Компания
902,19
рейтинг
9 сентября 2014 в 08:50

Разработка → Про утечку базы паролей пользователей



Вчера на Хабре в комментариях к статье про утечку базы паролей Яндекса появилась информация о том, что в сеть попала база паролей от почтовых ящиков Mail.Ru. Мы проанализировали все аккаунты, оказавшиеся в этой базе, и хотим рассказать о том, что это было и какие мы приняли меры.

Что произошло? Откуда база?

Массового взлома, имеющего под собой какую-то конкретную причину или дыру в безопасности, не произошло. Анализ базы показал, что, скорее всего, она собиралась по частям из нескольких баз паролей, которые были украдены у пользователей в разное время и разными способами, в том числе при помощи вирусов, фишинга и т.п.

Что дает нам основания так думать?

Во-первых, довольно большой процент паролей из попавшей в сеть базы на данный момент неактуален, то есть владельцы ящиков уже успели их сменить.

Во-вторых, примерно 95% оставшихся аккаунтов уже проходят у нас в системе как подозрительные (то есть мы считаем, что они либо созданы роботом, либо взломаны). Такие аккаунты ограничены в отправке почты, а их владельцам мы рекомендуем сменить пароль.

Как это работает? У нас существует сложная система, которая, начиная с регистрации, анализирует действия каждого аккаунта по целому ряду критериев (рассказывать обо всех мы не хотим, чтобы не облегчать злоумышленникам жизнь, но например, один из самых очевидных – попытка рассылки спама с этого аккаунта или резкая смена паттерна поведения). В этой системе у каждого аккаунта есть динамический рейтинг (называется «карма»). Как только карма падает ниже определенного параметра, к аккаунту начинают применяться разные санкции, в том числе настойчивая рекомендация сменить пароль.

Таким образом, владельцы почти всех ящиков из найденной базы, пароли для которых оказались до сих пор актуальны, уже давно получали от нас уведомление, что с их ящика зафиксирована подозрительная активность и что им нужно как можно скорее сменить пароль. Судя по тому, что они этого до сих пор не сделали, напрашивается вывод, что многие из них – это «авторегистрации». Такие ящики, как правило, не восстанавливаются после блокировки, поскольку обходить защиту для смены пароля злоумышленникам довольно дорого. Еще значительная часть – это брошенные владельцами ящики (ведь сложно активно пользоваться аккаунтом, если тебе не разрешают отправлять почту, а в почтовом ящике все время всплывает окно с просьбой сменить пароль).

А как же оставшиеся 5%?

В течение вчерашнего дня владельцы этих ящиков уже получили уведомление о необходимости сменить пароль.

И всё же, как увели ящики?

Самые распространенные способы взлома ящиков – это фишинг, вирусы на пользовательских компьютерах и слишком простые пароли. Еще одна очень распространенная ситуация: пользователи ленятся придумывать уникальные пароли для каждого из своих аккаунтов и используют пароль от почты на форумах, торрент-трекерах или еще каких-то ресурсах с низким уровнем защиты, которые потом подвергаются атаке. В результате злоумышленники получают доступ к целой базе паролей, а затем подбирают их к другим сервисам, в первую очередь, к ящикам, которые часто указываются в качестве логина или способа связи.

Мы настоятельно рекомендуем иметь отдельный и очень надежный пароль на почтовом аккаунте, так как на него завязаны многие другие сервисы.

А что мы делаем, чтобы защищать своих пользователей?

Мы действительно очень много делаем для того, чтобы предотвратить «угоны» ящиков.

Во-первых, мы исключили возможность MITM-атаки, потому что передача пользовательских данных и в веб-интерфейсе, и в наших мобильных приложениях, и по в POP/IMAP/SMTP в Почте Mail.Ru происходит через HTTPS/TLS/STARTTLS. Более того, в веб-интерфейсе HTTPS работает всегда по умолчанию, с помощью технологии Strict Transport Security (STS), которая заставляет браузер всегда обращаться в Почте Mail.Ru сразу по HTTPS.

Кстати, в отличие от того же Яндекса, наша главная страница также работает всегда по HTTPS и защищена через STS, что делает невозможной кражу пароля через атаку SSL Strip. 

Перехватить пароль от Mail.Ru через MITM-атаку IMAP-сервиса тоже невозможно, поскольку наш IMAP-сервис всегда и везде работает только по TLS/STARTTLS. Это важно, поскольку именно IMAP-сервис в наибольшей степени подвержен этой атаке, так как его часто используют на мобильных приложениях, а слушать трафик удобнее всего именно с Wi-Fi-сетей. Кроме того, такой защитой пренебрегают некоторые почтовые сервисы, и злоумышленники об этом знают.

Также хотелось бы отметить, что утечка подобных данных изнутри компании практически исключена. Доступ к продакшн-серверам и базам данных жестко регламентирован. Кроме того, пароли пользователей Mail.Ru хранятся в зашифрованном и «соленом» виде (то есть при шифровании к паролям подмешиваются дополнительные данные).  Это означает, что даже кража базы паролей не допускает возможность ее расшифровки. Но и сама кража невозможна благодаря многоуровневой системе защиты.

Итак

Мы очень стараемся защитить наших пользователей. Только за последние год-два мы внедрили целый ряд крупных секьюрити-фич, например, принудительный HTTPS в Почте и на главной странице портала, content security policy, разделение сессий на портале и многое другое. Запустили программу Bug Bounty.

К сожалению, все наши усилия будут напрасны, если пользователь не сделает свою часть работы по защите почтового ящика. Мы, как и многие другие интернет-сервисы, постоянно говорим об этом пользователям, в том числе и на Хабре, где у нас был очень подробный пост о том, как взламывают ящики и что нужно делать, чтобы защитить свои данные. Говорить о них подробно сейчас не будем, напомним лишь основные: пароль для Почты должен быть а) сложным, б) уникальным и в) его желательно регулярно (в идеале – не реже, чем раз в три месяца) менять.
Автор: @TeamMRG

Комментарии (57)

  • +97
    Где-то я такое читал. Ах да, объяснение Яндекса habrahabr.ru/company/yandex/blog/236007/
    • +9
      Абсолютно согласен. Та же вода. Из трех ящиков (2 мейла и 1 яндекса) один мейловский, которым пользуюсь уже с 10 лет, оказался в базе. Пароль менял пол года назад, даже может и раньше — и isleaked.com/ выдал верную инфу. Письма о необходимости смены пароля не получал, стоит полная переадресация на Gmail. Что интересно, второй ящик мейла старее на год и с тем же паролем — в базе не обнаружен. На адрес, что был «слит» (или как этот процесс правильно назвать?!), был зарегистрирован аккаунт в одноклассниках, который я закрыл пару месяцев назад… И тут Остапа понесло...

      ЗЫ: Пароли, конечно, поменял.
      • +4
        Напишите, пожалуйста, имя ящика (мне в личку). Мы обязательно разберемся, почему вы не получили уведомление
    • +3
      А я вот где это слышал: «Apple: iCloud ни при чем, знаменитости пали жертвой направленных атак „
      http://habrahabr.ru/company/eset/blog/235539/
  • +5
    Все же есть в этом сливе что-то полезное. Мой пароль вчера тоже оказался в списке слитых. Раньше везде один пароль использовал, когда вечером о сливе стало известно — поменял абсолютно везде на уникальные. С изрядной долей скептицизма отношусь к столь массовому сливу, да и вообще немало был удивлен увидев свой пароль (у меня OSX, да и нигде кроме вашего сайта пароль не вводил), но уж что есть… И да, вы бы аккаунты все же блокировали полностью, а не просто писали рекомендательную табличку о смене пароля и блокировке отправки (!) писем. У меня кроме спама ничего в ящике не было, но обычно ценность во входящей почте, а не исходящей.
    • +5
      Гляжу все же заблокировали все аккаунты, да еще и номер мобильного вводить заставили. Вот только новый пароль, заданный еще вчера, снова заставили менять — якобы он «попал в список скомпрометированных». Спасибо за такую заботу о безопасности, но право не стоило.
      • +10
        Вообще правильно, так как пароль могли не вы сменить, а злоумышленник.
        • +1
          При смене пароля запрашивали еще вчера код, который на мобильный отправлялся.
          • –3
            Согласен — бред. Да и вводить свой номер я не хочу, а по другому сменить пароль не позволяет. Мне такой сервис совсем не по душе, пусть остается заблокированным, главное спам принимает.
  • +36
    Мир сошел с ума! Во всех новостях трубят: Утечка! Взломали! и тд.
    Господа, какая утечка, 4.5 кк аккаунтов, объем для школьников.
    В продаже всегда крутятся данные того же mail в размере 30-50кк.
    ПОСТОЯННО продаются, покупаются, обновляются.
    Это никого не волнует и не беспокоит. А вот выложенные в свободный доступ 4.5 кк отработанных(100% прочеканые на всё, к тому же прошлогодние) привели массы в ужас)
    Учитесь элементарным методам предохранения в сети, и будет вам счастье вместо головных болей!
    • +1
      База определенно не прошлогодняя. Аккаунты с указанными паролями все были действующие, мой в том числе, на котором пароль не так и давно менялся.
      • +2
        А разве много юзеров с прошлого года поменяли пароль? Единицы)
    • 0
      Там было около 50 двухсимвольных и 2500 трех символьных.

      Всё же, то что продается — это специально нагенерированные емаилы. А тут, часть, — это живые люди.
      • +2
        М да, наверно я вам открою «Америку», продаются как автореги(зарегистрированные мейлы специально для продажи) так и аккаунты живых пользователей.
        Причем в продаже 1-3кк авторегов и более 30кк данных пользователей(это то сколько я знаю и вижу, возможно больше).
        Постоянно пополняются данные, продаются, обмениваются и тд.
        И тут не вина почтовика, все дело в отсутствии понимания простейших правил безопасности у пользователей.
    • +2
      NSA тоже имеет много инструментов (да и вообще многие спецслужбы), но они не попадают в паблик. А когда попадает в паблик информация о них (даже просто информация), то начинается скандал (привет Сноуден). Так и тут, когда обычные юзеры видят новость что украли столько то паролей, то для них это повод нервничать (при этом это не просто информация, а уже довольно актуальные данные).

      И да, почем нынче на рынке база из 4.5 миллионов аккаунтов? Вы так говорите для школьников, будто она копейки стоит.
      • +2
        4.5кк свежих данных 20-30к.р., но свежих, не паханных аккаунтов практически нет в продаже, только у первоисточника и только большими объемами.
        Соответственно сейлеры комментируют то на что аккаунты были проверены (платежные сервисы, игровые, социалки и тд.), чем больше «вспаханы» аккаунты тем они дешевле.
        Надеюсь вы понимаете, что аккаунт можно проверить на вообще всё на свете и он после будет рабочим!? )
        Те которые выложили, большой ценности скорее всего не имели.
        Соответственно их максимум можно было отдать под спам 5к.руб. может дороже если есть предпринимательская жилка.
        Выводы делайте сами, на сколько эта «утечка» 4.5 кк является утечкой.
        Как по мне кто то выкинул мусор, так сказать «паржать»
  • +2
    Я как-то делал эксперимент с MITMом и IMAPS/POP3S. Процентов 20% пользователей неглядя подтверждают фейковые сертификаты, которые им предлагаются при соединении.
    Ещё 10-15% можно заМИТМить, если фейковые сертификаты имеют поля (CN, OU, O etc) идентичные с полями что и в оригинальных сертификатах.
    • 0
      Сейчас браузеры стали строже, тот же Хром например часто просто не дает зайти на сайт, не выводя никакие кнопочки вроде «я понимаю, подтверждаю исключение».
  • 0
    кому интересно, свободно гуглятся и базы gmail.com… Может кто статью напишет на хабре)

    Документы вк, могут помочь тем, кто не желает сильно заморачиваться с поиском.

    Остальные базы из прошлых постов там тоже есть.

    Кстати, учётки базы маил ру — рабочие… Я зашёл в одну, сменил пароль, отказался от ввода номера телефона и попал в почту человека. Почта активная. Вы бы как-нибудь прокачали алгоритм, я хз.

    *Пароль, естественно, обратно сменил на какой был.
    • 0
      по какому запросу гуглятся базы gmail.com? :)
  • +1
    Кто-то явно делится новыми словарями для брута.
  • +1
    Нашел в базе один из своих старых почтовых ящиков. Пароль там довольно надежный — 13 символов в двух регистрах со спецсимволами. На кросс чеке попался врятли, т.к. пароли от почтовых ящиков нигде не использую. Фишинг тоже сомнительно — когда ввожу пароль всегда проверяю наличие хттпс. В общем очень странно. Хотя почта старая, может когда-то давно не досмотрел…
  • 0
    Вы перемудрили с антиспамом. У меня и у коллеги ящики на mail.ru, мы уже 5 лет активно переписываемся, но при этом год назад его письма началаи падать мне в «спам», а недавно мои начали падать в «спам» у него. Вопрос: почему вы сделали такой странный алгоритм антиспам? Спасибо за внимание к этой проблеме!
    • +3
      Возможно, он или вы случайно нажали кнопку «Спам» на письмах друг от друга. Можете написать в личку ваш ящик и ящик вашего коллеги, чтобы мы разобрались, что происходит?
  • 0
    Я тут недавно в исследовательских целях получил абсолютно валидный SSL-сертификат для my.com, даже два в двух разных Certification Authority, о чем сообщил уважаемым (есть тикет) при этом не взламывая совершенно ничего. Так что «пользователи принимают сертификат не глядя» — не самая страшная проблема…

    Представим, какая-то неведомая хрень сделала приписки вам в /etc/hosts или подменила/сMITMила резолвер, вы, %username%, заходите на сайт, радостно видите https, и совпадающий домен. Какова вероятность, что вы заподозрите что-то неладное и на каком этапе? Сертификаты у всех самого начального уровня и «зелёной адресной строки» ни у mailru, ни у яндекса нет.

    А в случае с мобильным приложением, вообще без шансов.

    Поснифал протокол и склоняюсь к выводу, что кража токена (логика аналогична cookie) вполне возможна и таки приведёт к disclosure (однако не проверял, так как это не совсем законно, но смена IP и страны не заставила сделать переавторизацию);

    FraudSSL + интервенции в работу DNS — полноценный MITM, который не так-то просто обнаружить.
    • 0
      Я правильно понимаю, что ключевым элементом вашей возможной атаки является установка «неведомой хрени» на комп/телефон пользователя без его ведома? Если так, то никакой SSL ломать не нужно, все решается key logger'ом, который благополучно украдет ваш пароль.
      Отсюда мораль: проверяйте свой компьютер постоянно на вирусы. Никакая система безопасности никакого сервиса не спасет от вируса, работающего на вашем компьютере.
      • 0
        достаточно интервенций в работу DNS-резолвера (я так один раз случайно ошибся IP-адресом при настройке сети на дедике и перетянул на себя резолвер датацентра).

        Уточню. SSL-сертификат, выданный центром сертификации, который по-умолчанию признаётся без доп. вмешательств (в моём случае ЦС — компания уровня Comodo).

        • 0
          Помню года 4 назад на нике ошибившись в настройках(имя домена) днс мастере изменил А-записи другому домену и в итоге энное время им отдавался мой ipшник пока сам не заметил косяк.
    • 0
      Я могу сам сделать абсолютно валидный SSL-сертификат для my.com, вопрос только в том, кто будет для него родителем.

      Если родитель недоверенный, то пользы от такого сертификата ноль.
      • 0
        родитель доверенный. Сертификат получен от действующей Certification Authority (см. выше)
    • 0
      А можете чуть подробнее?)
  • 0
    А как выглядит предложение сменить пароль? Высылалось письмо на почту? А то если это только web интерфейс не совсем достаточно. Я к примеру через Web интерфейс редко почту смотрю.
  • +1
    Вопрос к mail.ru.

    Как хранятся пароли, которые используются в механизме «забора почты с других почтовых ящиков».

    Заранее спасибо!
    • +6
      Они хранятся в зашифрованном ассимитричным алгоритмом виде. Ключ на шифрование в том месте, где они создаются и ключ для расшифрования в том месте, где они используются.
      Более того, в отличие от других российских почтовых сервисов, при сборе с GMail мы авторизуемся через OAuth, т.е. пароли от GMail мы не храним вообще.
      • 0
        Спасибо за ответ!
        Так всегда было или «начиная с какого-то момента»?
        • +3
          Ну вы же знаете, что крупные почтовые проекты появлялись в конце 90ых, когда не все браузеры и https-то толком поддерживали. Понятно, что многие фичи безопасности появляются со временем, и в соответствии с текущими реалями, а не создаются раз и на всегда при старте проекта.
          • 0
            А можете точно обозначить момент, когда данные авторизации перестали ходить в открытом виде везде по системе?
  • 0
    Кстати, что интересно, один из ящиков был в списке с валидным паролем, ящик зарегистрировал максимум — два года назад.
    Чисто для тестирования (то есть нигде не регался на него, не светил, использовался только на одном лэптопе, на рабочем (офисная сеть, достаточно безопасная));
    Фишинг — вряд ли, всегда проверяю урлы, сертификаты и прочее.
    Вирус/троян/кейлоггер — сомневаюсь, пользуюсь макосью, ничего левого не ставил, джава и флеш в браузерах отключены.
    Трюки с DNS — тоже сомневаюсь, так как тогда бы были вероятно в списке все мои почты на мейле.
    • 0
      Если ни где не регали на него, ни в какой почтовой или иной программе с доступом к почтовику не использовали, а для тестирования чего тогда использовали!? )))
      Если нигде его не засветили, то и не всплыл бы — ФАКТ, ну если только у вас пароль не «qwetry» так как почту можно даже ногами с «моего мира» собрать!
  • 0
    А что мы делаем, чтобы защищать своих пользователей?

    Двухфакторная аутентификация? Не, не слышал.

    Вот мне интересно, протокол для этой двухфакторной авторизации через Google Authenticator открыт, куча разных провайдеров его используют. Но не mail.ru и yandex. Какая-то есть причина в этом или это NIH-синдром в чистом виде?
    • 0
      Компании не маленькие, вполне могут позволить себе выпустить %СompanyName%-Аутентификатор, если уж название конкурента глаза мозолит.
  • +3
    Кстати, в отличие от того же Яндекса, наша главная страница также работает всегда по HTTPS и защищена через STS, что делает невозможной кражу пароля через атаку SSL Strip.


    Давно ли? Две недели назад только успешно собирал SSLStrip'ом ящики mail.ru на пентесте.
  • +2
    Почти официальное уведомление к Mail.ru
    === Перестаньте требовать от меня телефон, я просто хочу поменять пароль ===
    • 0
      Подпишусь два раза.
      Еще ни одна девушка так страстно и упорно не вымогала у меня телефон.
    • –1
      Вы же понимаете, что поскольку базы паролей опубликованы, то поменять пароль теперь может кто угодно. Поэтому мы заблокировали все эти ящики и восстанавливаем их только после подтверждения старого телефона (если он уже привязан к ящику) или с подтверждением нового телефона. Понятно, что и этот способ не стопроцентный, тк кто угодно может привязать свой телефон к ящику с опубликованным паролем, но этого хотя бы нельзя сделать массово, ибо один телефон у нас запрещено привязывать к большому количеству ящиков.
      • +2
        Вы же понимаете, что если я пытаюсь сменить пароль с ip, с которого заходил на этот ящик последние несколько недель — то скорей всего, я и есть владелец ящика.
        Вы же понимаете, что у меня может и не быть мобильного телефона.
        Вы же понимаете, что согласно пункту 4 стати 5 Федерального закона 153, данные о моем телефонном номере — избыточны для восстановления пароля. Раньше же как-то это делали.
        Вы же понимаете, что компания Mail.ru сейчас хоть и пытается вернуть доброе имя после СпутниковМейлРу и прочего, такие моменты только отталкивают ее обратно в объятия «Мейл ру больше нет веры!»
        • 0
          «заходил на этот ящик последние несколько недель» — вы или злоумышленник заходили.
          • +1
            Я куки не чистил год. Тоже не катит?
            У меня есть архив писем, прошедших через этот ящик (с галочкой Удалять на сервере"). Тоже не катит?
            Я знаю ответ на секретный вопрос. Тоже не катит? Или у меня секретным вопросом пароь и сперли? Тогда в чем суть секретного вопроса, если я не могу его использовать для восстановления пароля?
            • 0
              Вы понимаете ключевое отличие забытого пароля от взломанного ящика? Архив писем, секретный вопрос и проч — это все хорошо, когда вы просто забыли пароль. А если ваш ящик взломан, то почти все что вы знаете про ваш ящик, знает и злоумышленник. Поэтому во втором случае алгоритмы другие. И не только у нас, а и у конкурентов тоже.
              • –1
                Вы понимаете ключевое отличие «Ваш ящик использовался не вами» от «Нам кажется, что ваш ящик взломали»? Смена пароля, указание телефонного номера и проч — это все хорошо, когда у меня на самом деле увели ящик. А если мой пароль из пяти символов оказался в вашем «списке подобранных», то это вообще не должно быть моей проблемой. Поэтому во втором случае алгоритмы другие. Но только не у вас, а у ваших конкурентов.

                Blizzard в свое время не стал требовать у меня ни телефонного номера, ни паспорта, а решили проблему способами, не требующими у меня предоставления дополнительной, не известной им до этого информации.
                • 0
                  В том-то и дело, что не кажется, а точно взломали. Ибо появление ваших логинов и паролей в публичном списке означает, к сожалению, что их знает кто-то кроме вас.
                  Насчет конкурентов, возможно, я не совсем точно сформулировал. Речь именно про почтовые сервисы, а не про игровые сервивы. В почтовых сервисах требование телефона при взломе ящика — это нормальная практика, ибо, еще раз, в случае почтового аккаунта — это практически единственный способ отличить взломщика от владельца.
  • 0
    У меня в черновиках лежит статья на тему как доступ к ящику на mail.ru и соц. инженерия сделали «невозможное возможным». Как я могу ее опубликовать, сохранив свое авторство?
    • 0
      Право авторства или исключительное право?
      Право авторства неотчуждаемо с момента первой публичной публикации (в том числе в интререте), так что можете смело в Хабре писать.
      С исключительным правом сложнее…
      • 0
        Раньше не давало публиковать, писало, что не хватает мне чего-то :)
        Сейчас нажал опубликовать и все получилось — habrahabr.ru/post/236357/
  • –1
    мне кажется, базы были слиты специально, чтобы народ кинулся проверять — а нет ли моего ящика среди сломанных? в сети уже появляются странные сервисы по проверке слитых паролей и я бы в первую очередь предостерег именно от таких сервисов
    • 0
      Просто адрес почты без каких либо таргетов не интересен.
      А вот если на этих сервисах втихую палят профиль в соцсетях и привязывают к почте, тут уже да, данные получаются достаточно сладкими.
      И все кто решил своими руками отдать почту «добрым ребятам» проверяющим по своему списку, обречены на кучу спама!
      Мне их жаль)
      Зачем где то проверять свой пароль? Зашел в почту, сменил пароль, все проблема решена.
      Для профилактики можно еще на других сервисах тоже сменить, там где этот же пароль использовался.
      От смены пароля никому хуже не будет, за то спать можно спокойно.

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.

Самое читаемое Разработка