В «Яндексе» рассказали об утечке данных 5 тысяч почтовых ящиков по вине сисадмина с высоким уровнем доступа Статьи редакции
Владельцам ящиков направили уведомление о смене пароля.
Во время внутреннего расследования «Яндекс» обнаружил, что сотрудник компании предоставлял несанкционированный доступ в почтовые ящики пользователей.
Это был один из трёх системных администраторов, обладавших правами доступа, необходимыми для выполнения рабочих задач по обеспечению технической поддержки сервиса, говорят в компании.
В результате действий сисадмина было скомпрометировано 4887 почтовых ящиков. Неавторизованный доступ в них уже заблокирован, а сотрудника уволят из компании, рассказали vc.ru в «Яндексе».
Компания планирует пересмотреть процессы работы сотрудников, обладающих административными правами такого уровня доступа. «Яндекс» также обратилась в правоохранительные органы, детали обращения в компании не раскрывают.
Прикольно. Лучше бы написали, что стало с сисьадмином. И много ли он заработал, выдавая доступ явно не к почтам простых московских школьников.
Доступ к ящикам "не школьников" у кого надо и так есть, для этого не нужно вербовать сисадмина. А этот чел продавал доступ ревнивым женам к почтовую ящику мужа (и наоборот) — думаю это был основной use case
Да. Да. Вы правы. Мне ничего не пришло, значит, мой ящик не был взломан? А кому пришло?
Написано же что уволили. По сути то может ещё и уголовку пришили. Вряд ли кто то в лес катал Год пособирать ;)
Вот это да..."Лучшие работают с нами" - говорили они)
Комментарий недоступен
Яндекс хотя бы говорит об этом открыто, а не молчит до последнего как Сбер, когда у него 50 лямов учеток слил сотрудник.
Ну теперь вы знаете, что речь шла не про морально-этические качества
Комментарий недоступен
Он просто лучше всех сдал тест по русскому языку)) Вот и прошел
Яндекс готова выплатить по несколько млн рублей за персональные дайные, нарушения тайны переписки и т.д.? @Яндекс
Это разумное и справедливое решение, решить мирно и не подорвать свою репутацию. Так же нужно сообщить, куда и зачем предоставлись эти даныне
Комментарий недоступен
В теории пострадавшие должны подать в суд на сисадмина и взыскать с него?
То есть надо было молчать?
Это свой сукен сын его дербанить не будут
Тут есть прикольная деталь: "Компания планирует пересмотреть процессы работы сотрудников, обладающих административными правами такого уровня доступа".
Люди ошибаются всегда и задача компании — создать условия, когда ошибка не приводит к последствиям. Яндекс показывает очень хороший и адекватный пример, когда не только поругали сотрудника, но и починили у себя. Можно кидать ссылку на этот пресс-релиз тем, кто во время утечек только шеймит исполнителей.
- с логикой согласен, с оценкой нет: "поругали" - почему смягчаете? в тексте - "уволили"; "починили" - опять смягчаете, в тексте "планируют пересмотреть". Тут вопросы: почему эти процессы раньше никто не анализировал, а если анализировал, то какое наказание положено тому сотруднику ИБ или аналитику который эти процессы разработал? Почему одна из крупнейших на российском рынке IT компаний, которая хорошо знает что такое утечки данных, зашевелилась только тогда когда эта утечка произошла?
Как мило 🤗
А мне в соседней теме два упоротых (видимо, сотрудника Яндекса) прямо сейчас пытаются доказать, что Яндексу можно доверить даже фото своих паспортов 🤭
Я никому не доверяю
один из трёх системных администраторов - по обеспечению технической поддержки сервиса А я голову ломаю че у них не так теподдержкой, а оно вон че петрович...
Теперь будет хуже. Осталось два
В статье довольно размыто описано, что за роль. Если это системный администратор, эксплатирующий какую-то часть почтовой инфраструктуры и при этом имеющий возможность как запросы в базу делать, так и в хранилище писем, то он поддержкой пользователей не занимается.
А есть речь про специалиста пользовательской поддержки, то их, вроде, сисадминами не называют (хотя они тоже весьма квалифицированные в техническом отношении).
Только мне это напоминает анекдот про уборщицу и "половина города без интернета"?
А, если серьезно, грустно... развиваешь сервис, вкладываешься в надежность и продвижение, а потом доверие теряется из-за алчности одного из сотрудников
Но они молодцы, что опубликовали новость. Многие и этого не делают
- да, молодцы, но похоже скрыть уже невозможно - там дело шьют
Нет это неверная архитектура. Админам не нужен доступ к данным.
Комментарий недоступен
Они обязаны это делать - публичная компания.
Я не переживу если там спиздят мою коллекцию спам рассылок!!
Привет.
Изучаю сейчас проблемы управления доступом в компаниях, напишите тут или в личку, кто готов пообщаться и рассказать про текущие неудобства запроса доступа или долгого ожидания предоставления доступа в компании или кто сейчас выбирает систему управления доступами.
Увы, но часто, на переизбыток доступов не обращают внимания как раз до того момента пока не произойдут вот такие вот инциденты. Туда же идёт аудит прав доступа, который мало кто воспринимает всерьёз.
Меня во всей этой истории вот что интересует: для чего была рассылка о смене пароля учетной записи? Они их что, в открытом виде хранят и в таком виде были слиты на сторону?
То, что пароли хранятся в хешированном виде, не значит, что нельзя перехватить и подсмотреть те пароли, которые пользователи присылают при аутентификации.
- да, тут непонятно, но возможны варианты: от скуки подобрал / заглянул в отправленное при смене пароля / попадает в логи на уровне debug и т д
Пароли сами себя не проверят на предмет содержания Навального там
Идея, дарю - сумму всей ранее выплаченной зарплаты админу распределить между пострадавшими ящиками на баланс плюса, у кого нет подписки - годовое оформление допом. Вот это я понимаю извинения будут)
И получится тысяча рублей на человека, очень щедрые извинения за продажу почты
Правда думаешь там почты людей у которых нет денег на годовой плюс?)
Ну раздать зарплату это конечно популизм. А вот идея страхования от разглашения персональных данных или другой чувствительной информации давно уже витает в воздухе.
- Что случилось с данными?
- Они утекли.
Ну хорошо хоть честно написали пресс релиз, а не стали замалчивать это событие
Новость конечно не очень, но отдельный респект что не стали замалчивать и скрывать
Это какой-то отдельный вид подхалимства — хвалить компанию за то, что она в принципе обязана и так делать, без похвалы? 🤔
ждем скандалы и разоблачения)
Хз, если сравнивать со сливами на сотни тысяч или даже миллионы от банков или того же РЖД – цифра не критичная будто
Спасибо хоть рассказали
Комментарий недоступен
Это дежурные фразы для успокоения
То есть, там админы видят пароли? То есть, они могут запросто зайти кому то на почту, и удалить какое то письмо, или сташить что то, или отправить письмо оттуда. Если это так, то остальыне 2 админы сидят на мешке с золотом, и скорее всего уже плотно сотрудничают с определенными заинтересованными товарищами.
То есть, если у тебя почта на Яндекс,. то ты страус.
Администраторы не видят пароли, но т.к. письма - это просто поля и значения с базе данных (плюс файлики, лежащие на диске), то у администраторов есть доступы к этим самым базам данных.
Грубо говоря, администраторы не знают пароль от сейфа, но находятся физически в этом сейфе, поэтому для доступа к данным пароль от сейфа не нужен.
Комментарий недоступен
Вот что значит платить ниже рынка..
мне пришло уведомление что с моим паролем входили из пекина и Джакарты, Яндекс совсем дауны чтоли, чтобы хранить пароли в нешифрованном виде?
Сисадмина жалко больше всего)
Он знал на что идёт
Сисадмину премию Дарвина и расстрелять :E
Ну а почему жалко? Ему наверняка не мало заплатили за этот слив, и он прекрасно понимал все риски
😂ой прикол!
Госстайл👌🏾
В чем тут госстайл? Яндекс открыто в своём пресс релизе заявляет об этом, а не молчит, чтобы не дай бог что.
Спасибо, неизвестный Гален Эрсо! Квасные патриоты и слабовики, которые пользовались "нашей" почтовой службой, а не "ихней" теперь как на ладони.
Ну что? спрятали лица под балаклавами? помогло? Родина о вас и дальше будет заботиться.
P.s. Только что то маловато. всего 5тыс(((
Комментарий недоступен
Шо, неужель ЦРУ?
Шо, неужель кокс?
Комментарий недоступен
Оно вскрылось бы.
Тот случай, когда ценность должности "одного из трех сисадминов" (причем, в гиганте рынка) стоит дешевле пароли 5 тыс почтовых ящиков...
Я думаю там были специальные почтовые ящики. Не простых людей.
Что в этой новости видит обыватель: Яндекс признает ошибку и принял меры к устранению последствий. Какой молодец Яндекс!
Что вижу я: пароли в Яндексе хранятся в открытом виде. Иначе никаких последствий от утечки соленых хешей не было бы.
☺️
- не факт
Фраза «предоставлял несанкционированный доступ в почтовые ящики» никак не упоминает ничего про хэши, пароли и их утечку.
Думаю, что товарищ просто делал связку между аккаунтом жертвы и аккаунтом бенефициара, таким образом позволяя получить доступ к почте и обойти антифрод, который реагирует на более ранних рубежах, где как раз таки уже фигурирует пароль.
Еще более простой способ, когда ты просто даешь доступ к экрану на виртуалке, которая потом утилизируется, а доступ с виртуалки из под собственного юзера.
Учитывая, что товарищей с уровнем такого доступа всего трое на всю Ивановскую, то можно очень долго придумывать архитектурные извращения позволяющие нарушить законодательство, ибо обычно у них это что-то вроде должностной обязанности :)
вопрос работал ли на момент обнаружения утечки
> Компания планирует пересмотреть..тонкая грань между "как можно из единичного случая раздуть закон, бешеный принтер!!" и "ну зачем что-то делать, это второй случай за 20 лет"
Комментарий недоступен
сомневаюсь, что в суперзашищенной системе идиот установит пароль)))
Инфоповод. Не более того. Главное, что оповестили тех, кого скомпромитировали. Остальным это знать ни к чему.
молодцы, что прямо об этом рассказали.
Истинно вам говорю, и сам не очень понимаю, как это работает, но факт. У кого почта на Яндексе - это всё, что надо понимать о долбоёбе человека. Казаазлось бы. Но нет, это так. Магия, сами можете проверить.
Понять и простить?
Я его на бочку с порохом посадил, пущай полетает (с) Иван Васильевич
Кстати, может кто подскажет хороший вариант почтового хостинга для своих домена (если платный, то не очень дорогой)?
Сейчас для некоторых использую яндекс.коннект, в целом удобный, но из-за того, что «решето» - думаю куда «переехать». Заранее спасибо за варианты, отличные от «поднять и самому хостить/админить».
Сори за «немного оффтоп»
В репертуаре Яндекса могут быть и без утечки любые похожие перлы. Аля "На ваш ящик напали хакеры" , хотя нам по каким-либо причинам нужно, чтобы Вы снова подтвердили свои учетные данные...
а лучше этого точно не будет https://coinmarketcap.com/
У Яндекса самая дерьмовая почта. Mail.ru сто крат лучше.
@Яндекс А владельцев вы оповестили?
Я не шарю в этом, но получается, пароли на яндекс почте просто лежат где-то в txt формат не зашифрованные?
На бумаге хранят. Это надежнее, как оказалось
Вероятно у него долг перед банком и был вынужден на такой шаг. Жалка сисадмина.😭
Комментарий недоступен
Помним историю и с сотрудником Яндекс.маркета, который создал проблем торгующему у них магазину.
У меня же большие подозрения, что продажные шкуры в отделах модерации директа. Блочаь рк на сайты в одной нише, кроме одного избранного. По самому продающему запросу. И вот все эти истории прям подтверждают эту теорию.
Ах да, раньше ещё ходила байка, что чтобы попасть в ЯК в раздел финансов нужно было иметь выход на модератора и некую сумму 😅
Да, когда-то от дырявости почтового ящика яндекса взломали почту и все их встронные сервисы в этом не смогли помочь, очень тогда разочаровался и решил больше не использоваться как основную почту.
5000 в одно лицо? Многовато. А вот что слилось х100 х1000 от 5000, гораздо реальнее выглядит, но перед отчетом скажем, что всего 5000, злодей пойман и наказан. все ок, человеческий фактор
Вообще-то скомпрометированных ящиков гораздо больше заявленных 4 887. Пиарщики опять пытаются выдать желаемое за действительное.
Не удивлюсь, если на самом деле - это все таки ошибка системы (ПО), а на чела всю вину повесили
Да, наверно за слив информации ему не мало заплатили, раз на такое решился..чудак
Рекомендую ознакомиться с позицией директора по распространению технологий компании Яндекс, Григория Бакунова
https://t.me/addmeto/3897
"Не мы первые обосрались, здесь так принято!"
Я не понимаю.
1. Пароль от ящика храниться в зашифрованном виде?
2. Админ может зайти в ящик пользователя, если не знает пароль?
3. Кто то хранит что то интересное в почте сейчас?
4. 5 тысяч из множества - какой алгоритм отбора?
Все ящики были с привязанными, подтверждёнными и долгое время не используемыми электронных кошельков.
То есть - электронный обнал
Как заявила Кристина Сухорукова, пока идет расследование, но данный инцидент не единичный, поэтому стоит ожидать налоговых претензий к пользователям у которых без их ведома проводились платежные операции на кошельках
УРА УРА УРА. Я
Мораль такова, что при капитализме - root раздавать нельзя)
яшка их по-мiру пустил