company_banner

1 000 000 уже неработающих паролей в открытом доступе. Как мы защищаем пользователей Яндекса

    Вчера ночью в нескольких местах, в том числе на Хабре, появилась информация о базе паролей к некоторым аккаунтам на Яндексе. За последние несколько часов мы тщательно её проанализировали и пришли к следующим выводам. Во-первых, речь не идёт о взломе Яндекса — данные стали известны злоумышленникам в результате вирусной активности на заражённых компьютерах некоторых пользователей или фишинга. Это не целенаправленная атака, а результат сбора скомпрометированных аккаунтов в течение длительного периода времени.

    О 85% скомпрометированных аккаунтов из этой базы нам уже было известно через анализ их поведения или другими способами. Мы предупреждали их владельцев и отправили их на смену пароля, но они этого не сделали. Это означает, что такие аккаунты, скорее всего, заброшены либо созданы роботами.

    Проверить, нет ли вас в списке, очень просто — попытайтесь сейчас зайти в Яндекс.Почту. Всех владельцев оставшихся аккаунтов этой ночью мы отправили на принудительную смену пароля.

    Конечно, мы не храним пароли открытым текстом, никогда не передаём их по сети открытым текстом и не открываем их любым третьим лицам. Более того, большинство из этих паролей слишком простые, и сейчас их даже установить не получилось бы. Технические и не очень подробности читайте под катом.

    Данные пользователей Яндекса, конечно же, не хранятся в открытом виде: мы используем «соленый хеш» с очень длинной (48 бит) солью. Речь не идёт о «кроте» — пароли «утекли» от пользователей, а не из Яндекса.

    Эти пароли не могли быть получены в результате пассивного сетевого сниффинга: в Яндексе достаточно давно все ситуации, в которых передается пароль, защищены TLS. Например, в Почте для протоколов POP3, IMAP и SMTP используется STARTTLS или варианты протоколов со включенным TLS. В веб-версии пароль отправляется на passport.yandex.* по https, при этом для этих адресов не только используется HSTS, но и они помещены в так называемый preloaded list для браузеров Chrome, Mozilla и Яндекс.Браузера. Таким образом, трафик на Паспорт всегда приходит по https. Все это позволяет нам исключить версию со сниффингом.

    По нашему мнению, опубликованный список паролей является результатом длительной работы: частично он наполнен данными, которые явно были получены в момент их ввода пользователем — либо с помощью клавиатурного шпиона, либо за счет фишинга. Кроме того, не исключена ситуация кросс-чека: если пользователь использует один и тот же пароль на разных ресурсах, взлом на одном из них приводит к компрометации и других учетных записей пользователя.

    Среди скомпрометированных паролей есть такие (например, «qwerty»), которые уже нельзя установить: довольно давно мы включили их в стоп-листы. То есть в опубликованном списке присутствуют очень старые пароли, что мы проверили и по своим базам данных. Это может объяснить, почему некоторые комментаторы пишут, что они нашли в базе логин, которым давно не пользовались. Он мог быть скомпрометирован не на прошлой неделе, а несколько лет назад.

    По нашим внутренним данным, около 85% логинов в этом списке уже были известны нам как скомпрометированные. При этом на момент публикации списка им уже было предложено сменить пароль, но они этого не сделали. Это говорит о том, что живые люди этими ящиками не пользуются, а боты перестали пользоваться, когда был установлен флаг смены пароля (там нужно ввести капчу, и обычно бот-мастера предпочитают не покупать ее распознавание, а просто бросить аккаунт).

    На всякий случай, опровергнем и спекуляции о предоставлении доступа сотрудникам спецслужб к серверам Яндекса. Мы никому не предоставляем ни пароли в открытом виде, ни даже их хеши. Сотрудники ФСБ, ЦРУ, АНБ, Моссада и других субъектов ОРМ не имеют доступа к серверам Яндекса. Доступ к содержимому почтового ящика может быть предоставлен исключительно по решению суда.

    Таким образом, мы исключаем версии об утечке паролей из Яндекса, и считаем, что база могла быть наполнена либо за счет фишинга, либо за счет скомпрометированных компьютеров пользователей, либо за счет кросс-чека.

    Взлом пароля не означает взлом сервиса. Пароли могут быть скомпрометированы из-за того, что на компьютере пользователя есть вирусы, которые передают информацию о персональных данных злоумышленникам. Или «утекли» в результате фишинга, когда сайт злоумышленника выглядит, как настоящий, и пользователь вводит там пару логин/пароль. Бывает и так, что пользователи регистрируются на разных сомнительных сайтах, в качестве пароля выбирая тот же, что и у почтового ящика, с которого происходит регистрация.

    Фишинг, кросс-чек и утечка паролей с компьютеров пользователей из-за вирусов — постоянная проблема многих популярных сервисов, а не результат одноразовой и целенаправленной атаки пользователей.

    В конце хочется ещё раз всем порекомендовать выбирать сложные пароли и регулярно их менять. Не поленимся ещё раз дать ссылку на наш любимый сайт на эту тему: security.yandex.ru.
    Метки:
    Яндекс 692,88
    Как мы делаем Яндекс
    Поделиться публикацией
    Похожие публикации
    Комментарии 199
    • 0
      А где ссылка то? (UPD: появилась)
      • 0
        А раньше пароли хранили в открытом виде.

        Пароли не хранились в браузере еще раз повторяю. Они приходили в открытом виде с сервера яндекса.

        habrahabr.ru/post/82317/ — начало здесь
        habrahabr.ru/post/82504/ — второй топик.
        habrahabr.ru/post/82880/ — третий топик, мякотка.
        • +3
          Не совсем понимаю, к чему тут информация про 2010 год, да ещё и не про пароли пользователей Яндекса, а про пароли в сборщике почты. Ваша цель — какая, чему помочь?
          • +5
            Это доказательство того, что Яндекс в недавнем прошлом мог «хранить и передавать пользователей в открытом виде». А притом, что у многих обывателей интернета один или два пароля на все аккаунты, это был шикарный подарок.

            Я никому не помогаю, я привожу занимательный факт, достойный упоминания в контексте ситуации.
            • +14
              Как бы очевидно, что пароль от УЗ на чужом ресурсе (сборщик почты) не может храниться в хешированном виде по определению. Но свои УЗ могут быть хешированы.
              • –2
                Зато не очевидно, зачем этот пароль обратно пользователю в открытом виде передавать было? Угнали учетку яндекса, а из нее потом вытащили все пароли от других почт, коих может быть десятки за раз, в том числе и корпоративные.
                • +5
                  Зато не очевидно, зачем этот пароль обратно пользователю в открытом виде передавать было?

                  Баг.
                  Угнали учетку яндекса, а из нее потом вытащили все пароли от других почт

                  И не только почт, а еще для кучи сервисов пароли сменили, а где-то просто достали пароли и писем. Но тот баг вроде же закрыли, так что именно вытащить пароль сборщика будет непросто.
                  в том числе и корпоративные.

                  За такое корпоративные безопасники должны долго бить пользователя ногами. Какого лешего он доверил третьей стороне свои учетные данные?
                  • –5
                    Баг — смягчающие обстоятельство?

                    Битие ногами корпоративными безопасниками снимает ответственность с Яндекса?
                    • +7
                      ok. Давайте так.

                      Яндекс несет полную ответственность за то, что в 2010 году исправил баг из-за которого пароли для сборщиков почты попадали в верстку. Пароли сборщиков почты доступны в открытом виде по очевидным причинам.

                      Пароли аккаунтов Яндекса хранятся захешированые.
                  • –2
                    Сотрудник Яндекса заверяет что на протяжении 10 лет все пароли хранились на сервере исключительно шифрованными, habrahabr.ru/post/235949/#comment_7940931

                    Тогда как они могли передаваться пользователю обратно с сервера в открытом виде в 2010 году? Если они там шифрованные?
                    • 0
                      1) Не путайте шифрование и хеширование. Первое обратимо. Яндекс говорил, что они хешируют.
                      2) Разумеется, речь шла только про собственные учетные данные.
                    • 0
                      Передавались пароли не от яндекса, а от чужих почтовых ящиков для пересылки почты.
                      • –6
                        Т.е. свои пароли нельзя никому отдавать, а чужие можно, т.е. смягчающее обстоятельство?
                        • 0
                          То что они передавались пользователю — это ошибка яндекса.
                          Но вот хранить их в виде хешей было невозможно, только в открытом виде.
                          • НЛО прилетело и опубликовало эту надпись здесь
                            • +1
                              Особого толку в этом нет, если хватило полномочий и квалификации слить базу, то скорее всего хватит и утащить исходники и ключи шифрования.
                              • –1
                                не факт, если база и код отдельно хранятся.
    • –25
      Пфф…
      При попытке входа принудительно предлагают поменять пароль (о чем написано в статье). Аккаунтом практически не пользовался. Регистраций на сомнительных сайтах нет. Вирусов на машине тоже. Так что, маловероятны ситуации получения данных моего аккаунта, описанные выше.
      Чтобы поменять пароль, предлагают ввести номер телефона, которого, как мне помнится, при регистрации я не указывал.
      Ну что ж, дарю аккаунт Яндексу, вслед за кошельком с потерянным платежным паролем.
      • +6
        «Чтобы поменять пароль, предлагают ввести номер телефона, которого, как мне помнится, при регистрации я не указывал.»
        Вы не поняли :) если номер можно ввести, значит вы можете поставить любой пароль просто зная логин+пароль и введя свой номер телефона.
        Т.е. взяв базу данных можно увести сейчас любой заблокированный ящик где не был введен номер телефона.
      • 0
        Ну что ж, дарю аккаунт Яндексу, вслед за кошельком с потерянным платежным паролем.

        у меня похожая ситуация :(
    • +43
      В общем, слили не базу паролей Яндекса, а базу паролей какого-то жулика. Теперь ему придётся собирать её заново. Плак-плак.
    • 0
      ещё раз всем порекомендовать выбирать сложные пароли

      Наглядная статистика демонстрирует, как относится по крайней мере треть пользователей к таким рекомендациям. Почему бы не поставить адекватный фильтр хотя бы на словарные пароли?

      P.S. Да и в том же треде: habrahabr.ru/post/235949/#comment_7941581
      Одна кнопка «сгенерировать пароль» для ленивых пользователей уже сведёт на нет подобные масштабные бедствия. Даже если пользователям наплевать на свой ящик — яндексу как борцу со спамом не должно быть всё равно.
      • +4
        Среди скомпрометированных паролей есть такие (например, «qwerty»), которые уже нельзя установить: довольно давно мы включили их в стоп-листы. То есть в опубликованном списке присутствуют очень старые пароли, что мы проверили и по своим базам данных.
      • +1
        Он уже сейчас стоит. Просто многие из паролей в этой базе были очень старыми, из тех времён, когда таких фильтров не было либо они были слабее.
        • +27
          Не сочтите за грубость, НО:
          1. Берём какой-нибудь пароль из того списка (я имею ввиду TOP-200), я выбрал наугад porol777 — его предпочитают 146 человек из миллиона.
          2. Вводим.

          Результат:

          • +12
            да там даже qwerty123 признаётся надежным…
          • –5
            Сохранить жали? По-моему вполне ожидаемо, что нет проверки на клиентской стороне. Вопрос есть ли она на серверной.
            • 0
              Я не веб разработчик, но думаю что там обновление данных о пароле происходит при каждом вводе символа.
            • НЛО прилетело и опубликовало эту надпись здесь
              • НЛО прилетело и опубликовало эту надпись здесь
                • +1
                  Угу, тоже посмотрел. Попробовал все же сохранить qwerty123 — сожрался.
                  • 0
                    Это значит что там используют что-то самописное. Скорее всего банальный словарь, линуксовый cracklib умеет распознавать пароли, составленные из двух словарных слов и такой фокус в *nix системе не работает. Более того, на «хороший» пароль, рекомендованный на security.yandex.ru, cracklib ругается, если убрать восклицательный знак. Этот пароль — самый наглядный пример для известного комикса.

                    Так что habrahabr.ru/company/yandex/blog/236007/#comment_7943101 всё ещё имеет силу.
                  • 0
                    Даже чисто цифровой пароль и тот прошел, правда с пометкой «простой».
            • 0
              Я не враг себе, чтобы сохранять пароль, который я только что опубликовал на всеобщее обозрение:) Но даже если бы при сохранении мой пароль окажется вдруг слабым — это вызовет ещё большее удивление пользователя.
    • +19
      А двухфакторную авторизацию делать не планируете? Вообще сняло бы все подобные «проблемы».
      • +8
        лишь бы не принудительную, а то иногда это бывает неудобно
      • +8
        Судя по тому, насколько старыми были многие из паролей в базе, проблему это бы не сняло, к сожалению.
        Но двухфакторную авторизацию мы, конечно, планируем.
      • +1
        Пользователи с такими паролями попросту не захотят её ставить, а если выставить по умолчанию, то это будет очень трудно для этих же пользователей, что уменьшит их количество.
    • –3
      Господа, я конечно понимаю что вы были обязаны среагировать максимально быстро.

      Но все написанное выглядит (мягко говоря) поспешной работой маркетологов и скорее вызовет еще больше подозрений.

      Фактически, вы сейчас показали что не было реального расследования, но просто работаете методом исключения (так не могли, и так не могли, и так тоже не могли… значит троянцы!)
      Такой подход не имеет никакого права на жизнь, ввиду того что является просто голословным.

      Мировая практика показывает что ломают все :)

      Простейшие вопросы (которые у любого человека сразу в голове появятся после прочтения вашей объяснительной)

      1) вы можете гарантировать что утекло только миллион?

      2) у вас есть доказательства «фишиноговой активности» или это ваши теоретизирования?

      3) вы акцентируете внимание на старых паролях / аккаунтах. это называется увод фокуса внимания. есть ли у вас доказательства того что утекли только старые аккаунты / пароли?
      • +11
        1. «Утекло» вообще некорректно говорить. От нас не утекло ни одного пароля, поэтому мы можем гарантировать, что не утекло и больше.

        Была опубликована база с миллионом паролей (85% из которых на момент публикации уже не работали), которые украли у пользователей.

        2. Это наше предположение на основе содержания файла с паролями.

        3. Мы нигде не говорили «только». Большинство паролей в этой базе не менялись очень давно — это факт, который подтверждается в том числе по нашим внутренним данным.
        • –11
          1) Антон, «утекло» говорить вполне корректно. Оно _могло_ утечь не от вас, но от кого-то оно в любом случае утекло.

          2) Отлично. Тобишь реалии такие что вы реально исходите из той базы с паролями которую увидели. То что там «красивое» число (миллион), а реально может быть и 2 и 10 миллионов — это никого не смущает :)

          3) Это всего лишь означает что слить могли уже ненужные пароли. Зачем? Ну например потроллить Яндекс, чуть акции приспустить и купить и тд. Вариантов множество.

          Сухой итог — то что здесь написано — в общем-то реально маркетинг, и является большой ошибкой Яндекса _такое_ писать.
          • +3
            А расскажите, какое расследование вы хотели бы видеть? Как это должно было бы выглядеть?
            • 0
              Вам там ниже предлагают вариант :) с SSH доступом и 15-символьным паролем.

              Показываете что реально троянский конь / вирус стоит, называете конкретные разновидности (что таскали пароли Яндекса).

              Можно было тот-же «Касперский» подтянуть, хотя бы для маркетинга (чтобы подтвердили — да, пароли Яндекса утаскивались в таких размерах).

              Взять выбранные ящики (наиболее активно выступающих) и проверить историю заходов с «чужих» IP.

              И тд и тп.

              Ну а если честно — очень меня терзают сомнения что смогли собрать базу на миллионы паролей (очевидно, что опубликовали скорее всего далеко не все) с помощью кейлоггеров / троянов.
              • +4
                То, что вы говорите, уже сделано. Историю заходов, конечно, проверяли и ещё будут проверять дополнительно. Вообще, то, что мы сделали что-то уже сейчас, совсем не означает, что на этом мы остановились и больше ничего делать не будем. Конечно же будем.

                Но это совсем не повод не говорить того, что известно сейчас. Я не вполне понимаю вашу позицию о том, что это «является большой ошибкой Яндекса такое писать». Я верю в то, что открытыми надо быть на всех этапах.
                • +5
                  Ну вот не надо рабочие гипотезы (а то что увели троянцами — это только гипотеза) выдавать за финальный вариант.

                  Дословно, написанное вами: «Таким образом, мы исключаем версии об утечке паролей из Яндекса»

                  Топишь вы за сутки проверили полное расследование и уже все исключили.

                  Фактически, вы поставили себя в рамки что даже если будет найдена другая причина (брутфорсы, слом и прочее) вы не сможете ее озвучить, ибо сразу настаиваете жестко на принципе «я не я и мама не моя» ;)
          • 0
            Работники Яндекса подтянулись? :)

            Неужели реально нет понимания что данное объяснение — реальная профанация?
            • +10
              не понимаю откуда минусы… Человек дело говорит. Сомнения вполне оправданы. И отписки в ленте и на хабре были бы в любом случае, утекли бы пароли с яндекса, либо от какого-то безумного коллекционера паролей фетишиста яндекса.
              Репутационные риски в такой компании = большие деньги. Потому убедительность «отписок» может быть сколь угодно крута.

              Миллион двести тысяч паролей через кейлогеры и брутфорсы? Бред же.

              Здесь надо брать и проверять. Проводить расследование, по логинам-ip-время-место. Разобраться хоть в каком-то проценте случаев, чтобы вывести реальную картину. Пока всё на уровне «не то и не то, а значит вон то»…

              Работники эпла вот не поленились, защищая свой icloud.

              *Работники яндекса уберите минусомёты, и так недавно хабр карму обнулил)
              • +11
                Я не думаю, что это работники Яндекса, если честно.
                Лично я, по крайней мере, не минусую, а пытаюсь разговаривать.

                Конечно, мы проведём и более подробное расследование всеми доступными методами и постараемся выяснить всё то, что ещё неизвестно точно.

                С другой стороны, фразы вроде «то что здесь написано — в общем-то реально маркетинг, и является большой ошибкой Яндекса _такое_ писать» мне тоже кажутся несколько… поспешными и необдуманными.
                • +2
                  ну разве не маркетинг? Если даже в заголовке неправда. Изменили бы хоть…

                  Ниже расписано, как вбивая свой номер можно без проблем увести ящики. Пароли рабочие.

                  Хотя я понимаю, что не написать что-то такое вы не могли. Вам же надо на волне интереса к событию сделать вброс опровержений… Ведь через пару дней они уже будут большинству не интересны и в памяти останется только то, что у яндекса увели пароли из под носа.
                  • 0
                    Что именно является неправдой в заголовке? Все пароли на момент публикации поста были отправлены на обязательную смену.

                    Про номера мы сейчас дополнительно проверим, если это так — конечно, это серьёзная ошибка и будет исправлено и перепроверено.

                    Про опровержение вы тоже, увы, правы — сейчас конкретно формулировку «увели миллион паролей от Яндекса» тиражируют очень многие, зачастую совсем необдуманно и с неверным посылом. Хочется это хотя бы немного исправить и объяснить.
                    • +2
                      ну, будут положительные моменты из всей этой ситуации)

                      Прокачаете нормально свою ИБ. А то ведь сервис ого-го уровня.

                      *вот у вас денёк сегодня, наверное. Все поди, как угорелые носятся…
                      Инциденты ИБ — они такие)
              • +2
                И отписки в ленте и на хабре были бы в любом случае, утекли бы пароли с яндекса, либо от какого-то безумного коллекционера паролей фетишиста яндекса.

                Не забывайте, что у кого-то могут быть аналогичные файлики по мейл-ру, гмейлу и прочим. Просто слили зачем-то только яндексовский.
                • 0
                  возможно нас ждёт целая серия подобных разоблачений)

                  И как говорил Дункан: «Останется только один» )
                  • 0
                    Собственно, потому можно порекомендовать всем, кто нашел себя в том списке, сменить пароли во всех важных местах.
                  • 0
                    • 0
                      ух, и правда началось…
                • 0
                  а Вы прорицатель, однако
                  • +4
                    Прорицательство входит в мои служебные обязанности. Зря что ли бубен висит рядом с рабочим местом?
              • 0
                >Миллион двести тысяч паролей через кейлогеры и брутфорсы? Бред же.

                Предлагаю почитать мою статью с рассуждениями на эту тему и к какому выводу пришел лично я, но думаю он будет убедителен для многих. Если можете привести более убедительные аргументы — приведите.
          • 0
            Кстати, если бы разобрались в вопросе, то обнаружили бы, что там не миллион, а примерно 1.2 миллиона. Не круглое число.
            • 0
              Ну, если Яндекс себе позволяет писать «1.000.000» при заведомой некорректности, то что уж там простым людям ;)
              • +1
                Очевидно, данный заголовок просто обыгрывает заголовок исходного поста, в котором сообщалось об утечке паролей. Автора того поста тоже за это критиковали.
        • 0
          Вообще, резюмируя:

          Сколько реально утекло / украдено паролей вы не знаете, сами ориентируетесь на эту же базу.

          На рекомендацию (разумную и единственно верную сейчас) всем пользователям сменить пароли вы не пойдете, боитесь скандала.
          • 0
            Ну у всех видимо разные ценности… ebay вон сравнительно недавно как раз менял пароли всем юзерам.
            • +1
              Это вполне нормально.

              Сломали — признай, смени.

              Другой разговор что сейчас фактически идут гадания, расследования нормального не было еще (физически невозможно успеть), но уже (типично по советски) глухая оборона и отмазки «от нас уйти не могло».

              Я ж чего завелся? :)

              Не от того что пароли сломали (да всех ломали...), а от того что пургу несут типа «Таким образом, мы исключаем версии об утечке паролей из Яндекса»

              За полдня расследования проведенного такие заявления — крайне непрофессиональны (я стараюсь быть политкорректным).
              • +2
                Скажите, вы уверены, что вчера не из вашего гаража угнали Lamborghini Aventador? Точно уверены? А сколько вы времени думали перед тем, как ответить на этот вопрос?
                • 0
                  Не уверен конечно, бывает соседи паркуются на моем месте — были и феррари и ламбы…
                  • 0
                    Вот прямо в вашем гараже паркуют, внутри него?

                    Немного перефразирую вопрос. Вы уверены, что не у вас угнали Lamborghini Aventador?
                    • –3
                      Конечно не уверен.

                      А вдруг мне подарил кто — а я и не в курсе?
                      • 0
                        То есть такая версия всерьез рассматривается? Ок, вопросов больше не имею, удачи по жизни с таким подходом.
                        • –4
                          Конечно всерьез.

                          Мне тут Теслу обещали подарить в обмен на консалт по огромному проекту, в принципе могут и Ламбо ;)

                          Вы по себе людей не равняйте, реально.

                          И примеры глупые не приводите, проще будет.
                          • 0
                            То есть могут втайне от вас протащить ее в ваш гараж, предварительно взломав его? Прикольные друзья.
                            • +1
                              Гаражи бывают подземные, общего пользования но с выкупленными местами. Типа не в курсе? :))



                              А реально — пример как раз не с Ламборгини должен быть, а (наиболее понятный тебе) — Форд Фокус.

                              Объява по радио в Мск — «угнали 1000 форд фокусов за день».

                              При условии что он у тебя стоял в гараже — ты точно знаешь что твой не угнали? ;)
                              • +1
                                Нет, я, конечно, понимаю, что у тебя есть повод гордиться умением получать теслы за порции откровенно вредоносных советов и отсылки к знающим людям по любым хоть немного сложным вопросам, но всему есть предел…

                                Давай не будем про фордфокусы, а будем про ламбы. Вот я знаю, что у меня нет ламбы. Я слышу по радио, что угнали ламбу. Очевидно, угнали не у меня. Все верно? И у тебя нет ламбы, потому тебе нечего беспокоиться. У кого есть ламба (см. «cleartext пароли в базе»), тот занервничает, будет искать, где что и как.
                                • –1
                                  Гхм. Это как-будто бы я начал про машины тут?

                                  Про вредоносные советы — это блестяще.

                                  Как-то вот так сложилось, что я делал 100% технической инфраструктуры ряда крупных и сверхкрупных проектов, причем все из них очень успешны на рынке. Ну да это мелочи, и я даже не буду задавать классические вопросы.

                                  Так вот — пример с ламбой несостоятелен, хотя он тебе так нравится.
                                  Кстати если заветная мечта — то в странах развитого капитализма можно в лизинг взять практически что угодно, поэтому пример посмешил добавочно.

                                  Пример с форд-фокусом — вполне cостоятелен. Угнали тысячи, один из них вполне возможно — твой.

                                  Увели не clear-text пароли, все намного сложнее. Уже пахнет как минимум MITM.

                                  Если бы ты был реальным профессионалом рынка, то знал бы еще со вчера, что ушло далеко не миллион паролей, и причем ушли такие пароли которые вообще крайне маловероятно представить что «сняты» троянцами.

                                  Просто большинство народа не хотят делать Яндексу плохо (и я точно не хочу), но открытый провал работы PR службы очевиден.
                                  • +1
                                    я делал 100% технической инфраструктуры ряда крупных и сверхкрупных проектов

                                    Невероятно… Прям и на дуде игрец, правда, не знающий подозитьельно базовых вещей… Вероятно, роль называлась как-то вроде «менеджер проектов» :) А может, та архитектура, пока к разработке не подключились взрослые дяди, выглядела как-то вроде «один сервер, и этого хватало»? Вон TPB сверхкрупный проект, но там от силы пара серверов, а вся информация с хранилищ на флешку влезает.
                                    Кстати если заветная мечта

                                    Это была бы довольно глупая мечта… Нет, просто пример того, чего нет ни у одного из нас. Видимо, слишком сложный пример, надо что-то попроще. «Взорвали Звезду Смерти» годится? :)
                                    Если бы ты был реальным профессионалом рынка, то знал бы еще со вчера, что ушло далеко не миллион паролей, и причем ушли такие пароли которые вообще крайне маловероятно представить что «сняты» троянцами.

                                    Ну если бы ты знал хоть что-то про технологии, то сообразил бы, что то, как выглядит украденный троянами пароль, совершенно несущественно. Число учеток может быть любым, ну и закономерно, что большинство паролей будет достаточно простым (так как большинство зараженных — ламеры).

                                    И прямо сейчас я уже не очень понимаю, из-за чего вообще шумиха. Чуть покопался — без проблем нашел файлы с сотнями тысяч учеток gmail, rambler, hotmail, yahoo и прочих. Покопать сильнее — найдутся миллионы по ним. Наверное, со всеми ими что-то нечисто…

                                    И у тебя вообще очень странно логика работает. Яндекс отчитывался за конкретно тот файл и поднятый из-за него шум. Те учетки гарантировано угнаны, все отправлены на смену пароля. Яндекс не говорил, что этот список угнанных паролей — исчерпывающий. Яндекс предпринимает и дополнительные меры защиты помимо пароля. А лично ты что предлагаешь? Вроде где-то озвучивалась «замечательная» идея отправить вообще всех на смену пароля.
                • 0
                  Если бы у меня был Lamborghini Aventador я бы не мог ответить со 100% гарантией, по крайней мере пока не проверил бы) Или Вы утверждаете что у Яндекса нет паролей пользователей?)
                  • +1
                    Я вполне верю, что у яндекса нет паролей от учетных записей собственных пользователей. Хранить такую информацию — неоправданный риск.
                    • 0
                      но и утверждать не можете, правду нам могут никогда и не сказать, тут скорее доверие к компании. Да и компания может не признавать утечьки до последнего, имидж как-никак. Моего мыла в списках нет, хоть это радует)
                      • 0
                        Вопрос не в доверии. Вопрос в понимании, что там работают грамотные люди, которые не сделают огромную глупость и не пойдут на такой риск.

                        То, что вашего мыла нет в тех списках, не значит решительно ничего :) Если бы оно там было — хоть какая-то информация и повод для размышлений и дальнейших действий.
                      • 0
                        У Яндекса и так есть доступ ко всем данным пользователей, зачем им пароли?
              • 0
                Это не сервер дяди Васи, а сервера компании Яндекс. Для таких крупных компаний критически важно следить за безопасностью своих серверов и быть уверенными утекло у них что-то или нет, иначе на рынке не удержаться. Ясное дело, что взломать можно практически всё, но отследить взлом вполне реально, поэтому они так уверенно и говорят.
          • 0
            У вас вполне разумная критика, но позвольте побыть КО

            Если предположить, что пароли действительно утекли у Яндекса (мы не можем знать, так ли это) и что Яндекс их хэширует вполне надежным способом (я склонен считать, что это так — ибо знаю немало уважаемых спецов, которые там работают и не допустили бы такого ляпа) — значит, каким-то образом они были перехвачены в момент авторизации, регистрации или смены.

            Принудительная смена неутекших паролей в данном контексте сами понимаете к чему может привести в контексте того, что Яндекс уверен в отсутствии проблемы на своей стороне, опять же, Яндекс, не обижайтесь.

            И, кстати, не стоит списывать со счетов вариант с дырами в SSL и организацией масштабного man-in-the-middle, ибо рядом здравствует тред про мейлру — мы живем в интересное время в интересной стране интересном мире.
            • 0
              По мейлу я не репрезентативный, но всё же: ни одного своего или родственников мыла там не нашлось.
              Из списка агента проверил с десяток контактов, всплыло два — они точно могли заразу подцепить и даже подцепили в одном случае.

              А всё веселье было до ХР, тогда можно было всё, но я был молод и ничего не умел.
              Сейчас гайки сильно затянули и порог поднялся из for fun до profi.
        • +5
          Пароли взяты из старой базы где было все чистым текстом, либо это был перехват трафика и паролей из него.
          85% паролей не работает? Я взял десяток случайных, все работают. Там где заблокировано и нет номера, вводишь свой номер и меняешь пароль чужого ящика. Безопасность на высоте.
          • +1
            Не было у Яндекса «старых баз с открытым текстом».

            Мне это лично сказали люди уровня главы департамента Яндекса, причем 10 лет назад еще уже не было — было все хэшировано.

            И я им верю, ибо вполне грамотная там команда техническая.
    • +2
      Ссылка на HSTS битая
    • +15
      Могли ли эти пароли утечь через Heartbleed Bug?
      • 0
        Как мне кажется, проверить это легко. Большинство людей, кто понял об уровне угрозы «Heartbleed Bug», сразу поменяли пароли на почту, если есть тут такие люди, с почтой из списка и которые поменяли пароль, то пусть напишут, совпадал ли пароль тот что был после «Heartbleed Bug» с тем который в списке. Думаю, яндекс сразу после слива бага обновили openssl, если пользовались им.
        • 0
          Не исключено, что часть паролей была похищена и таким образом. Яндекс довольно оперативно пропатчил свои сервера после сообщения об уязвимости, но сама уязвимость существовала задолго до этого. Но большой вопрос сколько паролей можно было увести подобным образом, этот баг не позволяет целенаправлено получать данные, можно добыть лишь довольно небольшие куски памяти сервера. К тому же, считается, что Heartbleed bug существовал пару лет, а по комментариям на Хабре ясно, что некоторые из скомпрометированных аккаунтов были заброшены гораздо раньше.
    • +63
      Дорогой Яндекс, я готов предоставить вам не-рутовый ссх доступ к моей машине, чтобы вы нашли там кейлоггер. Уверяю вас, вы его не найдете. Как не найдете и письма с рекомендацией сменить пароль в моей почте. Да, я не пользуюсь почтовым аккаунтом, но я ежемесячно пользуюсь (пользовался до сегодняшнего дня) ЯД для оплаты интернета, и всегда проверяю, туда ли я попал.
      Я не регистрировался с этим ящиком нигде, просто потому, что я им не пользуюсь для почты, поэтому вариант использования пары почта/пароль на другом сайте тоже не подходит.

      • +3
        Какой сложности был пароль? Длина, табличные слова?
        • +10
          15 символов, 2 табличных слова и цифры. Да, его можно сбрутить, но почему такие попытки не пресекаются?
          (яндекс, к слову, считает такой пароль супер-стойким)
          • +3
            А пришлите, пожалуйста, ваш яндексовый логин мне в личку или на anton@yandex-team.ru.
            • +1
              Он совпадает с юзернеймом на хабре.
        • +2
          Пароль примерно такой: ghbdtn777ghbdtn
          • 0
            Нет, пароль примерно такой:

            qwerty12345qwerty

            что очевидно можно сбрутить
            • 0
              Вы проверяли по базе?
    • +19
      Почему только Яндекс?
      Почему так много?
      Почему сейчас?
      • +4
        «Доколе» забыли :)
      • +1
        Вот больше, сейчас и не Яндекс habrahabr.ru/post/236077/
      • +1
        Если версия Яндекса верна (я и до этого поста предполагал похожее), то пароли собирались неким хакером для каких-то своих целей из различных источников, и интересовал его только Яндекс. Может и не только, но другие пароли попали в другие файлики. Либо он сформировал список паролей Яндекса из своей базы по чьей-то просьбе, например, покупателя интересовали акки Яндекса. Так много, потому что столько удалось наскрести. Сейчас, потому что база этого хакера утекла сейчас, случайно или преднамеренно. Либо была консолидирована сейчас, а до этого, на курсирующие в хакерских ресурсах ее части не вызывали ажиотажа, так как эти аккаунты были перемешаны с другими. Я думаю, ни для кого особо не секрет, что всегда можно купить некоторое количество скомпрометированных аккаунтов того или иного ресурса.
        • +1
          Ну тогда етти и чупакабра рельно существуют. Можно ещё предположить что СОМР продавили.
    • +4
      Технически со стороны яндекса должно быть можно определить наиболее свежий пароль из опубликованного списка, чтобы иметь оценку давности атаки.
      • +1
        Процитирую наш вывод из поста: «это не целенаправленная атака, а результат сбора скомпрометированных аккаунтов в течение длительного периода времени.»
    • 0
      Дилетанская догадка, но как приходят пароли на сервера яндекса для авторизации? Если они от клиента приходят в чистом виде на сервер для последующего хеширования и сравнения, то это отличное место чтобы их там записать куда нужно, а потом переслать.
      • +4
        Они приходят по TLS, поэтому записать нельзя.
        • –1
          Если вредоносный код на принимающей стороне? Конкретно в месте хеширования и сравнения.
    • +29
      Не пользовался яндексовским аккаунтом как минимум 6 лет (с 2008 года). Вообще про него забыл, не заходил на него. Но нашёл в слитой базе. Пароль — 10 символов из латиницы и цифр, не словарный.

      Вариант с фишингом или кейлоггером не выдерживает критики, я даже тогда им пользовался всего пару раз (и то «диском») и внимательно относился к безопасности. В истории активности записей нет. На самой почте яндекса всего десяток писем — от «диска» и поздравления с днем рождения.

      Сегодня ночью я сменил пароль, но до этого привязал к аккаунту номер телефона. К заблокированному аккаунту.

      Что это было, Берримор?
      • +13
        Ночью лунатики заходят в интернет сами того не ведая. Этим кейлогеры и пользуются.
      • 0
        А скажите (можно в личку или на anton@yandex-team.ru) ваш логин, пожалуйста.
        • 0
          Простите, что вмешиваюсь, но сделаю маленькую мысль: вы не думали, что это произошло благодаря ЯДиску?
          • 0
            Тонкое наблюдение, очень похожее на правду, потому как из трёх моих, одна древняя (более 10 лет, но с диском) попала в список, а две молодые (около года, без диска) — нет. Шпион исключается использованием Mail.app
            • 0
              Мне вот тоже кажется, что из-за него… Я им никогда не пользовался (я с гуглодиском итак борюсь — выключаю постоянно)… Но последние проблемы с ним + кажется он хранит пароль в памяти открыто и как-то открыто его пересылает для авторизации…
    • +5
      > мы используем «соленый хеш» с очень длинной (48 бит) солью

      Я просто оставлю эту ссылочку тут: codahale.com/how-to-safely-store-a-password/ — про salted hash там тоже написано. 48 бит делает непрактичным использование rainbow tables но совсем незначительно увеличивает время вычисления хэша.
      От себя к этой ссылочке добавлю, что вместо bcrypt можно использовать scrypt.
    • +4
      Коллеги, пароли на 90.2% цифровые!
      Из цифровых только 10.5% имеют больше 8 символов.
      Т.е. банальный брутфорс и ничего более.

      Зачем разводить панику?
      • +10
        1) Яндекс утверждает другое (мифические троянцы украли пароли)

        2) Отсутствующая защита от брутфорса — это в общем-то вполне легитимный повод разводить панику ;)
        • +3
          2) как сделать нормальную защиту от брутфорса через IMAPS если у «хакера» есть несколько тысяч прокси-ботов и N-миллионов аккаунтов? Просто ходи и пробуй подбирать пароль по очереди на всех аккаунтах, меняя внешний IP. Пока дойдет до того же аккаунта пройдет думаю достаточно времени, чтобы любая защита от брутфорса проэкспарилась.
          • +2
            Никаких проблем.

            Простейший rate-limit. Типа как гугл делает. Подбирать будут десятилетиями.

            • 0
              $ dig @8.8.8.8 smtp.yandex.ru +short
              87.250.250.38
              93.158.134.38
              213.180.193.38
              213.180.204.38
              77.88.21.38
              $ dig @8.8.8.8 imap.yandex.ru +short
              87.250.251.124
              213.180.204.124
              77.88.21.124
              213.180.193.124
              93.158.134.124

              Вот, навскидку, уже 10 адресов и это только из России, я думаю Яндекс для разных стран отдает разные IP-адреса + используются разные дата-центры.

              Если я был бы хакером и имел:
              — 1 млн. аккаунтов
              — 100 тыс. прокси

              Как Вы думаете сколько бы времени прошло, пока я бы с 1 паролем попробовал подобрать к 1 млн. аккаунтов, каждый раз меняя Source IP-адрес(на каждый аккаунт)?
              Думаю минут 30 и более + я уже имею 10 IP-адресов Яндекса.
              И по какому Rate-Limit прикажите банить?
              • +3
                Сколько у Яндекса smtp-адресов — совершенно не важно. База доступов должна быть единой.

                Rate-limit не по адресам, а попыткам количества вводов паролей на аккаунт. Если раз в час по попытке — то будут десятилетиями подбирать, если чаще — блокировки адресов (да хоть миллиона), еще чаще — идет целенаправленная атака и надо блокировать пароль ящика / сообщать пользователю.

                Ну и адреса кстати тоже вполне себе блокируются…

                Как только с одного адреса даже на разные IP были попытки коннектов под разными пользователями — повод для заноса в «серые» списки (которые потом проверяются автоматически, разными способами).

                Вообще существуют (Вы наверное удивитесь!) активно пополняемые базы «паленых» адресов — у Яндекса к ним точно есть доступы (базы как платные от пачки вендоров включая Cisco / Juniper / F5Networks так и бесплатные).
      • 0
        Попробуйте забрутить оставшиеся 10% паролей, мой был сложный, случайный и т.п., в Винде его никогда не вводил, так что вероятность логгера сильно падает.
        • 0
          Может быть что-то из этого: habrahabr.ru/company/yandex/blog/236007/#comment_7943833
          ?
          • 0
            Сейчас внимательно всё проверил, каюсь, действительно такой же пароль у меня использовался только для:
            Linode
            Citibank online
            Mail.ru
            Сомневаюсь, что кого-то из них могли поломать, надо искать пересечения с другими жертвами.

            Фишинг крайне маловероятен, т.к. на сайты захожу всегда с использованием закладок.
            • 0
              На одном из перечисленных сервисов у меня есть аккаунт(логин длинный и с крякозяблями) в который приходят письма от одного адресата(это мой сервис).
              Адрес сделал я сам и никому его не давал.
              Доступ к сервису только у меня.

              И что вы думаете? Через 20-30 дней я получаю Спам от одной из компаний Скидок.
              Где правда судить вам)

              По поводу фишинга:
              Представьте, Вы используете «открытый»(специально подготовленный) WiFi в MacDonald's.
              Вы открываете ya.ru, но на самом деле работаете через прокси на 80 порту, который подменяет контент на свою страницу ya.ru. Вы вводите пароль, затем он проксируется на сервера ya.ru и пароли записывается в лог прокси-сервера. После чего данная фишинговая страница отключается и вы работаете уже с ya.ru напрямую. Profit?
              • 0
                профит. и так 1000000 раз
                • 0
                  c порядком ошиблись
                  • 0
                    это если только отбрасываем 90% числовых… Которые тоже ещё надо забрутить.

                    Но мы о пустом спорим. Вы всё правильно пишите, но
                    habrahabr.ru/company/yandex/blog/236007/#comment_7944007
                    • 0
                      9 паролей из ТОПа покрывают более 15% цифровых паролей. В общем брутфорс не сильно сложный.
            • 0
              >Mail.ru

              И как раз свежая новость про 4.5 млн. утёкших паролей Mail.Ru.
      • +2
        Я склонен с вами согласиться. У одного из моих аккаунтов пароль 16 символов, буквы и цифры разного регистра, не слит. Второй аккаунт, пароль от которого состоит только из цифр, слит.
      • +3
        да фиг знает… Что за вычислительные мощности нужны, чтобы сбрутить
        UOYEWfvw6C^#QC,
        s1gh57NTS%%^%
        12kGXE^Q$82D7S16
        *реальные пароли из файла.

        Пускай много цифровых… но оставшиеся 10% — это больше 100 000!

        И да, сам факт брута в таких масштабах — нормальный повод для паранойи и паники, shapa прав
        • +1
          Ну остальные 10% возможно от:
          — взломанных ресурсов(где был указан тот же пароль).
          — такой же пароль как от VK(когда там еще не было HTTPS Auth) или подобные сайты
          — использование открытых WiFi-сетей(IMAP-прокси без STARTTLS для клиента ИЛИ фишинговые Web-страницы).
          • +2
            Как еще 1 из вариантов:
            — использование файлов WPAD в локальной сети или в том же открытом WiFi.
            Просто проверьте у кого он выключен ?) Ведь у всех по умолчанию включен.
            • 0
              Вы расписываете правильные, хрестоматийные, можно сказать, примеры… Но это локальные актаки, которые никак не могут привести к такому большому сливу.
              • +1
                Это не большой слив.
                Большинство аккаунтов было заброшено и скорее это похоже на подрыв авторитета Яндекса, нежели на взлом.
                Возможно «ломали(брутили)» на протяжении 2-3 лет, потом Яндекс попытался присечь(попросив сменить пасс) и «владельцу(хакеру)» ничего не оставалось(т.к. доступ потерян), как выложить все в сеть и сказать что Я.ру г**но этим действием.
              • +1
                Речь не о большом сливе, а о множестве маленьких, вероятно совершенных независимыми группами в разное время без единой цели. Среди них могут быть и брутфорсы, и кросс-матчи, и кейлогеры, и трояны, ворующие сохраненные пароли браузеров и почтовых клиентов. Просто кто-то заботливо объединил, потому что ему нужна была такая база.
          • 0
            возможно, но маловероятно. В одном месте и столько сразу.

        • +1
          Определённо кто-то добился сущетвенных успехов в квантовых вычислениях в домашних условиях. Иного объяснения нет.
    • +31
      Яндекс, перестаньте отображать полный номер телефона при смене пароля!

      Сейчас любую заблокированную пару из списка взять и можно очень многое узнать о владельце по номеру. Я уж молчу про то, что в том же «вконтакте» они просят ввести недостающие цифры номера, для подтверждения логина из не стандартного места.
      • 0
        Тот же ВК, имеет в профиле поле «номер телефона», некоторые его заполняют, некоторые видны извне, а некоторые ещё и совпадают поциферно с запрашиваемым выше.
        • 0
          Все верно, но показывать или нет номер, в случае с ВК, это решение пользователя. Здесь меня не спрашивают, хочу ли я поделиться номером с кем угодно вокруг.
          • 0
            ВК предлагает пользователю заполнить номер в профиле. Пользователь доверяет ВК, ведь они ж плохого не посоветуют. Да и не каждый пользователь видел плашку входа из нестандартного места, да и не факт, что задумывался об о номерах.
            Я не отрицаю, что у Яндекса есть недочёт в этом месте. Просто у ВК тоже далеко не идеальное решение с номерами телефонов.
      • 0
        del
    • 0
      Яндекс, а вы поддерживаете двухфакторную аутентификацию? OTP (железный EMV или софтверный)?
    • +2
      «Во-первых, речь не идёт о взломе Яндекса — данные стали известны злоумышленникам в результате вирусной активности на заражённых компьютерах некоторых пользователей или фишинга.»

      Я в Яндекс заходил максимум 2 раза в год. На ПК стоит KIS и раз в 2 недели я проверяю с помощью cureIt — вирусов нет.

      Еще в Инете такая информация ходит:

      «Если аккаунт уже заблокировали и не удаётся зайти на почту через веб интерфейс, — скачиваете любой почтовый клиент и настраиваете его на yandex через протокол POP и без SSL, таким образом получаете доступ к почте! А дальше скидываете ссылку для сброса пароля через сайт Apple ID.»

      П.С. теги цитат почему-то не работают. Добавил "
    • –3
      1. По закону теперь все должны хранить и предоставлять всю инфу о пользователе: habrahabr.ru/post/230467/
      и хотя прямым текстом слова «пароль» там нет, но есть «все изменения в аккаунте».

      2. Я ни сколько не сомневаюсь что у яндекса лежат солёные пароли везде где можно их использовать в таком виде.
      Пароли в открытом виде тоже должны быть, в более надёжном месте.

      3. Отписка яндекса делалась впопыхах: одно и тоже повторяется по 3-4 раза.

      4. Если утекли пароли у тех у кого они утечь не могли (о комментах выше) — это либо слив от тех у кого доступ был (например, как было когда владельцам кошельков звонили кремлеботы и спрашивали зачем они Лёше деньги перечислили) либо плохо утилизировали сервер и не потёрли инфу а кто то удачно затарился БУ и не поленился.
      • +2
        Паролей в открытом виде мы не храним. Это прямо написано в тексте и это правда.
        • +1
          Ну с обратимым шифрованием, ну не вы, а какой нибудь яндекс деньги, который вроде как не вы.

          В любом случае, успехов в поисках.
          Лично для меня этот инцидент не подорвал доверия к яндексу, да и адресов своих в том списке я не увидел.
    • +7
      Палево. Про отсутствие доступа для сотрудников МИ-6 не сказали.
      • 0
        И тут англичанка гадит))
    • 0
      Давайте, по-чесному, Яндекс торгуется на бирже, поэтому чем меньше информации просочиться — тем спокойнее. А ломают сервисы Яндекс постоянно и небезуспешно.
      Нет, конечно, без участия пользователей не обошлось, но насколько замешан кода Яндекса?

      Месяца два назад, я нанес редкий визит в Яндекс.Почту и тут же получил смс для потверждения удаления аккаунта, которое я не иницировал. Безусловно это был успешный injection через спам.
      Яндекс не признался.

      Не вижу никаких проблем собрать миллион паролей эксплуатируя подобный injection и немного социальной инженерии.

    • +2
      Как же хочется, чтобы Google Authenticator работал на Яндексе.
    • +7
      Доступ к содержимому почтового ящика может быть предоставлен исключительно по решению суда.

      Очень забавно такое читать, особенно, если учесть, что еще в 2011 году, до всех этих законов по регулированию интернета, Яндекс передал ФСБ персональные данные большого количества клиентов Яндекс.Кошелька только по одному лишь запросу, без какого либо решения суда. И признали это только спустя какое-то время и то, лишь потому, что это стало достоверно известно общественности по косвенным данным.
      • 0
        Яндекс.Деньги. Это другая организация.
        • +2
          Яндекс.Деньги перестали принадлежать Яндексу в декабре 2012, если мне не изменяет память.