли будут принудительно сброшены.

Мы регулярно информируем наших пользователей о необходимости смены пароля и сделали это и в настоящий момент. Информация, распространяемая в сети о якобы «массовой утечке» данных пользователей ЖЖ, не соответствует действительности — это одна из кликбейтных новостей, задача которой — привлечь интерес к третьей стороне в данном вопросе

представитель Rambler Group

Специалисты DeviceLock выяснили, что около 69% пар «почта — пароль» оказались уникальными и никогда раньше не встречались в других утечках. По словам Оганесяна, утечка свидетельствует об уязвимости, заложенной еще при проектировании системы.

Данные многих аккаунтов устарели, считает технический директор компании Qrator Labs Артем Гавриченков. Однако пароли могут подходить для других сервисов и почтовых ящиков пользователей, заявил он.

{ "author_name": "Лиана Липанова", "author_type": "editor", "tags": ["\u0443\u0442\u0435\u0447\u043a\u0438\u0434\u0430\u043d\u043d\u044b\u0445","\u043d\u043e\u0432\u043e\u0441\u0442\u044c","\u043d\u043e\u0432\u043e\u0441\u0442\u0438"], "comments": 22, "likes": 8, "favorites": 5, "is_advertisement": false, "subsite_label": "services", "id": 126369, "is_wide": false, "is_ugc": false, "date": "Tue, 12 May 2020 10:03:25 +0300", "is_special": false }
Альфа-Капитал
«Альфа-Капитал» трансформировалась в цифровую компанию
О том, как это было, рассказывает первый заместитель генерального директора УК «Альфа-Капитал» Юрий Григорьян.
Объявление на vc.ru
0
22 комментария
Популярные
По порядку
Написать комментарий...
11

Данные некоторых пользователей, опрошенных «Ведомостями», оказались актуальными. Администрация сервиса попросила сменить пароли.
@
Rambler Group: Мы не признаем достоверность информации об утечке, так как заявленный массив состоит из неактуальных и сфальсифицированных данных.

Ответить
5

Реакция Рамблера — это полный адище, компания жёстко подставляет собственных пользователей.

Многие используют везде одинаковые логины и пароли. Значит, хотя ЖЖ и деактивировал пароли у себя, злоумышленникам достаточно попробовать те же пары логин/пароль на других сервисах, чтобы получить доступ ко множеству аккаунтов.

В такой ситуации от Рамблера требуется срочно сообщить пользователям «ваш пароль скомпрометирован», чтобы они могли принять меры и поменяли его на других сервисах. Он вместо этого отрицает реальную утечку.

По-моему, это самая мощная антиреклама Рамблера, которую можно придумать: компания наглядно демонстрирует, что готова делать хуже своим собственным пользователям. Как ещё где-то у них заводить пароль, если там могут не только его продолбать, но даже не сообщить мне об этом?

Ответить
3

"По словам Оганесяна, утечка свидетельствует об уязвимости, заложенной еще при проектировании системы."

И вообще во всем виноват прошлый режим, с них и спрос.

Ответить
1

По словам Оганесяна, утечка свидетельствует об уязвимости, заложенной еще при проектировании системы

Если я правильно помню (уж больно старые системы обсуждаются), ЖЖ изначально был основан на Movable Type. Соответственно ноги уязвимости (if any) могут расти оттуда.

Использовал ли он систему как есть, какую-то её модификацию, или впоследствии отошёл от неё вообще — лучше спросить владеющих более актуальной информацией.

Ответить
1

Изначально его написал Брэд Фицпатрик в 1999 году. Потом его перекупили Six Apart, разработчики movable type. Правда не совсем понятно перевели они LJ на movable type или нет. В описании компании они указаны как отдельные платформы.

Ответить
0

Вряд ли есть что-то более зашкваренное, низкокачественное, чем жежешка, ставшая таковой после появления хоббита Бармина и его всратой команды монетизаторов. Вспомнил, есть: ли.ру. Если он не умер, конечно, проверять брезгую

Ответить
0

Читаю там Лебедева (вопрос считается ли он зашкваром и низким качеством оставлю за рамками обсуждения)

Ответить
3

Нет, не является. И ряд сообществ, и горстка оставшихся блогеров. Но согласитесь, году в 2007 это был чуть ли не мыслительный центр рунета. А сейчас это репост за жетоны и жетоны за репост.

Ответить
0

а там кто-то ещё сидит? для меня новость звучит как "взломали базу данных icq", ну взломали а какой с этого прок? у меня с тех пор даже емайл для восстановления паролей изменился, это же расцвет проекта - 2002...2006 год, оценочно.

Ответить
1

Часто пользователи используют одинаковые пароли на разных сервисах, поэтому прок очень даже норм. 

Ответить
0

все же 15...18 лет использовать одни и те же пароли (с учетом что восстановление сейчас много где с привязкой к телефону и емайлу), ну условный очень профит.

Ответить
0

Легко. 
Учитывая, что люди используют qwerty123, я думаю база более чем профитная.
Это же аля "Одноклассники", там очень разная аудитория, и думаю большинство об интернет-безопасности даже не задумывается, а многие кто задумываются — ленятся. 

Ответить
0

Ну а где ещё сидеть, не в Фейсбуке же страдать. 

Ответить
1

LJ была платформа для создания оригинального контента без возможности нормальной монетизации, преимущественно текстового это просто неособо трендово сейчас, имхо. ФБ, ВК и прочие СС тоже уходят вслед за LJ. ну FB будет тянуть интеграция с мессенджером на котором многие в мире общаются, + привязка к инсте и вотсаппу.

Ответить
0

Рамблер как всегда: "вы все врёте"

Ответить
0

Опровергли утечку, ага.

Ответить
0

"Мы сохранили вашу текущую сессиию"

Как и сессию тех, кто уже успел войти под вашим паролем.

Ответить
0

Из этой новости мы узнали, что у «Живого Журнала» до сих пор есть пользователи.

Ответить
0

Хммм... Недавно у меня древний почтовый ящик вскрыли по которому я как раз регился в ЖЖ. Пароли в ЖЖ и на ящике были похожи. Мне, конечно, пофиг ибо я уже давно им не пользовался и на него ничего не было серьезного зарегано. Но может это как раз по причине утечки ЖЖ 

Ответить
0

"владелец сервиса опроверг утечку" и прислал в почту веселое письмо про  обязательный сброс пароля.

Ответить

Прямой эфир