Пользователь
0,0
рейтинг
9 сентября 2014 в 12:32

Разработка → Коллективное расследование: как появилась база данных с паролями аккаунтов «Яндекса»? из песочницы

Прочитав новость об утечке базы паролей «Яндекса» и официальное заявление «Яндекса» вместе с комментариями, стало понятно, что ситуация запутанная и некоторые думают, что база утекла из самого «Яндекса».

Увидев недоверие пользователей, я решил сопоставить все факты и логически выявить наиболее вероятный вариант появления базы:

1. Брутфорс;
2. Фишинг;
3. Кросс-чек;
4. Утечка с компьютеров пользователей;
5. Утечка из Яндекса;
6. Утечка из спецслужб;
7. База составлена за долгое время из разных источников;
8. Через мобильных операторов (если привязан телефон).

1. Брутфорс


Напрямую сбрутфорсить пароли вида «51iII%jch^f6» практически нереально или нецелесообразно, даже если бы не было никакой защиты от брутфорса. Тут, я думаю, комментарии излишни.

2. Фишинг


Некоторые пользователи в комментария утверждают, что не пользовались почтой с 2005 года, либо вообще давно забыли пароль. Если эти высказывания принять за истину (при беглом осмотре профилей не видно ничего подозрительного), даже если фишинг имеет место быть, то эта БД — не единый случай массового фишинга.

3. Кросс-чек


Опять же, в комментариях утверждают, что пароль стоял только на почте и на хабре. Вряд ли сломали пароль от хабра, а потом от почты. Даже если сломали от хабра, то это не массовое явление (если у кого-то тоже такой вариант исключен — пишите в комментариях).

4. Утечка с компьютеров пользователей


Хотя этот вариант возможен, но все-равно есть сомнения, что у некоторых пользователей могли украсть пароль данным способом. Нужны более убедительные примеры (если есть — пишите в комментариях).

5. Утечка из Яндекса


Фактов нет. Единственная возможность опровергнуть — доказать обратное. Можно заметить, что если Яндекс хранит хэши паролей, то некоторые пароли пришлось бы брутфорсить очень долго. Пример: для хэша md5 без соли из пароля с символами latin small + large + numbers + special characters длинной в 10 символов существует 96 ^ 10 = 66483263599150104576 вариантов. Чтобы перебрать такое количество вариантов, например, с помощью такой программы и мощного видеоадаптера (возьмем, для примера, скорость 5000М/s) потребуется (96 ^ 10 / 5000000000 / 60 / 60 / 24 / 365) примерно 421 год или 421 мощный видеоадаптер и 1 год. В данном пароле из базы «03jkd64k57d6t9h6$!X&» — 20 символов, что потребует намного больше времени или вычислительных мощностей.

6. Утечка из спецслужб


Это какая-то треш-база. У спецслужб была бы база покачественнее. Ниже мои комментарии.

7. База составлена за долгое время из разных источников


Наиболее вероятный на мой взгляд вариант. Ниже мои рассуждения.

8. Через мобильных операторов (если привязан телефон)


Учитывая, что на Хабре обитают не глупые люди, разбирающиеся в информационной безопасности, то можно предположить, что пароли угнали каким-то образом через мобильного оператора. Не знаю, массовое явление было или нет, но недавно приятель рассказал мне о том, как у него угнали с Яндекс.Денег немаленькую сумму. Предварительно перед этим у него перестал находить сеть телефон. т.е. сим-карта перестала работать, как будто её восстановили в офисе оператора, а старую заблокировали. В этот промежуток времени как раз и были украдены деньги. Оператор сказал, что никакой информации о данном предположении нет — и выдал сим-карту заново, т.к. старая так и не заработала. Пруфов нет, возможно, кто-то поделится, если это массовое явление.

Моё мини-расследование


Сначала попробовал поискать случайным образом пароли со спец-символами, после чего гуглил эти ящики — нигде в интернете не встречаются. Я решил использовать меленькую лазейку «Вконтакте», которую давно обнаружил: проверил, на кого эти ящики зарегистрированы во «Вконтакте» следующим образом:

1. Жмем восстановление пароля;
2. Вводим почтовый ящик;
3. У нас спрашивают, та ли эта страница, от которой мы хотим восстановить пароль — и отображает Имя Фамилия с аватаркой и городом;
4. В поиске vk.com ищем по имени, фамилии и городу и сверяем аватарку;
5. Если не находит, гуглим по имени и фамилии, перебираем страницы vk.com из поиска, сверяем аватарку;
6. Если не находит, используем гугловский поиск по картинкам и копируем ссылку аватарки пользователя, если надо, то дописываем имя и фамилию в поиск;
7. Profit.

Результат:

hellraiser84@yandex.ru:03jkd64k57d6t9h6$!X&
iurusov.tolya@yandex.ru:hdkYwk*^2v2

Пользователи заблокированы или страница удалена. Не стал искать ссылки на страницы.

alisa.arhangelskaya@yandex.ru:51iII%jch^f6
vk.com/id108362638

super.denvgj2010@yandex.ru:jgbkcvbf^sdlfewi
vk.com/id103201231
(В поиске не нашлась страница, зато гугл нашел).

kijaka@yandex.ru:s1gh57NTS%%^%
vk.com/id64404050
(Нашел по аватарке через поиск картинок гугл + ввел имя фамилия).

Две страницы пустые, на первой какой-то спам.

Закономерностей тут особо нет, нужно проверить больше страниц, но мне все-таки удалось выявить некую закономерность на основе других данных: был обнаружен подозрительно популярный пароль, после чего другой пользователь заметил, что логины у этих паролей автоматически сгенерированы. Я заметил, что они раскиданы по разным частям файла случайным образом (как вариант: а может и не случайным, т.к. возможно почтовые ящики идут в порядке времени регистрации. Но, учитывая, что в базе есть ящики 2005 года и есть зарегистрированные недавно, этот вариант маловероятен и другие варианты тоже). Такое ощущение, что эти почтовые ящики специально перемешали по всей базе, чтобы не вызвать подозрения и подтвердить статистику о том, что много валидных адресов и база не липовая.

Чтобы подтвердить одинаковое происхождение данных адресов, проверяем во «Вконтакте» данные почтовые ящики вышеописанным способом:

vla13854625@yandex.ru
dmi46685101@yandex.ru
dmi16144725@yandex.ru

Они зарегистрированы с одним и тем же именем, что ещё раз намекает, что данные почтовые ящики специально перемешаны с остальными для увеличения размера БД.

Что в итоге?

Мне кажется, что «Яндекс» тут действительно не виноват. Я попытался сложить все факты воедино, логически рассуждать и выявить некоторые закономерности, которые могут хотя бы косвенно что-то доказывать.

Предлагаю всем вместе обсудить данный вопрос. Приводите аргументы за и против данных предположений или предлагайте свои.
@Sosiska
карма
9,0
рейтинг 0,0
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Реклама

Самое читаемое Разработка

Комментарии (46)

  • +11
    Возможно один из источников паролей — локальная подмена днс. Посмотреть бы распределение по территории скомпрометированных ящиков.
    • +1
      Локальная — на компе жертвы? — не интересно.
      Вот отравить кеш днс сервера провайдера или удалённо поменять настройки на роутере с дефолтным паролем — куда интереснее.
      Дальше отламываем TLS (хз как почтовые клиенты к такому относятся, может не сработать) и смотрим пароли.
      • +1
        Под словом «локально» я подразумевал «территориально локально», то бишь у подменить днс провайдера.
    • +2
      Я с самого начала думал именно о подмене DNS, т.к. взлом роутеров и изменение DNS — явление чуть ли не повсеместное. Однако, насколько я знаю, все сервисы Яндекса аутентифицируются по https, и, как заявляли представители Яндекса, в браузер вшит HSTS на их домены, так что я не думаю, что это подмена DNS.
      • 0
        У меня гуглоднс прописаны и на роутере и на локальной тачке и у них приоритет над тем, что выдает роутер и провайдер, Ну и проверка показала, что там все хорошо
        • +1
          После игр с BGP 8.8.8.8 может оказаться совсем не тем 8.8.8.8 от гугля…
          Аналогичное можно провернуть имея доступ к любому промежуточному роутеру через который ходит ваш трафик.
          Вы таблицы маршрутизации у себя смотрели?)
          А правила фаерволов проверили?
          Может 8.8.8.8 уже ходит по специальному маршруту :)
          • 0
            Смотрел, проверял. Не ходит
            • 0
              Некоторые ISP перенаправляют трафик со всех DNS на свой, кстати. Например, мобильный МТС.
              • 0
                Тьфу-тьфу, мой пока этим не грешит, как и блокировками. Ибо его родные днс довольно часто тупо лежат.
            • 0
              В этом не возможно удостоверится.
              Трейс подделать относительно не сложно.
              В ответах может быть подменяется только результаты для одного доменного имени и то временами.
              ЭЦП для ответов не обязателен, его можно выкусывать…
              • 0
                dnsleaktest.com не выявит?
                • 0
                  Выявит, если очень топорно сработано.
        • 0
          Ваш случай и правда непонятный. Если у вас не windows, то это сильно снижает вероятность кражи пароля из системы, но не исключает. Вы уверены, что не светили ящик нигде, даже вот таким образом?

          Я не очень компетентен в веб-разработке, но если Яндекс или Хабр хранят хэш пароля в куках, то могли угнать куки и сбрутить хэш(вы говорили что в пароле два словарных слова и цифры). Даже если от хабра были логин и пароль, то могли пару логин/пароль попробовать к Яндексу.
          • 0
            Сбрутить могли банально через IMAP (и так, скорее всего и было), насколько я понимаю (поправьте, если не так) Яндекс от этого никак не защищается.
            • 0
              Я не работаю в Яндексе) По личной инициативе топик написал, т.к. самому интересно было разобраться. Да, скорее всего сбрутили пароль ваш. Ниже подробнее.
            • 0
              Даже если есть защита от количества попыток ввода пароля с одного ip адреса, то для этого есть прокси-сервера. Если защита от количества попыток ввода пароля для одного логина в течении определенного промежутка времени, то при массовом взломе паролей используют сразу много логинов и делают на каждый логин по одной попытке ввода пароля. Даже если к IMAP доступ закрыт, то маловероятно что веб-интерфейс как-то помешает подбирать по такой схеме. Конечно, может быть защита, которая будет это все отслеживать и блокировать прокси-сервера, но конкретно в данной ситуации я не знаю как у них устроено.
        • 0
          Посмотрел ваш пароль, по-моему он не очень сложный. Два раза используется одно и то же популярное слово в нижнем регистре и 3 цифры. Это слово в английской версии по отдельности вообще в топы паролей попадает. Думаю, что маска пароля %Word%Number%Word(где %Word — популярное слово из словаря, %Number — 1-4 одинаковых цифр) достаточно популярна у взломщиков и вообще среди всех паролей. Вполне могли сбрутить. Даже если ваша почта нигде не светилась, то могли путем перебора определить какие почты заняты(логин всего 5 символов английского алфавита), а потом по этому списку пробовать простые пароли и разные популярные маски из словаря с популярными словами.
      • +1
        IMAP/POP3/SMTP же тоже пароли гоняют.
        Меня вот теперь интересует как разные клиенты отреагируют если я в пакетике (smtp для примера) от сервера переименую STARTTLS во что то другое — выругаются что TLS больше нет или продолжат без TLS.
        • 0
          Был у меня случай, турки убивали сессию IMAP как только видели STARTTLS.

          А вообще, есть такая штука — ssf (security strength factor), который задаётся образно говоря в виде длины ключа симметричного шифра, в битах. Для DES ssf=56, для AES128 — 128 и тому подобное. В SASL (слой аутентификации и безопасности) есть опции, которые разрешают авторизовывать пользователя, только если соедиенение имеет фактор защиты не менее заданного. Проще говоря, без STARTTLS просто не залогинится.
      • 0
        Вот тут можно посмотреть на preload для passport.yandex.*: src.chromium.org/viewvc/chrome/trunk/src/net/http/transport_security_state_static.json
  • +2
    «Слив» для того чтобы поставить вопрос о вмешательстве государства для увеличения безопасности пользователей?
    Либо понизить уровень доверия к популярным почтовым сервисам?
    • 0
      Я думаю, что «слив» БД яндекса был навеян сливом фотографий знаменитостей iCloud. Apple так же опровергает взлом самого сервиса. Если бы не эта закономерность с аккаунтами, которые равномерно по всей базе раскиданы, то можно было бы исключить вариант «слива» с целью насолить Яндексу. С другой стороны, если это был целенаправленный «слив», то могли бы и побольше аккаунтов насобирать. Как утверждают посвященные люди: миллион ящиков это ничто. Хотя, может они спешили поскорее «слить» и решили что этого будет достаточно для «громкой» новости.
      • 0
        Яндекс сравнительно недавно отчитывался о 90 милиионах учёток, из которых 10 миллионов живые. На фоне этого, миллион = 10%, не так уж и мало.
    • +1
      Полностью согласен. Наличие в списке довольно странных записей — косвенное подтверждение этому.
      Я вечером попробую сам пересмотреть список и найти закономерности в списке mail.ru. Можете дать наводку на файл с паролями (в личку, конечно же)
  • +1
    У меня в этот слив попало два ящика.
    Один с mailru другой с яндекса, которые были созданы давно и с единственной целью — проверить новомодную на тот момент технологию «забора писем по POP3»;
    Могу предположить, что для этих целей пароль действительно хранится плеинтекстово.

    Но они были созданы одновременно и я не помню с какого компьютера, возможно, на нём как раз и был кейлоггер.

    • –1
      Ну если в слив попал майл.ру значит все таки базу яндекса слили.
      А то что целенаправленно кейлогеры стояли и снимали пароли, маловероятно.
      Разве только для спецслужб это имеет вес.
      • 0
        То, что кейлогеры сливают всё, что видят, это их основная задача в общем-то. Они для этого и нужны.
        И продают этот товар, как уже сказали, десятками тысяч.
        То, что слиты были оба ящика, делает версию с кейлогерами более вероятной.
        >> Ну если в слив попал майл.ру значит все таки базу яндекса слили.
        То, что в слив попали оба ящика делает и обратную ситуацию настолько же вероятной.
        Пароли там были разные.
      • 0
        Ну у меня всего один ящик на яндексе попал в базу (и то далеко не основной). Почему же всех остальных ящиков нет в базах? не думаю что это кейлоггер, который был включен именно в момент регистрации мною ящика (сам ящик-то я не использовал и уже не помню с какой целью регистрировал).
    • +3
      Кстати да, интересная тема. Сейчас вспомнил, что мой найденный ящик mail.ru прописан в гугле как «собирать почту по POP3» с других серверов. Надо всем, кто нашел свои ящики в тех списках, вспомнить, прописывали ли они их так в гугле или где еще. А то сейчас окажется, что гугл взломали в конце концов.
  • 0
    Не стоит светить профили неизвестных вам людей. Тем более они ничего не подозревают, некрасиво.
    • +20
      Одним аккаунтом не пользуются и там 1 друг, который удален. Другой аккаунт имеет 2 друга, один из которых удален, а другой заблокирован за нарушение правил. На обеих страницах нет почти никакой информации. Третий аккаунт имеет 11 друзей, 3 из которых «заморожены», 1 удален, а ещё один заблокирован. Остальные друзья находятся в разных городах и некоторые страницы тоже похожи на ботов. На третей странице в «о себе» присутствует текст «Ах, да! ещё хотела сказать.Тем кто хочет попробовать заработать в сети», что говорит о том, что это бот) Я думаю, что этими страницами не пользуются реальные люди, а некоторые друзья у них такие же боты. Реальные страницы я бы не стал выкладывать.
  • 0
    del
  • 0
    Проверил свои ящики и ящики всех знакомых из адресной книги, с кем имел переписку, по обеим слитым базам (ya и mail) — ни одного не нашёл. Только почта одной знакомой оказалась в базе мэйла, но она недели 3 назад поменяла пароль, а в базе был её старый, т.е. на момент слива уже не работал.
  • +1
    Как вариант, база сервиса, который барыжит акками. Этим можно объяснить разношерстность базы — автореги, брут, фишинг и т.д.
    • +2
      Ваш комментарий натолкнул меня на мысль о том, что эти автоматически зарегистрированные аккануты были подмешаны с целью увеличения стоимости БД. Странно, что сразу не подумал об этом. Отсюда напрашивается вывод: никаких происков конкурентов(либо кого-то ещё) тут нет, база просто попала в открытый доступ без цели подпортить чью-то репутацию, а кто-то другой решил сделать из этого новость, вдохновленный новостью про iCloud. Были бы происки, то без труда составили бы базу побольше и убедительнее. По-моему очевидно, что база составлялась на протяжении долгого времени из разных источников и точно видно подмешанные аккаунты. Я думаю, на этих выводах можно остановиться, т.к. ничего более правдоподобного не напрашивается.
      • +2
        Да, весьма похоже на то, что какой-то не очень дальновидный тип стырил у более разумного дяди базу адресов и решил показать миру свою крутизну. Дядя его конечно потом отругал — такую малину запорол, но поздно же, акки заблочили.

        То есть, миром опять правит не тайная ложа, а явная лажа.
  • 0
    Было бы интересно собрать статистику по мобильным устройствам, провайдерам сотовой связи, и кабельным провайдерам у жертв. Возможно, это всё-таки результат перехвата трафика с открытыми паролями, либо баг в каких-то прошивках.
    • 0
      Ведь там все-таки https, плюс предварительный анализ показал, что pop3/imap протоколы не активированы для почтовых ящиков.
      • +2
        То о чём я написал, теоретически, может обеспечить массовость перехвата паролей. Восстановление данных с жёстких дисков, наоборот, не может.
        https только теоретически надёжен — есть же известные прецеденты перехвата или выдачи сертификатов для имён типа gmail.com, предоставления корпорациям чёрных ящиков для просмотра https трафика. То, что на yandex не был разрешён pop3 ничего не значит — на любое имя пользователя он даёт ответ OK и обламывает только после ввода пароля, то есть возможность попадания пароля в незащищённый трафик есть.

        ~$ telnet pop.yandex.ru 110
        Trying 87.250.251.37…
        Connected to pop.yandex.ru.
        Escape character is '^]'.
        +OK POP Ya! na@8 MUYp521lbmI8
        USER JiePhooghohVegha
        +OK password, please.
        PASS JiePhooghohVegha
        -ERR [AUTH] login failure or POP3 disabled, try later. sc=MUYp521lbmI8
        Connection closed by foreign host.

  • 0
    Как два варианта еще, откуда могут ноги расти: восстановленные данные со списанных жестких дисков (вероятность небольшая); встроенные закладки в сам сервис (человеческий фактор).
  • 0
    Недавно жена пожаловалась, что на однокамерников попасть не может. Оказалось, какой-то зловред сделал нехорошее в hosts. Записи были для однокамерников, фконтактик, мэйлру и еще куча (яндекса не было :) ) — все на один айпи. Если открывать напрямую по айпи — браузер заглушку выдает, если по имени — фишинговая страничка. На мылору также заходили, так что и этот пароль мог утечь. Пароли то поменяли, но осадочек остался.
    Затаив обиду на антивирь, накатал утилитку, в частности проверяющую hosts на наличие неразрешенных модификаций. Теперь сижу, бью в бубен и жду утечки баз на однофконтактики.
  • 0
    В копилку знагий: 2 года, как пользуюсь только Федорой и уже года 3, как полностью отказался от хрома для приватного чего-либо. Пароли от mail, yandex, google не утекли ни один. могу в личке дать «префиксы». Мыловским пользуюсь редко, но раз в месяц захожу, а яндексовской почтой пльзовался входя через «деньги» и как narod. Гугловой пользуюсь регулярно. Замечу так же, что почтовиков на планшете не держу ( в виду скомпроментированности всех хоть сколько-то пригодных).
    Если бы пароли утекали напрямую из Я, М, то мои бы попали. Значит что-то интереснее)
    • +1
      Ну, у меня линупс тоже, Хромом пользуюсь. У жены Вын8.1 и тоже хром. Нет в списках ни её ящиков, ни моих. Похоже дело не в ОС, в пользователях.
      • 0
        Да это в любом случае, что в прослойке между стулом и клавиатурой) Я о технической составляющей)

        А Вы проверили все базы? Их много лежит на pastebin-е, правда многие страх как не актуальны или фейковы) А вот угнанных не добыл =( Только рес с проверкой паролей есть, но я ему «паранойю»)
        • 0
          Те, что тут выкладывали проверил.
  • +1
    Посмотрел базы яндекса, мейла и гугла.
    Очевидно, что аккаунты собирались из разных источников и в разное время. Много признаков:
    1) Наличие несуществующих логинов. Маловероятно при сливе базы с самого почтового сервиса.
    2) Логины, написанные буквами разного регистра. Признаки кейлоггеров и фишинга.
    3) Одинаковые пары логин: пароль проверялись на разных сайтах. На это указывает указывает брут яндекса по дате рождения. Такой тип массового взлома характерен для мейлру, благодаря их сервису МойМир, в котором адрес страницы (с указанной датой рождения) соответствует логину в системе — my.mail.ru/DOMAIN/LOGIN
    Аккаунты вида НОМЕРТЕЛЕФОНА(а)yandex.ru: ПАРОЛЬ скорее всего были аккаунтами ВКонтакте, собранными с фейка.
    4) Процент авторега и брутфорса в базах яндекса и мылру выше, чем у гугла. Связано с техническими особенностями данных сервисов.

    Как они попали в паблик? Все просто. У %username1% были базы, но не был денег. У %username2% был должник. Принять базы в счет долга %username2% согласился, но использовать их в корыстных целях не захотел и поделился со всеми.
    Насчет объемов утечки согласен с этим комментом. На черном рынке за относительно небольшую сумму денег можно базу значительно больше.
    Особой опасности для пользователей такие базы не представляют, используясь в основном для массовых рассылок. Но при утечке в паблик вероятность целевых атак на конкретных людей и их личные данные очень велика.

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.