Компания
644,00
рейтинг
8 сентября 2014 в 14:17

Разработка → 1 000 000 уже неработающих паролей в открытом доступе. Как мы защищаем пользователей Яндекса

Вчера ночью в нескольких местах, в том числе на Хабре, появилась информация о базе паролей к некоторым аккаунтам на Яндексе. За последние несколько часов мы тщательно её проанализировали и пришли к следующим выводам. Во-первых, речь не идёт о взломе Яндекса — данные стали известны злоумышленникам в результате вирусной активности на заражённых компьютерах некоторых пользователей или фишинга. Это не целенаправленная атака, а результат сбора скомпрометированных аккаунтов в течение длительного периода времени.

О 85% скомпрометированных аккаунтов из этой базы нам уже было известно через анализ их поведения или другими способами. Мы предупреждали их владельцев и отправили их на смену пароля, но они этого не сделали. Это означает, что такие аккаунты, скорее всего, заброшены либо созданы роботами.

Проверить, нет ли вас в списке, очень просто — попытайтесь сейчас зайти в Яндекс.Почту. Всех владельцев оставшихся аккаунтов этой ночью мы отправили на принудительную смену пароля.

Конечно, мы не храним пароли открытым текстом, никогда не передаём их по сети открытым текстом и не открываем их любым третьим лицам. Более того, большинство из этих паролей слишком простые, и сейчас их даже установить не получилось бы. Технические и не очень подробности читайте под катом.

Данные пользователей Яндекса, конечно же, не хранятся в открытом виде: мы используем «соленый хеш» с очень длинной (48 бит) солью. Речь не идёт о «кроте» — пароли «утекли» от пользователей, а не из Яндекса.

Эти пароли не могли быть получены в результате пассивного сетевого сниффинга: в Яндексе достаточно давно все ситуации, в которых передается пароль, защищены TLS. Например, в Почте для протоколов POP3, IMAP и SMTP используется STARTTLS или варианты протоколов со включенным TLS. В веб-версии пароль отправляется на passport.yandex.* по https, при этом для этих адресов не только используется HSTS, но и они помещены в так называемый preloaded list для браузеров Chrome, Mozilla и Яндекс.Браузера. Таким образом, трафик на Паспорт всегда приходит по https. Все это позволяет нам исключить версию со сниффингом.

По нашему мнению, опубликованный список паролей является результатом длительной работы: частично он наполнен данными, которые явно были получены в момент их ввода пользователем — либо с помощью клавиатурного шпиона, либо за счет фишинга. Кроме того, не исключена ситуация кросс-чека: если пользователь использует один и тот же пароль на разных ресурсах, взлом на одном из них приводит к компрометации и других учетных записей пользователя.

Среди скомпрометированных паролей есть такие (например, «qwerty»), которые уже нельзя установить: довольно давно мы включили их в стоп-листы. То есть в опубликованном списке присутствуют очень старые пароли, что мы проверили и по своим базам данных. Это может объяснить, почему некоторые комментаторы пишут, что они нашли в базе логин, которым давно не пользовались. Он мог быть скомпрометирован не на прошлой неделе, а несколько лет назад.

По нашим внутренним данным, около 85% логинов в этом списке уже были известны нам как скомпрометированные. При этом на момент публикации списка им уже было предложено сменить пароль, но они этого не сделали. Это говорит о том, что живые люди этими ящиками не пользуются, а боты перестали пользоваться, когда был установлен флаг смены пароля (там нужно ввести капчу, и обычно бот-мастера предпочитают не покупать ее распознавание, а просто бросить аккаунт).

На всякий случай, опровергнем и спекуляции о предоставлении доступа сотрудникам спецслужб к серверам Яндекса. Мы никому не предоставляем ни пароли в открытом виде, ни даже их хеши. Сотрудники ФСБ, ЦРУ, АНБ, Моссада и других субъектов ОРМ не имеют доступа к серверам Яндекса. Доступ к содержимому почтового ящика может быть предоставлен исключительно по решению суда.

Таким образом, мы исключаем версии об утечке паролей из Яндекса, и считаем, что база могла быть наполнена либо за счет фишинга, либо за счет скомпрометированных компьютеров пользователей, либо за счет кросс-чека.

Взлом пароля не означает взлом сервиса. Пароли могут быть скомпрометированы из-за того, что на компьютере пользователя есть вирусы, которые передают информацию о персональных данных злоумышленникам. Или «утекли» в результате фишинга, когда сайт злоумышленника выглядит, как настоящий, и пользователь вводит там пару логин/пароль. Бывает и так, что пользователи регистрируются на разных сомнительных сайтах, в качестве пароля выбирая тот же, что и у почтового ящика, с которого происходит регистрация.

Фишинг, кросс-чек и утечка паролей с компьютеров пользователей из-за вирусов — постоянная проблема многих популярных сервисов, а не результат одноразовой и целенаправленной атаки пользователей.

В конце хочется ещё раз всем порекомендовать выбирать сложные пароли и регулярно их менять. Не поленимся ещё раз дать ссылку на наш любимый сайт на эту тему: security.yandex.ru.
Автор: @ivlad
Яндекс
рейтинг 644,00

Комментарии (199)

  • 0
    А где ссылка то? (UPD: появилась)
    • 0
      А раньше пароли хранили в открытом виде.

      Пароли не хранились в браузере еще раз повторяю. Они приходили в открытом виде с сервера яндекса.

      habrahabr.ru/post/82317/ — начало здесь
      habrahabr.ru/post/82504/ — второй топик.
      habrahabr.ru/post/82880/ — третий топик, мякотка.
      • +3
        Не совсем понимаю, к чему тут информация про 2010 год, да ещё и не про пароли пользователей Яндекса, а про пароли в сборщике почты. Ваша цель — какая, чему помочь?
        • +5
          Это доказательство того, что Яндекс в недавнем прошлом мог «хранить и передавать пользователей в открытом виде». А притом, что у многих обывателей интернета один или два пароля на все аккаунты, это был шикарный подарок.

          Я никому не помогаю, я привожу занимательный факт, достойный упоминания в контексте ситуации.
          • +14
            Как бы очевидно, что пароль от УЗ на чужом ресурсе (сборщик почты) не может храниться в хешированном виде по определению. Но свои УЗ могут быть хешированы.
            • –2
              Зато не очевидно, зачем этот пароль обратно пользователю в открытом виде передавать было? Угнали учетку яндекса, а из нее потом вытащили все пароли от других почт, коих может быть десятки за раз, в том числе и корпоративные.
              • +5
                Зато не очевидно, зачем этот пароль обратно пользователю в открытом виде передавать было?

                Баг.
                Угнали учетку яндекса, а из нее потом вытащили все пароли от других почт

                И не только почт, а еще для кучи сервисов пароли сменили, а где-то просто достали пароли и писем. Но тот баг вроде же закрыли, так что именно вытащить пароль сборщика будет непросто.
                в том числе и корпоративные.

                За такое корпоративные безопасники должны долго бить пользователя ногами. Какого лешего он доверил третьей стороне свои учетные данные?
                • –5
                  Баг — смягчающие обстоятельство?

                  Битие ногами корпоративными безопасниками снимает ответственность с Яндекса?
                  • +7
                    ok. Давайте так.

                    Яндекс несет полную ответственность за то, что в 2010 году исправил баг из-за которого пароли для сборщиков почты попадали в верстку. Пароли сборщиков почты доступны в открытом виде по очевидным причинам.

                    Пароли аккаунтов Яндекса хранятся захешированые.
                • –2
                  Сотрудник Яндекса заверяет что на протяжении 10 лет все пароли хранились на сервере исключительно шифрованными, habrahabr.ru/post/235949/#comment_7940931

                  Тогда как они могли передаваться пользователю обратно с сервера в открытом виде в 2010 году? Если они там шифрованные?
                  • 0
                    1) Не путайте шифрование и хеширование. Первое обратимо. Яндекс говорил, что они хешируют.
                    2) Разумеется, речь шла только про собственные учетные данные.
                  • 0
                    Передавались пароли не от яндекса, а от чужих почтовых ящиков для пересылки почты.
                    • –6
                      Т.е. свои пароли нельзя никому отдавать, а чужие можно, т.е. смягчающее обстоятельство?
                      • 0
                        То что они передавались пользователю — это ошибка яндекса.
                        Но вот хранить их в виде хешей было невозможно, только в открытом виде.
                        • НЛО прилетело и опубликовало эту надпись здесь
                          • +1
                            Особого толку в этом нет, если хватило полномочий и квалификации слить базу, то скорее всего хватит и утащить исходники и ключи шифрования.
                            • –1
                              не факт, если база и код отдельно хранятся.
  • –25
    Пфф…
    При попытке входа принудительно предлагают поменять пароль (о чем написано в статье). Аккаунтом практически не пользовался. Регистраций на сомнительных сайтах нет. Вирусов на машине тоже. Так что, маловероятны ситуации получения данных моего аккаунта, описанные выше.
    Чтобы поменять пароль, предлагают ввести номер телефона, которого, как мне помнится, при регистрации я не указывал.
    Ну что ж, дарю аккаунт Яндексу, вслед за кошельком с потерянным платежным паролем.
    • +6
      «Чтобы поменять пароль, предлагают ввести номер телефона, которого, как мне помнится, при регистрации я не указывал.»
      Вы не поняли :) если номер можно ввести, значит вы можете поставить любой пароль просто зная логин+пароль и введя свой номер телефона.
      Т.е. взяв базу данных можно увести сейчас любой заблокированный ящик где не был введен номер телефона.
    • 0
      Ну что ж, дарю аккаунт Яндексу, вслед за кошельком с потерянным платежным паролем.

      у меня похожая ситуация :(
  • +43
    В общем, слили не базу паролей Яндекса, а базу паролей какого-то жулика. Теперь ему придётся собирать её заново. Плак-плак.
  • 0
    ещё раз всем порекомендовать выбирать сложные пароли

    Наглядная статистика демонстрирует, как относится по крайней мере треть пользователей к таким рекомендациям. Почему бы не поставить адекватный фильтр хотя бы на словарные пароли?

    P.S. Да и в том же треде: habrahabr.ru/post/235949/#comment_7941581
    Одна кнопка «сгенерировать пароль» для ленивых пользователей уже сведёт на нет подобные масштабные бедствия. Даже если пользователям наплевать на свой ящик — яндексу как борцу со спамом не должно быть всё равно.
    • +4
      Среди скомпрометированных паролей есть такие (например, «qwerty»), которые уже нельзя установить: довольно давно мы включили их в стоп-листы. То есть в опубликованном списке присутствуют очень старые пароли, что мы проверили и по своим базам данных.
    • +1
      Он уже сейчас стоит. Просто многие из паролей в этой базе были очень старыми, из тех времён, когда таких фильтров не было либо они были слабее.
      • +27
        Не сочтите за грубость, НО:
        1. Берём какой-нибудь пароль из того списка (я имею ввиду TOP-200), я выбрал наугад porol777 — его предпочитают 146 человек из миллиона.
        2. Вводим.

        Результат:

        • +12
          да там даже qwerty123 признаётся надежным…
        • –5
          Сохранить жали? По-моему вполне ожидаемо, что нет проверки на клиентской стороне. Вопрос есть ли она на серверной.
          • 0
            Я не веб разработчик, но думаю что там обновление данных о пароле происходит при каждом вводе символа.
          • НЛО прилетело и опубликовало эту надпись здесь
            • НЛО прилетело и опубликовало эту надпись здесь
              • +1
                Угу, тоже посмотрел. Попробовал все же сохранить qwerty123 — сожрался.
                • 0
                  Это значит что там используют что-то самописное. Скорее всего банальный словарь, линуксовый cracklib умеет распознавать пароли, составленные из двух словарных слов и такой фокус в *nix системе не работает. Более того, на «хороший» пароль, рекомендованный на security.yandex.ru, cracklib ругается, если убрать восклицательный знак. Этот пароль — самый наглядный пример для известного комикса.

                  Так что habrahabr.ru/company/yandex/blog/236007/#comment_7943101 всё ещё имеет силу.
                • 0
                  Даже чисто цифровой пароль и тот прошел, правда с пометкой «простой».
          • 0
            Я не враг себе, чтобы сохранять пароль, который я только что опубликовал на всеобщее обозрение:) Но даже если бы при сохранении мой пароль окажется вдруг слабым — это вызовет ещё большее удивление пользователя.
  • +19
    А двухфакторную авторизацию делать не планируете? Вообще сняло бы все подобные «проблемы».
    • +8
      лишь бы не принудительную, а то иногда это бывает неудобно
    • +8
      Судя по тому, насколько старыми были многие из паролей в базе, проблему это бы не сняло, к сожалению.
      Но двухфакторную авторизацию мы, конечно, планируем.
    • +1
      Пользователи с такими паролями попросту не захотят её ставить, а если выставить по умолчанию, то это будет очень трудно для этих же пользователей, что уменьшит их количество.
  • –3
    Господа, я конечно понимаю что вы были обязаны среагировать максимально быстро.

    Но все написанное выглядит (мягко говоря) поспешной работой маркетологов и скорее вызовет еще больше подозрений.

    Фактически, вы сейчас показали что не было реального расследования, но просто работаете методом исключения (так не могли, и так не могли, и так тоже не могли… значит троянцы!)
    Такой подход не имеет никакого права на жизнь, ввиду того что является просто голословным.

    Мировая практика показывает что ломают все :)

    Простейшие вопросы (которые у любого человека сразу в голове появятся после прочтения вашей объяснительной)

    1) вы можете гарантировать что утекло только миллион?

    2) у вас есть доказательства «фишиноговой активности» или это ваши теоретизирования?

    3) вы акцентируете внимание на старых паролях / аккаунтах. это называется увод фокуса внимания. есть ли у вас доказательства того что утекли только старые аккаунты / пароли?
    • +11
      1. «Утекло» вообще некорректно говорить. От нас не утекло ни одного пароля, поэтому мы можем гарантировать, что не утекло и больше.

      Была опубликована база с миллионом паролей (85% из которых на момент публикации уже не работали), которые украли у пользователей.

      2. Это наше предположение на основе содержания файла с паролями.

      3. Мы нигде не говорили «только». Большинство паролей в этой базе не менялись очень давно — это факт, который подтверждается в том числе по нашим внутренним данным.
      • –11
        1) Антон, «утекло» говорить вполне корректно. Оно _могло_ утечь не от вас, но от кого-то оно в любом случае утекло.

        2) Отлично. Тобишь реалии такие что вы реально исходите из той базы с паролями которую увидели. То что там «красивое» число (миллион), а реально может быть и 2 и 10 миллионов — это никого не смущает :)

        3) Это всего лишь означает что слить могли уже ненужные пароли. Зачем? Ну например потроллить Яндекс, чуть акции приспустить и купить и тд. Вариантов множество.

        Сухой итог — то что здесь написано — в общем-то реально маркетинг, и является большой ошибкой Яндекса _такое_ писать.
        • +3
          А расскажите, какое расследование вы хотели бы видеть? Как это должно было бы выглядеть?
          • 0
            Вам там ниже предлагают вариант :) с SSH доступом и 15-символьным паролем.

            Показываете что реально троянский конь / вирус стоит, называете конкретные разновидности (что таскали пароли Яндекса).

            Можно было тот-же «Касперский» подтянуть, хотя бы для маркетинга (чтобы подтвердили — да, пароли Яндекса утаскивались в таких размерах).

            Взять выбранные ящики (наиболее активно выступающих) и проверить историю заходов с «чужих» IP.

            И тд и тп.

            Ну а если честно — очень меня терзают сомнения что смогли собрать базу на миллионы паролей (очевидно, что опубликовали скорее всего далеко не все) с помощью кейлоггеров / троянов.
            • +4
              То, что вы говорите, уже сделано. Историю заходов, конечно, проверяли и ещё будут проверять дополнительно. Вообще, то, что мы сделали что-то уже сейчас, совсем не означает, что на этом мы остановились и больше ничего делать не будем. Конечно же будем.

              Но это совсем не повод не говорить того, что известно сейчас. Я не вполне понимаю вашу позицию о том, что это «является большой ошибкой Яндекса такое писать». Я верю в то, что открытыми надо быть на всех этапах.
              • +5
                Ну вот не надо рабочие гипотезы (а то что увели троянцами — это только гипотеза) выдавать за финальный вариант.

                Дословно, написанное вами: «Таким образом, мы исключаем версии об утечке паролей из Яндекса»

                Топишь вы за сутки проверили полное расследование и уже все исключили.

                Фактически, вы поставили себя в рамки что даже если будет найдена другая причина (брутфорсы, слом и прочее) вы не сможете ее озвучить, ибо сразу настаиваете жестко на принципе «я не я и мама не моя» ;)
        • 0
          Работники Яндекса подтянулись? :)

          Неужели реально нет понимания что данное объяснение — реальная профанация?
          • +10
            не понимаю откуда минусы… Человек дело говорит. Сомнения вполне оправданы. И отписки в ленте и на хабре были бы в любом случае, утекли бы пароли с яндекса, либо от какого-то безумного коллекционера паролей фетишиста яндекса.
            Репутационные риски в такой компании = большие деньги. Потому убедительность «отписок» может быть сколь угодно крута.

            Миллион двести тысяч паролей через кейлогеры и брутфорсы? Бред же.

            Здесь надо брать и проверять. Проводить расследование, по логинам-ip-время-место. Разобраться хоть в каком-то проценте случаев, чтобы вывести реальную картину. Пока всё на уровне «не то и не то, а значит вон то»…

            Работники эпла вот не поленились, защищая свой icloud.

            *Работники яндекса уберите минусомёты, и так недавно хабр карму обнулил)
            • +11
              Я не думаю, что это работники Яндекса, если честно.
              Лично я, по крайней мере, не минусую, а пытаюсь разговаривать.

              Конечно, мы проведём и более подробное расследование всеми доступными методами и постараемся выяснить всё то, что ещё неизвестно точно.

              С другой стороны, фразы вроде «то что здесь написано — в общем-то реально маркетинг, и является большой ошибкой Яндекса _такое_ писать» мне тоже кажутся несколько… поспешными и необдуманными.
              • +2
                ну разве не маркетинг? Если даже в заголовке неправда. Изменили бы хоть…

                Ниже расписано, как вбивая свой номер можно без проблем увести ящики. Пароли рабочие.

                Хотя я понимаю, что не написать что-то такое вы не могли. Вам же надо на волне интереса к событию сделать вброс опровержений… Ведь через пару дней они уже будут большинству не интересны и в памяти останется только то, что у яндекса увели пароли из под носа.
                • 0
                  Что именно является неправдой в заголовке? Все пароли на момент публикации поста были отправлены на обязательную смену.

                  Про номера мы сейчас дополнительно проверим, если это так — конечно, это серьёзная ошибка и будет исправлено и перепроверено.

                  Про опровержение вы тоже, увы, правы — сейчас конкретно формулировку «увели миллион паролей от Яндекса» тиражируют очень многие, зачастую совсем необдуманно и с неверным посылом. Хочется это хотя бы немного исправить и объяснить.
                  • +2
                    ну, будут положительные моменты из всей этой ситуации)

                    Прокачаете нормально свою ИБ. А то ведь сервис ого-го уровня.

                    *вот у вас денёк сегодня, наверное. Все поди, как угорелые носятся…
                    Инциденты ИБ — они такие)
            • +2
              И отписки в ленте и на хабре были бы в любом случае, утекли бы пароли с яндекса, либо от какого-то безумного коллекционера паролей фетишиста яндекса.

              Не забывайте, что у кого-то могут быть аналогичные файлики по мейл-ру, гмейлу и прочим. Просто слили зачем-то только яндексовский.
              • 0
                возможно нас ждёт целая серия подобных разоблачений)

                И как говорил Дункан: «Останется только один» )
                • 0
                  Собственно, потому можно порекомендовать всем, кто нашел себя в том списке, сменить пароли во всех важных местах.
                • 0
                  • 0
                    ух, и правда началось…
              • 0
                а Вы прорицатель, однако
                • +4
                  Прорицательство входит в мои служебные обязанности. Зря что ли бубен висит рядом с рабочим местом?
            • 0
              >Миллион двести тысяч паролей через кейлогеры и брутфорсы? Бред же.

              Предлагаю почитать мою статью с рассуждениями на эту тему и к какому выводу пришел лично я, но думаю он будет убедителен для многих. Если можете привести более убедительные аргументы — приведите.
        • 0
          Кстати, если бы разобрались в вопросе, то обнаружили бы, что там не миллион, а примерно 1.2 миллиона. Не круглое число.
          • 0
            Ну, если Яндекс себе позволяет писать «1.000.000» при заведомой некорректности, то что уж там простым людям ;)
            • +1
              Очевидно, данный заголовок просто обыгрывает заголовок исходного поста, в котором сообщалось об утечке паролей. Автора того поста тоже за это критиковали.
      • 0
        Вообще, резюмируя:

        Сколько реально утекло / украдено паролей вы не знаете, сами ориентируетесь на эту же базу.

        На рекомендацию (разумную и единственно верную сейчас) всем пользователям сменить пароли вы не пойдете, боитесь скандала.
        • 0
          Ну у всех видимо разные ценности… ebay вон сравнительно недавно как раз менял пароли всем юзерам.
          • +1
            Это вполне нормально.

            Сломали — признай, смени.

            Другой разговор что сейчас фактически идут гадания, расследования нормального не было еще (физически невозможно успеть), но уже (типично по советски) глухая оборона и отмазки «от нас уйти не могло».

            Я ж чего завелся? :)

            Не от того что пароли сломали (да всех ломали...), а от того что пургу несут типа «Таким образом, мы исключаем версии об утечке паролей из Яндекса»

            За полдня расследования проведенного такие заявления — крайне непрофессиональны (я стараюсь быть политкорректным).
            • +2
              Скажите, вы уверены, что вчера не из вашего гаража угнали Lamborghini Aventador? Точно уверены? А сколько вы времени думали перед тем, как ответить на этот вопрос?
              • 0
                Не уверен конечно, бывает соседи паркуются на моем месте — были и феррари и ламбы…
                • 0
                  Вот прямо в вашем гараже паркуют, внутри него?

                  Немного перефразирую вопрос. Вы уверены, что не у вас угнали Lamborghini Aventador?
                  • –3
                    Конечно не уверен.

                    А вдруг мне подарил кто — а я и не в курсе?
                    • 0
                      То есть такая версия всерьез рассматривается? Ок, вопросов больше не имею, удачи по жизни с таким подходом.
                      • –4
                        Конечно всерьез.

                        Мне тут Теслу обещали подарить в обмен на консалт по огромному проекту, в принципе могут и Ламбо ;)

                        Вы по себе людей не равняйте, реально.

                        И примеры глупые не приводите, проще будет.
                        • 0
                          То есть могут втайне от вас протащить ее в ваш гараж, предварительно взломав его? Прикольные друзья.
                          • +1
                            Гаражи бывают подземные, общего пользования но с выкупленными местами. Типа не в курсе? :))



                            А реально — пример как раз не с Ламборгини должен быть, а (наиболее понятный тебе) — Форд Фокус.

                            Объява по радио в Мск — «угнали 1000 форд фокусов за день».

                            При условии что он у тебя стоял в гараже — ты точно знаешь что твой не угнали? ;)
                            • +1
                              Нет, я, конечно, понимаю, что у тебя есть повод гордиться умением получать теслы за порции откровенно вредоносных советов и отсылки к знающим людям по любым хоть немного сложным вопросам, но всему есть предел…

                              Давай не будем про фордфокусы, а будем про ламбы. Вот я знаю, что у меня нет ламбы. Я слышу по радио, что угнали ламбу. Очевидно, угнали не у меня. Все верно? И у тебя нет ламбы, потому тебе нечего беспокоиться. У кого есть ламба (см. «cleartext пароли в базе»), тот занервничает, будет искать, где что и как.
                              • –1
                                Гхм. Это как-будто бы я начал про машины тут?

                                Про вредоносные советы — это блестяще.

                                Как-то вот так сложилось, что я делал 100% технической инфраструктуры ряда крупных и сверхкрупных проектов, причем все из них очень успешны на рынке. Ну да это мелочи, и я даже не буду задавать классические вопросы.

                                Так вот — пример с ламбой несостоятелен, хотя он тебе так нравится.
                                Кстати если заветная мечта — то в странах развитого капитализма можно в лизинг взять практически что угодно, поэтому пример посмешил добавочно.

                                Пример с форд-фокусом — вполне cостоятелен. Угнали тысячи, один из них вполне возможно — твой.

                                Увели не clear-text пароли, все намного сложнее. Уже пахнет как минимум MITM.

                                Если бы ты был реальным профессионалом рынка, то знал бы еще со вчера, что ушло далеко не миллион паролей, и причем ушли такие пароли которые вообще крайне маловероятно представить что «сняты» троянцами.

                                Просто большинство народа не хотят делать Яндексу плохо (и я точно не хочу), но открытый провал работы PR службы очевиден.
                                • +1
                                  я делал 100% технической инфраструктуры ряда крупных и сверхкрупных проектов

                                  Невероятно… Прям и на дуде игрец, правда, не знающий подозитьельно базовых вещей… Вероятно, роль называлась как-то вроде «менеджер проектов» :) А может, та архитектура, пока к разработке не подключились взрослые дяди, выглядела как-то вроде «один сервер, и этого хватало»? Вон TPB сверхкрупный проект, но там от силы пара серверов, а вся информация с хранилищ на флешку влезает.
                                  Кстати если заветная мечта

                                  Это была бы довольно глупая мечта… Нет, просто пример того, чего нет ни у одного из нас. Видимо, слишком сложный пример, надо что-то попроще. «Взорвали Звезду Смерти» годится? :)
                                  Если бы ты был реальным профессионалом рынка, то знал бы еще со вчера, что ушло далеко не миллион паролей, и причем ушли такие пароли которые вообще крайне маловероятно представить что «сняты» троянцами.

                                  Ну если бы ты знал хоть что-то про технологии, то сообразил бы, что то, как выглядит украденный троянами пароль, совершенно несущественно. Число учеток может быть любым, ну и закономерно, что большинство паролей будет достаточно простым (так как большинство зараженных — ламеры).

                                  И прямо сейчас я уже не очень понимаю, из-за чего вообще шумиха. Чуть покопался — без проблем нашел файлы с сотнями тысяч учеток gmail, rambler, hotmail, yahoo и прочих. Покопать сильнее — найдутся миллионы по ним. Наверное, со всеми ими что-то нечисто…

                                  И у тебя вообще очень странно логика работает. Яндекс отчитывался за конкретно тот файл и поднятый из-за него шум. Те учетки гарантировано угнаны, все отправлены на смену пароля. Яндекс не говорил, что этот список угнанных паролей — исчерпывающий. Яндекс предпринимает и дополнительные меры защиты помимо пароля. А лично ты что предлагаешь? Вроде где-то озвучивалась «замечательная» идея отправить вообще всех на смену пароля.
              • 0
                Если бы у меня был Lamborghini Aventador я бы не мог ответить со 100% гарантией, по крайней мере пока не проверил бы) Или Вы утверждаете что у Яндекса нет паролей пользователей?)
                • +1
                  Я вполне верю, что у яндекса нет паролей от учетных записей собственных пользователей. Хранить такую информацию — неоправданный риск.
                  • 0
                    но и утверждать не можете, правду нам могут никогда и не сказать, тут скорее доверие к компании. Да и компания может не признавать утечьки до последнего, имидж как-никак. Моего мыла в списках нет, хоть это радует)
                    • 0
                      Вопрос не в доверии. Вопрос в понимании, что там работают грамотные люди, которые не сделают огромную глупость и не пойдут на такой риск.

                      То, что вашего мыла нет в тех списках, не значит решительно ничего :) Если бы оно там было — хоть какая-то информация и повод для размышлений и дальнейших действий.
                    • 0
                      У Яндекса и так есть доступ ко всем данным пользователей, зачем им пароли?
            • 0
              Это не сервер дяди Васи, а сервера компании Яндекс. Для таких крупных компаний критически важно следить за безопасностью своих серверов и быть уверенными утекло у них что-то или нет, иначе на рынке не удержаться. Ясное дело, что взломать можно практически всё, но отследить взлом вполне реально, поэтому они так уверенно и говорят.
        • 0
          У вас вполне разумная критика, но позвольте побыть КО

          Если предположить, что пароли действительно утекли у Яндекса (мы не можем знать, так ли это) и что Яндекс их хэширует вполне надежным способом (я склонен считать, что это так — ибо знаю немало уважаемых спецов, которые там работают и не допустили бы такого ляпа) — значит, каким-то образом они были перехвачены в момент авторизации, регистрации или смены.

          Принудительная смена неутекших паролей в данном контексте сами понимаете к чему может привести в контексте того, что Яндекс уверен в отсутствии проблемы на своей стороне, опять же, Яндекс, не обижайтесь.

          И, кстати, не стоит списывать со счетов вариант с дырами в SSL и организацией масштабного man-in-the-middle, ибо рядом здравствует тред про мейлру — мы живем в интересное время в интересной стране интересном мире.
          • 0
            По мейлу я не репрезентативный, но всё же: ни одного своего или родственников мыла там не нашлось.
            Из списка агента проверил с десяток контактов, всплыло два — они точно могли заразу подцепить и даже подцепили в одном случае.

            А всё веселье было до ХР, тогда можно было всё, но я был молод и ничего не умел.
            Сейчас гайки сильно затянули и порог поднялся из for fun до profi.
      • +5
        Пароли взяты из старой базы где было все чистым текстом, либо это был перехват трафика и паролей из него.
        85% паролей не работает? Я взял десяток случайных, все работают. Там где заблокировано и нет номера, вводишь свой номер и меняешь пароль чужого ящика. Безопасность на высоте.
        • +1
          Не было у Яндекса «старых баз с открытым текстом».

          Мне это лично сказали люди уровня главы департамента Яндекса, причем 10 лет назад еще уже не было — было все хэшировано.

          И я им верю, ибо вполне грамотная там команда техническая.
  • +2
    Ссылка на HSTS битая
  • +15
    Могли ли эти пароли утечь через Heartbleed Bug?
    • 0
      Как мне кажется, проверить это легко. Большинство людей, кто понял об уровне угрозы «Heartbleed Bug», сразу поменяли пароли на почту, если есть тут такие люди, с почтой из списка и которые поменяли пароль, то пусть напишут, совпадал ли пароль тот что был после «Heartbleed Bug» с тем который в списке. Думаю, яндекс сразу после слива бага обновили openssl, если пользовались им.
      • 0
        Не исключено, что часть паролей была похищена и таким образом. Яндекс довольно оперативно пропатчил свои сервера после сообщения об уязвимости, но сама уязвимость существовала задолго до этого. Но большой вопрос сколько паролей можно было увести подобным образом, этот баг не позволяет целенаправлено получать данные, можно добыть лишь довольно небольшие куски памяти сервера. К тому же, считается, что Heartbleed bug существовал пару лет, а по комментариям на Хабре ясно, что некоторые из скомпрометированных аккаунтов были заброшены гораздо раньше.
  • +63
    Дорогой Яндекс, я готов предоставить вам не-рутовый ссх доступ к моей машине, чтобы вы нашли там кейлоггер. Уверяю вас, вы его не найдете. Как не найдете и письма с рекомендацией сменить пароль в моей почте. Да, я не пользуюсь почтовым аккаунтом, но я ежемесячно пользуюсь (пользовался до сегодняшнего дня) ЯД для оплаты интернета, и всегда проверяю, туда ли я попал.
    Я не регистрировался с этим ящиком нигде, просто потому, что я им не пользуюсь для почты, поэтому вариант использования пары почта/пароль на другом сайте тоже не подходит.

    • +3
      Какой сложности был пароль? Длина, табличные слова?
      • +10
        15 символов, 2 табличных слова и цифры. Да, его можно сбрутить, но почему такие попытки не пресекаются?
        (яндекс, к слову, считает такой пароль супер-стойким)
        • +3
          А пришлите, пожалуйста, ваш яндексовый логин мне в личку или на anton@yandex-team.ru.
          • +1
            Он совпадает с юзернеймом на хабре.
      • +2
        Пароль примерно такой: ghbdtn777ghbdtn
        • 0
          Нет, пароль примерно такой:

          qwerty12345qwerty

          что очевидно можно сбрутить
          • 0
            Вы проверяли по базе?
  • +19
    Почему только Яндекс?
    Почему так много?
    Почему сейчас?
    • +4
      «Доколе» забыли :)
    • +1
      Вот больше, сейчас и не Яндекс habrahabr.ru/post/236077/
    • +1
      Если версия Яндекса верна (я и до этого поста предполагал похожее), то пароли собирались неким хакером для каких-то своих целей из различных источников, и интересовал его только Яндекс. Может и не только, но другие пароли попали в другие файлики. Либо он сформировал список паролей Яндекса из своей базы по чьей-то просьбе, например, покупателя интересовали акки Яндекса. Так много, потому что столько удалось наскрести. Сейчас, потому что база этого хакера утекла сейчас, случайно или преднамеренно. Либо была консолидирована сейчас, а до этого, на курсирующие в хакерских ресурсах ее части не вызывали ажиотажа, так как эти аккаунты были перемешаны с другими. Я думаю, ни для кого особо не секрет, что всегда можно купить некоторое количество скомпрометированных аккаунтов того или иного ресурса.
      • +1
        Ну тогда етти и чупакабра рельно существуют. Можно ещё предположить что СОМР продавили.
  • +4
    Технически со стороны яндекса должно быть можно определить наиболее свежий пароль из опубликованного списка, чтобы иметь оценку давности атаки.
    • +1
      Процитирую наш вывод из поста: «это не целенаправленная атака, а результат сбора скомпрометированных аккаунтов в течение длительного периода времени.»
  • 0
    Дилетанская догадка, но как приходят пароли на сервера яндекса для авторизации? Если они от клиента приходят в чистом виде на сервер для последующего хеширования и сравнения, то это отличное место чтобы их там записать куда нужно, а потом переслать.
    • +4
      Они приходят по TLS, поэтому записать нельзя.
      • –1
        Если вредоносный код на принимающей стороне? Конкретно в месте хеширования и сравнения.
  • +29
    Не пользовался яндексовским аккаунтом как минимум 6 лет (с 2008 года). Вообще про него забыл, не заходил на него. Но нашёл в слитой базе. Пароль — 10 символов из латиницы и цифр, не словарный.

    Вариант с фишингом или кейлоггером не выдерживает критики, я даже тогда им пользовался всего пару раз (и то «диском») и внимательно относился к безопасности. В истории активности записей нет. На самой почте яндекса всего десяток писем — от «диска» и поздравления с днем рождения.

    Сегодня ночью я сменил пароль, но до этого привязал к аккаунту номер телефона. К заблокированному аккаунту.

    Что это было, Берримор?
    • +13
      Ночью лунатики заходят в интернет сами того не ведая. Этим кейлогеры и пользуются.
    • 0
      А скажите (можно в личку или на anton@yandex-team.ru) ваш логин, пожалуйста.
      • 0
        Простите, что вмешиваюсь, но сделаю маленькую мысль: вы не думали, что это произошло благодаря ЯДиску?
        • 0
          Тонкое наблюдение, очень похожее на правду, потому как из трёх моих, одна древняя (более 10 лет, но с диском) попала в список, а две молодые (около года, без диска) — нет. Шпион исключается использованием Mail.app
          • 0
            Мне вот тоже кажется, что из-за него… Я им никогда не пользовался (я с гуглодиском итак борюсь — выключаю постоянно)… Но последние проблемы с ним + кажется он хранит пароль в памяти открыто и как-то открыто его пересылает для авторизации…
  • +5
    > мы используем «соленый хеш» с очень длинной (48 бит) солью

    Я просто оставлю эту ссылочку тут: codahale.com/how-to-safely-store-a-password/ — про salted hash там тоже написано. 48 бит делает непрактичным использование rainbow tables но совсем незначительно увеличивает время вычисления хэша.
    От себя к этой ссылочке добавлю, что вместо bcrypt можно использовать scrypt.
  • +4
    Коллеги, пароли на 90.2% цифровые!
    Из цифровых только 10.5% имеют больше 8 символов.
    Т.е. банальный брутфорс и ничего более.

    Зачем разводить панику?
    • +10
      1) Яндекс утверждает другое (мифические троянцы украли пароли)

      2) Отсутствующая защита от брутфорса — это в общем-то вполне легитимный повод разводить панику ;)
      • +3
        2) как сделать нормальную защиту от брутфорса через IMAPS если у «хакера» есть несколько тысяч прокси-ботов и N-миллионов аккаунтов? Просто ходи и пробуй подбирать пароль по очереди на всех аккаунтах, меняя внешний IP. Пока дойдет до того же аккаунта пройдет думаю достаточно времени, чтобы любая защита от брутфорса проэкспарилась.
        • +2
          Никаких проблем.

          Простейший rate-limit. Типа как гугл делает. Подбирать будут десятилетиями.

          • 0
            $ dig @8.8.8.8 smtp.yandex.ru +short
            87.250.250.38
            93.158.134.38
            213.180.193.38
            213.180.204.38
            77.88.21.38
            $ dig @8.8.8.8 imap.yandex.ru +short
            87.250.251.124
            213.180.204.124
            77.88.21.124
            213.180.193.124
            93.158.134.124

            Вот, навскидку, уже 10 адресов и это только из России, я думаю Яндекс для разных стран отдает разные IP-адреса + используются разные дата-центры.

            Если я был бы хакером и имел:
            — 1 млн. аккаунтов
            — 100 тыс. прокси

            Как Вы думаете сколько бы времени прошло, пока я бы с 1 паролем попробовал подобрать к 1 млн. аккаунтов, каждый раз меняя Source IP-адрес(на каждый аккаунт)?
            Думаю минут 30 и более + я уже имею 10 IP-адресов Яндекса.
            И по какому Rate-Limit прикажите банить?
            • +3
              Сколько у Яндекса smtp-адресов — совершенно не важно. База доступов должна быть единой.

              Rate-limit не по адресам, а попыткам количества вводов паролей на аккаунт. Если раз в час по попытке — то будут десятилетиями подбирать, если чаще — блокировки адресов (да хоть миллиона), еще чаще — идет целенаправленная атака и надо блокировать пароль ящика / сообщать пользователю.

              Ну и адреса кстати тоже вполне себе блокируются…

              Как только с одного адреса даже на разные IP были попытки коннектов под разными пользователями — повод для заноса в «серые» списки (которые потом проверяются автоматически, разными способами).

              Вообще существуют (Вы наверное удивитесь!) активно пополняемые базы «паленых» адресов — у Яндекса к ним точно есть доступы (базы как платные от пачки вендоров включая Cisco / Juniper / F5Networks так и бесплатные).
    • 0
      Попробуйте забрутить оставшиеся 10% паролей, мой был сложный, случайный и т.п., в Винде его никогда не вводил, так что вероятность логгера сильно падает.
      • 0
        Может быть что-то из этого: habrahabr.ru/company/yandex/blog/236007/#comment_7943833
        ?
        • 0
          Сейчас внимательно всё проверил, каюсь, действительно такой же пароль у меня использовался только для:
          Linode
          Citibank online
          Mail.ru
          Сомневаюсь, что кого-то из них могли поломать, надо искать пересечения с другими жертвами.

          Фишинг крайне маловероятен, т.к. на сайты захожу всегда с использованием закладок.
          • 0
            На одном из перечисленных сервисов у меня есть аккаунт(логин длинный и с крякозяблями) в который приходят письма от одного адресата(это мой сервис).
            Адрес сделал я сам и никому его не давал.
            Доступ к сервису только у меня.

            И что вы думаете? Через 20-30 дней я получаю Спам от одной из компаний Скидок.
            Где правда судить вам)

            По поводу фишинга:
            Представьте, Вы используете «открытый»(специально подготовленный) WiFi в MacDonald's.
            Вы открываете ya.ru, но на самом деле работаете через прокси на 80 порту, который подменяет контент на свою страницу ya.ru. Вы вводите пароль, затем он проксируется на сервера ya.ru и пароли записывается в лог прокси-сервера. После чего данная фишинговая страница отключается и вы работаете уже с ya.ru напрямую. Profit?
            • 0
              профит. и так 1000000 раз
              • 0
                c порядком ошиблись
                • 0
                  это если только отбрасываем 90% числовых… Которые тоже ещё надо забрутить.

                  Но мы о пустом спорим. Вы всё правильно пишите, но
                  habrahabr.ru/company/yandex/blog/236007/#comment_7944007
                  • 0
                    9 паролей из ТОПа покрывают более 15% цифровых паролей. В общем брутфорс не сильно сложный.
          • 0
            >Mail.ru

            И как раз свежая новость про 4.5 млн. утёкших паролей Mail.Ru.
    • +2
      Я склонен с вами согласиться. У одного из моих аккаунтов пароль 16 символов, буквы и цифры разного регистра, не слит. Второй аккаунт, пароль от которого состоит только из цифр, слит.
    • +3
      да фиг знает… Что за вычислительные мощности нужны, чтобы сбрутить
      UOYEWfvw6C^#QC,
      s1gh57NTS%%^%
      12kGXE^Q$82D7S16
      *реальные пароли из файла.

      Пускай много цифровых… но оставшиеся 10% — это больше 100 000!

      И да, сам факт брута в таких масштабах — нормальный повод для паранойи и паники, shapa прав
      • +1
        Ну остальные 10% возможно от:
        — взломанных ресурсов(где был указан тот же пароль).
        — такой же пароль как от VK(когда там еще не было HTTPS Auth) или подобные сайты
        — использование открытых WiFi-сетей(IMAP-прокси без STARTTLS для клиента ИЛИ фишинговые Web-страницы).
        • +2
          Как еще 1 из вариантов:
          — использование файлов WPAD в локальной сети или в том же открытом WiFi.
          Просто проверьте у кого он выключен ?) Ведь у всех по умолчанию включен.
          • 0
            Вы расписываете правильные, хрестоматийные, можно сказать, примеры… Но это локальные актаки, которые никак не могут привести к такому большому сливу.
            • +1
              Это не большой слив.
              Большинство аккаунтов было заброшено и скорее это похоже на подрыв авторитета Яндекса, нежели на взлом.
              Возможно «ломали(брутили)» на протяжении 2-3 лет, потом Яндекс попытался присечь(попросив сменить пасс) и «владельцу(хакеру)» ничего не оставалось(т.к. доступ потерян), как выложить все в сеть и сказать что Я.ру г**но этим действием.
            • +1
              Речь не о большом сливе, а о множестве маленьких, вероятно совершенных независимыми группами в разное время без единой цели. Среди них могут быть и брутфорсы, и кросс-матчи, и кейлогеры, и трояны, ворующие сохраненные пароли браузеров и почтовых клиентов. Просто кто-то заботливо объединил, потому что ему нужна была такая база.
        • 0
          возможно, но маловероятно. В одном месте и столько сразу.

      • +1
        Определённо кто-то добился сущетвенных успехов в квантовых вычислениях в домашних условиях. Иного объяснения нет.
  • +31
    Яндекс, перестаньте отображать полный номер телефона при смене пароля!

    Сейчас любую заблокированную пару из списка взять и можно очень многое узнать о владельце по номеру. Я уж молчу про то, что в том же «вконтакте» они просят ввести недостающие цифры номера, для подтверждения логина из не стандартного места.
    • 0
      Тот же ВК, имеет в профиле поле «номер телефона», некоторые его заполняют, некоторые видны извне, а некоторые ещё и совпадают поциферно с запрашиваемым выше.
      • 0
        Все верно, но показывать или нет номер, в случае с ВК, это решение пользователя. Здесь меня не спрашивают, хочу ли я поделиться номером с кем угодно вокруг.
        • 0
          ВК предлагает пользователю заполнить номер в профиле. Пользователь доверяет ВК, ведь они ж плохого не посоветуют. Да и не каждый пользователь видел плашку входа из нестандартного места, да и не факт, что задумывался об о номерах.
          Я не отрицаю, что у Яндекса есть недочёт в этом месте. Просто у ВК тоже далеко не идеальное решение с номерами телефонов.
    • 0
      del
  • 0
    Яндекс, а вы поддерживаете двухфакторную аутентификацию? OTP (железный EMV или софтверный)?
  • +2
    «Во-первых, речь не идёт о взломе Яндекса — данные стали известны злоумышленникам в результате вирусной активности на заражённых компьютерах некоторых пользователей или фишинга.»

    Я в Яндекс заходил максимум 2 раза в год. На ПК стоит KIS и раз в 2 недели я проверяю с помощью cureIt — вирусов нет.

    Еще в Инете такая информация ходит:

    «Если аккаунт уже заблокировали и не удаётся зайти на почту через веб интерфейс, — скачиваете любой почтовый клиент и настраиваете его на yandex через протокол POP и без SSL, таким образом получаете доступ к почте! А дальше скидываете ссылку для сброса пароля через сайт Apple ID.»

    П.С. теги цитат почему-то не работают. Добавил "
  • –3
    1. По закону теперь все должны хранить и предоставлять всю инфу о пользователе: habrahabr.ru/post/230467/
    и хотя прямым текстом слова «пароль» там нет, но есть «все изменения в аккаунте».

    2. Я ни сколько не сомневаюсь что у яндекса лежат солёные пароли везде где можно их использовать в таком виде.
    Пароли в открытом виде тоже должны быть, в более надёжном месте.

    3. Отписка яндекса делалась впопыхах: одно и тоже повторяется по 3-4 раза.

    4. Если утекли пароли у тех у кого они утечь не могли (о комментах выше) — это либо слив от тех у кого доступ был (например, как было когда владельцам кошельков звонили кремлеботы и спрашивали зачем они Лёше деньги перечислили) либо плохо утилизировали сервер и не потёрли инфу а кто то удачно затарился БУ и не поленился.
    • +2
      Паролей в открытом виде мы не храним. Это прямо написано в тексте и это правда.
      • +1
        Ну с обратимым шифрованием, ну не вы, а какой нибудь яндекс деньги, который вроде как не вы.

        В любом случае, успехов в поисках.
        Лично для меня этот инцидент не подорвал доверия к яндексу, да и адресов своих в том списке я не увидел.
  • +7
    Палево. Про отсутствие доступа для сотрудников МИ-6 не сказали.
    • 0
      И тут англичанка гадит))
  • 0
    Давайте, по-чесному, Яндекс торгуется на бирже, поэтому чем меньше информации просочиться — тем спокойнее. А ломают сервисы Яндекс постоянно и небезуспешно.
    Нет, конечно, без участия пользователей не обошлось, но насколько замешан кода Яндекса?

    Месяца два назад, я нанес редкий визит в Яндекс.Почту и тут же получил смс для потверждения удаления аккаунта, которое я не иницировал. Безусловно это был успешный injection через спам.
    Яндекс не признался.

    Не вижу никаких проблем собрать миллион паролей эксплуатируя подобный injection и немного социальной инженерии.

  • +2
    Как же хочется, чтобы Google Authenticator работал на Яндексе.
  • +7
    Доступ к содержимому почтового ящика может быть предоставлен исключительно по решению суда.

    Очень забавно такое читать, особенно, если учесть, что еще в 2011 году, до всех этих законов по регулированию интернета, Яндекс передал ФСБ персональные данные большого количества клиентов Яндекс.Кошелька только по одному лишь запросу, без какого либо решения суда. И признали это только спустя какое-то время и то, лишь потому, что это стало достоверно известно общественности по косвенным данным.
    • 0
      Яндекс.Деньги. Это другая организация.
      • +2
        Яндекс.Деньги перестали принадлежать Яндексу в декабре 2012, если мне не изменяет память.
      • +1
        ну, чтобы воспринималась народом как другая слово Яндекс должно быть исключено из названия…
  • +1
    А уважаемые представители Яндекса не хотят рассказать, как в конце мая этого года внезапно совпал сброс пароля у яндекс денег владельцев почты на mail.ru, при этом письма об операциях с кошельком на mail.ru одновременно перестали отправляться…
    Тогда официальная версия была — в первом вина пользователей, во втором — злой маил.ру, якобы, поставил в спам почту хорошего Яндекса.
    Так что эта утечка совсем не удивляет — в команде Яндекса явно не всё в порядке на высшем уровне. Не беспокоит даже явная подчистка логов!
    Да, тогда пароль в открытую вылетал из мобильного приложения… В АБСОЛЮТНО открытом виде, на кошелёк!!! Правда, лишь при некоторых обстоятельствах, но АБСОЛЮТНО не вирусных.
    Дыру они закрыли быстро в своём приложении.
    Деньги — не вернули.
    Ситуацию — не признали, людей не оповестили.
    Такие дела!
  • 0
    Вот так, незаметными движениями рук, Яндекс превращает факап, ну, или, во всяком случае, негативную для репутации новость, в повод для пиара.
    • –4
      Можно не читать отписки и научно-фантастические очерки в статье, а просто посмотреть с другой стороны. Если судить по количеству вакансий на ресурсах по поиску работников, то у этой компании можно наблюдать довольно большой список вакансий, причём бывает требуемые должности в нём редко меняются. О чём это может говорить? Об экстенсивном росте компании? Хорошо бы если так, но с трудом верится. Текучка кадров. Не исключено. К этому можно прибавить заявления кампании несколько лет назад о переходе на другую платформу (на пару с рамблером пиарились). Можно осторожно предположить, что не всё спокойно в Датском королевстве. А там пойми разбери как оно было: вдруг какой админ тоннель с дома оставил и нашёлся шайтан, которым им воспользовался. Или при переходе чего-то не учли, либо закрыли глаза на время, как потом оказалось на совсем. При большом обороте людей мог и вредитель затесаться. Тут поле для домыслов достаточное.
      • 0
        Рост действительно экстенсивный, а идеального рабочего процесса и порядка не бывает НИГДЕ. Я бы не развивал теории заговора, просто обращаю внимание на грамотную работу пиарщиков.
        • –1
          а идеального рабочего процесса и порядка не бывает НИГДЕ

          Читал воспоминания А. Д. Сахарова. Ведь были места, где был и рабочий процесс и порядок. Ну это так — лирическое отступление. Не суть.
          Попытка с помощью пиарщиков отмыться, всё равно что хорошая мина при плохой игре.
          • +3
            Может быть, вы поясните, в чем попытка «отмыться»?
            • –2
              Попытка пинять с больной головы на здоровую, обьявляя козлом отпущения малварь на машинах пользователей (косвенно виня самих пользователей).
              Хотя первое что приходит на ум всякие про малварь на машинах пользователей это программы от самого яндекса.
              • +2
                Мне интересно, теперь, когда ситуация прояснилась, вы все еще настаиваете на том, что Яндекс переваливал «с больной головы на здоровую»?
  • 0
    Ящики может быть и не рабочие, но вот Ящик + пароль могут действовать и для авторизации в других сервисах, к примеру в платежных системах. О таких уязвимостях уже сообщалось и это крайне серьезно
  • 0
    Мой угнали. На ящик последние 2-3 года ходил только с мака, пароль в браузере не хранил. По ссылкам из почты для смены пароля никогда не переходил. Ящик был старым: более 5 лет, использовался как временный, в основном. Проверялся регулярно через сборщик другого почтового сервера. Пароль был не сложный, но и не простой.

    Есть подозрение, что имэил угнали с какого-то популярного сайта. Грешу на rutracker — там пароль совпадал с паролем к яндексовой почты и емэил тоже соответствующий, только тогда вопрос почему именно Яндексовые?
  • +2
    У меня был достаточно сложный пароль, точно не для Брута(11 букв и 3 цифры). В качестве оси генту или дебиан, ничего подозрительного в логах всех машин нету.

    Я один такой или есть ещё те у кого украли аккаунт с вполне нормальным паролем?
    • 0
      Большим разработчикам не свойственно признаваться, что они «лажанули». Ну разве что в катастрофических масштабах. Так что как бы не писали про защищенность наших устройств, согласно официальным заявлениям компании проглядели сами пользователи.
      • +2
        В любом случае, человек сам виноват, что зарегился на сервисе, который он никак не контролирует и тем самым оказался абсолютно не защищен, он даже нормальный отчет по инциденту получить не сможет.
  • 0
    Я правильно понял, что с сегодняшнего дня владельцу аккаунта необходимо предъявить годный номер телефона, чтобы войти в опубликованную учётку? Если так, то мне смешно и слегка жалко яндекс при всем своем уважении к этой компании.
    • 0
      Не только владельцу, но и любому человеку, у которого есть телефон =) Вбиваете новый пароль, свой номер телефона и вуаля — почта становится вашей.
      • +1
        Блин, как же это гениально! Теперь ещё и база телефонов будет. У кого-то…
      • –1
        Если владелец аккаунта потерял доступ по причине того, что яндекс вымогает реальный телефон — это в какой-то степени ужас. Ещё раньше, когда яндекс просто попрашайничал телефоны, было понятно что из всех способов защиты аккаунта был выбран самый безобразный и неэффективный метод, который ставил под заведомое сомнение каждого владельца, кто не раскрыл свой номер. Ведь ломани его ящик и мошенник получал преимущество — он мог вбить свой телефон и тем оказаться в выигрыше перед реальным владельцем.

        Событие, которое нынче очень смахивает на теракт какбы развязало яндексу руки на предмет сбора телефонных номеров. Раньше яндекс запугивал только на уровне логики и разума «Не потеряйте доступ к почте». Теперь, насколько я понял, опубликованы не только простые пароли, но и куча сложных, а комментарии типа {Я только зарегился, не отправил ни одного письма, и мой ящик уже угнали} запугивает всех с уровня животного страха. По идее, теперь все должны забояться и прописать свои номера,

        … чтобы с какой-нибудь утечкой ушли не только пары логин-пароль, а тройки логин-пароль-телефон.

        Самое паршивое во всей этой истории то, что создан прецедент, когда по какому-то дурацкому поводу мой ящик может быть заблокирован яндексом без предварительной договоренности и предупреждения и с этого начнется непосредственное вымогательство моего номер телефона. Хранить почту в яндексе стало опасно из-за неадекватной политики безопасности.

        Какую реакцию я счел бы адекватной? Яндекс видит, что в интернете опубликованы учётки => принимает решение срочно уведомить об этом их владельцев всеми возможными способами, в том числе послать письмо примерно такого содержания: «хх.хх.хххх вы зарегистрировали почту на яндексе. Вчера стало известно, что в конечном итоге это обернулось для вас ошибкой. Теперь все содержимое вашей переписки и пароль от учетной записи находится в открытом доступе в интернете. Срочно попробуйте его изменить.» Ведь каждому понятно, что это сам человек лажанулся, пусть сам и разбирается, делает выводы и принимает соответствующие решения.

        Мне жалко яндекс, потому что он работает в такой отрасли, в которой надо пожалеть неосознанного человека, не защитив его данные в полной мере, вместе с тем, дав ему возможность подставить себя, свое имя, т.е. быть постоянно беззащитным перед толпой ни о чем не думающих пользователей. Будь я хозяином яндекса, я бы в первую очередь создал и раскрутил методы максимальной защиты интересов пользователей, думающих о себе, чтобы не упасть в их глазах, когда выкатят порцию никак не защищенных учёток. Тогда каждый человек под свою ответственность будет понимать какая степень защиты ему больше подходит, только и всего.

        Никто не знает, зачем яндексу номера наших телефонов?
        • +1
          Меня тоже раздражает вымогательство мобилы, не важно какой сервис и для чего её хочет.
          Я вот вообще не хочу мобилой пользоваться, почему это влечёт недоступность сервисов никак не связанных с оной — просто за гранью.

          А по поводу остального — это сервисы яндекса и они сами решают что и как, захотят — завтра вообще всё закроют, их право.
        • 0
          Если на время забыть про теории заговора и угрозу приватности, то привязка аккаунта к телефону имеет определенные преимущества. Во-первых, телефон, это независимый от интернета и компьютера канал передачи данных, что важно для двухфакторной авторизации и систем восстановления доступа к аккаунту. Во-вторых, что как раз многих и пугает, телефон привязан к физическому лицу, буквально по паспорту. Таким образом, привязав свой телефонный номер, и подтвердив владение им, вы фактически также привязываете аккаунт на сайте к себе, как к физическому лицу. Помимо всяких неприятных вещей для приватности и анонимности в интернете, есть и хорошая новость — даже утратив доступ к своему телефону, вы можете восстановить его, явившись лично к ОПСоСу, а значит вы можете и восстановить доступ к аккаунту.

          Я опасаюсь, что мой комментарий может быть воспринят неправильно, вроде как я отрицаю желание бизнеса и властей собирать информацию о пользователях в интернете. Это не так, я, как Капитан Очевидность просто указал на одну из адекватных причин привязки телефонного номера к аккаунту. Каждый сам пусть решает (пока есть возможность) стоит ли это делать.
          • 0
            С другой стороны, привязка к телефону нередко дает лишний канал для взлома, через переоформление номера, за примерами далеко ходить не потребуется. Усложнение системы снижает надежность через уязвимость операторов сотовой связи.
          • 0
            Переезжаем в другой регион или меняем номер телефона — и вспоминай где ещё ты регистрировался с этим номером. Не пользовался номером полгода — заводи новый ящик.
            • 0
              Нужно следить за актуальностью привязанного телефона, конечно, иначе все это теряет смысл.
              • 0
                Народ не помнит на какую почту они на хабре регистрировались, а Вы хотите чтоб ещё и за телефоном следили. Тем более что всё больше и больше сайтов хочет увидеть его.
          • 0
            По-моему, телефон не решает никаких проблем:
            1. Не буду повторять абзац, про то на чьей стороне стоит алгоритм яндекса, если с ним сталкивается простой пользователь почты, не нуждающийся в прописке своего телефона в бд яндекса и тут приходит злодей со своими симками, не привязанными ни к какому паспорту. Короче, симки — это полная хрень. И заодно напомню, что вы никогда и никак не проверяете входящие на то, кто их вам отправил от имени вашего лучшего друга. Одно это должно вводить в легкий шок.
            2. Ломаная опера на телефоне может вынести все деньги через сайт сбербанк-онлайн с двухфакторными смс-подтверждениями.

            Серьезные проблемы или надо решать на к о р е н н о м уровне, или опустить руки. Полумеры — для торгашей.
  • +1
    Если коротко:

    Меняйте пароли, все у кого есть на Яндексе почта (даже автоматическая).

    Не надейтесь (назовем это educated guess ) что ограничилось миллионом (или двумя-тремя и тд), думайте о том что слитая база вероятно была «демо» для демонстрации реальности.

    Паники не нужно, но поведение PR службы Яндекса просто крайне непрофессионально.

    Я уверен что техническая команда найдет как это произошло, с огромной вероятностью сам Яндекс тут ни причем, но уже очевидно что ни причем и пресловутые кейлоггеры / троянцы (или как максимум только часть информации через них получена).

    Cегодня имею много подтверждений того что в том числе ушли пароли весьма свежие, с автоматизированных систем под юниксами (с навороченной защитой).

    Паники никто не хочет раздувать, в общем-то ничего смертельного нет — надо просто менять пароли быстро.

    • 0
      Скажите, какая разница, какие у вас навороченные защиты в юниксах, если Вы заведете учетку с таким же паролем, как у почты, на сайте, который хранит пароли в открытом виде и эти пароли внезапно утекут?
      • +2
        Разница в том, что никто никакие учетки не заводил.

        Это были в том числе роботы (внутренние платежные сервисы например) очень серьезно защищенные.

        С достаточно свежими паролями. С доступом 1-2 авторизованных лиц.

        Как минимум несколько человек сегодня рассказали схожие истории.

        Вероятность заражения машин такого класса стремится к нулю. Пароли там генерятся под один сервис, достаточно сложные и нигде более никогда не используются. Это не рабочие станции, это выделенные машинки под одну конкретную задачу. Из софта там нет ничего вообще кроме сервиса одного.

        В основном все молчат и не разводят панику, никому это не выгодно на рынке.

        Просто — меняйте пароли, вот и все.
        • 0
          А эти несколько человек, рассказавшие схожие истории, рассказывали, каким образом осуществлялось взаимодействие с серверами Яндекса? Использовали ли они SSL? Если не использовали шифрование, исключали ли они возможность перехвата трафика между Яндексом и своими системами?

          Вы должны понимать, что нюансов может быть очень много. И рассказывать можно многое. Но если утекать нечему, то как оно может утекать?
          • 0
            SSL Only.

            MITM исключают, но в общем-то вопрос для меня сейчас точно не закрытый. Мало того — я не исключаю что ломали и сервера такие, но это уже точно уровень не обычного ботнета / троянцев.

            Ребята кстати в рунете достаточно известные, сочинять смысла им нет. Сами в шоке.
        • +2
          Это были в том числе роботы (внутренние платежные сервисы например) очень серьезно защищенные.

          С достаточно свежими паролями. С доступом 1-2 авторизованных лиц.

          Ну как сказал мне замдиректор департамента Яндекса в личной беседе, обычно при расследовании выясняется, что кто-то из тех авторизированных лиц «у сестренки дома один раз залогинился» или что-то вроде того. Я уверен, яндексовцы не будут против одного-двух примеров утекания учеток, которые вроде бы прекрасно защищены — Антон уже собирал пару. А дальше можно посмотреть историю логонов и метрики по поведению залогиненного пользователя.
          В основном все молчат и не разводят панику, никому это не выгодно на рынке.

          Конечно не выгодно, потому что это просто глупо. Какой-то, весьма большой процент учетных данных в любой момент времени будет украден.
        • 0
          Как производился доступ к данным серверам? из интернета по SSH или только физический доступ был? Эти платежные сервисы использовались серверами, которые были в открытом доступе?
  • –5
    Статья ужасна. Куча повторов, ошибок, да и выглядит все дикл неубедительно.
    • –2
      Ну а с чем не согласны-то?
      Статья написана действительно плохо. Хуже всех предыдущих статей Яндекса. Видно, что сделана она впопыхах и если и проходила корректуру, то очень торопливо.
      Повторений действительно куча. Не совсем понятно, почему — чтобы вдолбить нам те факты (например, 85% уже было заблокировано) или потому, что статью не вычитывали?
      Выглядит неубедительно потому, что в люди, вероятность которых напороться на трояны или фишинг стремится к нулю обнаруживают свои учётные записи.
      В комментариях верно подмечено, что даже если не взлом, то настолько массовый брутфорс тоже повод для негодования.
      • +1
        и главное не объяснят с чем не согласны. Всё правильно написал.
      • 0
        по вашему более убедительно выглядит следующий сценарий:
        1. Утекла база данных пользователей(или часть) с серверов Яндекса;
        2. Сотрудники Яндекса это увидели и ждали пока появятся новости ничего не предпринимая;
        3. После появления новостей они заблокировали аккаунты с принудительной сменой пароля и начали писать опровержение что это не они виноваты.
        ?

        даже если не взлом, то настолько массовый брутфорс тоже повод для негодования.

        В базе есть довольно сложные пароли, хэши которых сложно(или невозможно в разумные сроки с разумными затратами) даже локально сбрутфорсить.
        • 0
          Нет, по-моему такой сценарий не слишком убедителен.
          Но если сделать предположение и следовать ему, то они могли не сидеть и ждать, а просто не знать об этом до новостей на тех самых форумах (вряд ли они могли узнать только после Хабра). И да, написание опровержения — один из возможных вариантов в данной ситуации. Вы что, первый раз видите, когда компании врут?
          Я не сторонник теорий заговора. Учётные записи мои лично и моих родственников, которые хранятся в менеджере паролей никуда не «утекли». Но при этом здесь и в других местах есть вполне адекватные люди, которые утверждают, что, например, пользовались исключительно линуксом, на фишинг попасться не могли и т.п.
          Если бы это задело лично меня — я бы говорил более уверенно потому, что серьёзно отношусь к безопасности учётных данных. В текущей же ситуации могу только делиться подозрениями — любой адекватный человек не слепо верит тому, что ему пишут, а ещё и сам думает и проверяет факты. Но в данном случае, факты слабы, так как не могут быть собственноручно проверены.
          А то, что статья была написана ужасно, надеюсь, никто не отрицает. Я её, конечно, не перечитывал, но, надеюсь, она уже исправлена.
          • 0
            Особо не слежу за новостями из этой области, но не припомню лжи от крупных ИТ компаний на тему взлома. Знаю некоторые случаи, когда компании не врут. Даже без утечки данных и информации о факте взлома в открытые источники, компании предупреждают своих пользователей, чтобы те сменили пароли(в случае взлома самой компании). Почитайте статью в моем профиле и вывод, там есть мои размышления на эту тему, по-моему они убедительны.

            Но при этом здесь и в других местах есть вполне адекватные люди, которые утверждают, что, например, пользовались исключительно линуксом, на фишинг попасться не могли и т.п.

            Линукс не исключает взлома. В комментариях хабра я ещё не нашел пострадавших пользователей, которые уверены в безопасности своей системы и при этом у них стоял бы сложный пароль, который маловероятно сбрутить.
            • 0
              В комментариях хабра я ещё не нашел пострадавших пользователей, которые уверены в безопасности своей системы

              habrahabr.ru/company/yandex/blog/236007/#comment_7945565
            • 0
              Особо не слежу за новостями из этой области, но не припомню лжи от крупных ИТ компаний на тему взлома.

              Ну так чтобы вы помнили о ней — это надо, чтобы их раскрыли. А когда на ложь идут — скорее всего уверены, что позаботились о том, чтобы правду никто не узнал.
              Знаю некоторые случаи, когда компании не врут. Даже без утечки данных и информации о факте взлома в открытые источники, компании предупреждают своих пользователей, чтобы те сменили пароли

              Да, я тоже видел такие примеры. Особенно это хорошо было заметно после Heartbleed — компании сразу поделились на тех, кому плевать на пользователей и тех, кому не плевать.

              В общем, я понял одно: первый комментарий этой ветки нужно было писать более развёрнуто. Судя по всему, многие, когда видят подозрительность в подобных ситуациях, могут автоматом поставить ярлык любителя теорий заговора и подобных вещей.
  • 0
    Не рассматривали ли вы возможность утечек через синхронизацию в бразуере (Chrome, FF), через парольные расширения типа OnePass, LastPass etc.?
  • +1
    «Эти пароли не могли быть получены в результате пассивного сетевого сниффинга: в Яндексе достаточно давно все ситуации, в которых передается пароль, защищены TLS. Например, в Почте для протоколов POP3, IMAP и SMTP используется STARTTLS или варианты протоколов со включенным TLS».

    image

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.

Самое читаемое Разработка