Пользователь
0,0
рейтинг
17 апреля 2010 в 13:13

Разработка → Взломали Gmail аккаунт

Буквально пару часов назад зайдя на gmail я обнаружил около 25 вернувшихся обратно писем, т.к. те не дошли до адресата. Кликнув на Отправленные я обнаружил 15 отправленных писем, каждое из которых содержало по несколько адресатов.


image

Надо отметить, что адресаты или были в списке контактов, или реальные эмайлы которым я когда-то писал письма.

image

Каждое письмо не содержало темы сообщения, а в теле письма только не работающая ссылка (в каждом разная), ведущая на *.co.cc

Решив посмотреть с каких IP адресов заходили на мой gmail-аккаунт я обнаружил следующее:

image

Честно говоря я в легком недоумении. За все время использования гугл-почтой (около 5 лет) сталкиваюсь с таким впервые. Я без понятия каким образом зашли под моим аккаунтом. Пароль у меня не из лёгких — 14 букв/цифр/символов.
Артур @HighQuality
карма
36,2
рейтинг 0,0
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Реклама

Самое читаемое Разработка

Комментарии (592)

  • +17
    Только что столкнулся с тем же! Пароль поменял но уверенности нет.
    • +5
      Мобильное устройство Португалия (81.193.41.161)
      • +1
        Проверяете почту только через веб-интерфейс? По SSL? Включён ли POP3/IMAP в настройках?
        • 0
          Только через веб-интерфейс. IMAP включен.
          • +2
            Может кейлоггер поселился в вашем уютном ПК?
      • +4
        На службах гугла, привинченных к домену, пока все нормально.
    • –159
      Виндузятники?)
      • +13
        И что?
      • +2
      • НЛО прилетело и опубликовало эту надпись здесь
        • +12
          Если пользуетесь оперой мини — обязательно жмите выход в почте! Заходишь оперой мини на mail.ru и хоп, ты залогинен под чужим мылом. Такое случалось, по крайней мере раньше, постоянно. Особенно в Opera Mini Mod, т.к. там можно изменять хэш пользователя.
        • –1
          криво сделанный кеш в опера-турбо?
      • +1
        Нет, Ubuntu 10.04 Lucid Lynx только что проверил почту, тоже саме присходит и у меня. Отправил всем письмо с предупреждением, это единственное что я пока могу сделать…
    • +2
      А мне пришло от знакомого три письма без темы со ссылками ShilaTimpson8668.co.cc, JaylaPeers4802.co.cc и CullenSenn9199.co.cc (настоятельно не рекомендую туда переходить).

      Из интересных моментов — в каждом письме внизу есть подпись, которая задается через интерфейс Gmail, т. е. такое впечатление, что отправлялось скриптом, эмулирующим браузер.
      • +1
        Вау, на второй странице со входящими нашел еще два письма от других людей с аналогичными ссылками. Похоже, это массово.
      • +1
        зашел по последней, перекинуло на mrapgyan.net
        и пишет:

        The requested URL could not be retrieved
        While trying to retrieve the URL: mrapgyan.net/
        The following error was encountered:
        Access Denied.
        • +6
          Не подгрузился ли в этот момент микро-флеш размером 1x1 пиксель и не использовал ли он уязвимость флеш плеера? Никогда не стоит переходить по таким ссылкам.
          • +8
            1. не подгрузился
            2. flash bllock стоит и блокирует весь флеш
            3. ОС — Linux
            4. Юзер от которого запущен был браузер — тестовый (это уже опционально ))
            • НЛО прилетело и опубликовало эту надпись здесь
            • 0
              у флеш-плеера под Linux уязвимости примерно те же, что и под другие системы.
              У FF могут быть уязвимости в javascript,
              В браузере даже тестового юзера могут быть сохранены полезные куки и даже пароли.
              По таким ссылкам — разве что wget'ом :)
          • 0
            На этом домене даже NS-сервера не заполнены
    • 0
      И так господа то что приходит реально в голову как это работает…

      в почту приходит ссылка с коротким «урл» человек нажимает на ссылку в сайте содержится
      вредноносный ява-скрипт, который делает черную работу…

      на линуксе вроде не заболел… пример такого сайта

      paste-it.net/public/d5bdbb3/ пример сайта который приходит почтой…

      • –1
        Для этого гугл должен пропускать такие ссылки. Только что проверил, ссылка в письме вида <a href="javascript:alert(1)"> не работает.
        • 0
          потому что код на сайте, на который ведёт ссылка.
          • 0
            Я не думаю что у гугла пройдет межсайтовый скриптинг, от него довольно легко защититься, есть как минимум два надежных метода.
            • 0
              Я не думаю что вы понимаете о чем пишите.
              Жертве посылается ссылка, самая простая ссылка, а перейдя по ней, не на сервере гугла, а на сервере злоумышленника, находится набор эксплоитов под браузеры и плагины.
              • 0
                Я пишу совершенно о другом, и понимаю о чем. Ну может быть и так, хотя люди пишут что пользуются надежными обновленными браузерами. Если бы так было просто, то вообще заходить на не проверенные сайты было бы очень опасно.
                • +1
                  В сети периодически всплывают 0day уязвимости не только в браузерах, но и в различных плагинах — acrobat reader, java, qucktime, realplayer — это наиболее популярные что были в последнее время. Живут они мало, но в период отсутствия патча (от неск. дней до месяца обычно) в сети действительно опасно ходить на непроверенные сайты. Да и на проверенные опасно, поэтому на сайтах, посвященных сетевой безопасности выкладываются экстренные рекомендации по «патчу» уязвимости, зачастую простым отключением этого компонента.
                  А люди всегда пишут «у меня самый защищенный компьютер, самая защищенная ось, обновленный антивирус, да я как в танке». Но в разных странах от 5 до 30% траффика уязвимы, а это те же самые люди.
      • –1
        На этом сайте единственная подозрительная вещь — скрипт от http s7.addthis.com /js/250/addthis_widget.js#pub=karttofel — скрипт мало того, что сжат, так и содержит странные вызовы типа postMessage() — возможно какой то новый експлойт.
        • 0
          В смысле, експлойт, использующий уязвимость в плагинах к Хрому, насколько я знаю, именно там используется postMessage(). Очевидно, взламывается какой то плагин к браузеру и он ворует куки/access token на gmail. Возможно, плагин для проверки почты?

  • –2
    что 8 символов, что 14. Не подбором пороли достаются третим лицам.
    • +42
      «Пороли» от слова «пороть»? :)
      • –25
        А от какого слова слово «Пароли»?
        • +30
          От Parole — слово.
          • –8
            Пара-олей
      • –49
        мне все равно.
      • +30
        «Будешь себя плохо вести — отдам третьим лицам, чтобы пороли подбором!»
        • –2
          оригинален
      • +4
        Третьи лица берут пороли и идут грабить корованы.
  • +12
    Gmail больше всех почтовиков доверяю, за всё время использования (1,5 года) не разу не ломали. Может троян Вам кинули?
    • +8
      Вы не представляете как я доверяю Gmail и Google в целом. С удовольствием пользуюсь их сервисами.
      И да — за 5 лет пользования Gmail'ом меня тоже ни разу не ломали. Поэтому я в легком шоке и пишу здесь.
      • 0
        а не может быть связано с использованием Wave?

        У кого обнаружены левые входы, все юзают Google Wave?
        • 0
          Я как только зашел в аккаунт wave сразу получил такое письмо
        • +3
          отвечу за себя:

          не использую, левых заходов не обнаружено.
        • +4
          использую Google Wave, левых заходов ни разу не заметил
        • +1
          Мне пришла пара таких писем от людей, с чьими гуглоаккаунтами контактировал только по вейву.
        • +12
          Знаете странность — всё у кого обнаружилась данная проблема — парни. Я думаю, это феменистический заговор.
          • 0
            Хорошая идея :) только вот фемИнистический
          • +1
            Клевета. Сама пострадала от фактически иидентичного взлома несколько дней назад. Теперь уж не знаю, положено ли по какому-то негласному этикету извиниться (за недосмотр) и объясниться перед важными контактами, которым ссылка успела быть отослана…
      • 0
        может, лучше написать в google?
      • –5
        Я доверяю, что сервисы Google сделаны с наивысшим качеством. А вот самой компании, увы, на 100% доверяю, хотя на нем завязано много чего важного (умоляю, не трите почту, неееет!).
      • 0
        Меня тоже за 5 лет не ломали. Вот первый раз…
        • +1
          простите, но «Долго ломался!» =))
      • –2
        низнаю низнаю у меня к гуглу доверие пропало после этой новости www.combonews.ru/internet/1093-google-budet-sotrudnichat-s-anb.html и мне как то не верится что АНБ честно ничего не отслеживает
    • НЛО прилетело и опубликовало эту надпись здесь
      • +20
        Смотря что доверять. Личные и корпоративные данные — пожалуй не стоит.
        А вот доверять качеству предоставленной услуги, шифрованию, до этого случая сомневаться не приходилось.

        Это как с зарплатой, ее можно доверить постороннему (банку), но редко кто хочет доверить жене :)
        • +2
          но редко кто хочет доверить жене :)
          Вы бы за все семьи не говорили. Если вы не доверяете человеку, с которым живете под одной крышей и воспитываете или собираетесь иметь детей, не надо думать что у всех, нормальных людей так.
          • +2
            ох, забыл поставить <юмор></юмор>, теперь заклюют. :)
          • НЛО прилетело и опубликовало эту надпись здесь
            • –9
              пять сумок это совсем немного, как бы глупо это ни звучало.
            • +1
              Зато банки могут в одностороннем порядке поменять условия договора в неприятную для клиента сторону (например ввести процент на пополнение счета) =)
              • 0
                Ерунда, не могут. Как прописывается в любом договоре любого солидного банка, в одностороннем порядке условия можно менять только в положительную для клиента сторону (увеличение процентов по депозиту и прочее). А если в договоре такое прописано, что могут менять в плохую сторону — так это не банк, а шаражка.

                Имхо.

                Да, и читаете договоры два раза, а мелкие шрифт и примечания к ним — три ;)
                • –1
                  покажите мне хоть один банк (точнее, его договор), который ограничит себя в праве изменять условия в худшую для клиента сторону.
                  • 0
                    Первобанк, например. Поймите, это — норма. А вот изменение условий без уведомления — это лохотрон. Это то, за что можно получить иск в суд. А при большом количестве исков — проблемы с лицензией (ну дада, с поправкой на Эту Страну — можно потерять бабло на непредусмотренные вещи)
        • НЛО прилетело и опубликовало эту надпись здесь
    • 0
      за все время использования gmail.com, yandex.ru и даже когда-то mail.ru и rambler.ru — ни разу не ломали )
      • +5
        все еще впереди)
        Мне очень многие знакомые говорят мол «а я даже антивирусом не пользуюсь, и ничего, меня не ломают» до того, пока не взламают. А потом на форумы публикуют темы «Меня взломали, что я делал не так? Памагите плиииз»)

        я тоже часто аккаунты не теряю, но никогда не стоит забывать о безопасности :)
        • +5
          А сколько мудил вокруг, которые пользуются антивирусом и при этом их имеют в хвост и в гриву, не обращали внимание? Антивирус сегодня это «пшык», не более. Пошарьтесь по андеграунд-форумам, полюбуйтесь, как каждый день сотни киддисов за бабосы ныкают свои нагенеренные поделки от 90% популярных АВ.

          Есть у тебя АВ или нет — единственное что тебя спасает и будет спасать — твоя голова.
          • +3
            я не на винде
            в линуксе не такая необходимость иметь антивирус, как в винде
            • +5
              Пользуюсь обеими ОС, сижу без АВ вообще. Лет 12 уже. Ни одного инцидента при достаточно активное e-жизни. Относительно nix согласен.
              • –9
                я не отрацаю факта, что если антивирус есть — вы безопасны, но всему свое время
                может мне с продуктами от microsoft не везет, но вот только недавно поставил винду чтобы сделать лабы, где без windows не обойтись, зашел в инет глянуть мануал — уже все виснет, ничего не работает
                мне спокойней на nix, без глубоких знаний в области информационной безопасности
                • +2
                  Наоборот, стоит начать отрицать тот факт, что есть антивирус есть — вы безопасны. Вы ни хрена не безопасны :)

                  А глубоких знаний и не надо. Что если мы речь заведем не о малваре в формате standalone application, а о различных триках, которые проворачивают не дропаясь в систему вообще? Тут и nix и win пользователи абсолютно равны.

                  Тот факт, что вы при первом же выходе подхватили заразу (вероятно) не делает вам чести. Без обид. Уровень необходимых базовых навыков для выживание на e-просторах значительно вырос за последние годы и если вы хотите двигаться в IT-плоскости, вам стоит поднять свой skill.
                  • –2
                    спасибо, буду всем говорить чтобы не ставили себе на винду антивирусы, от них они станут не такими уязвимыми)

                    кто б мог подумать, что у винды, при первом же выходе в интернет все настолько запущено, что из коробки можно сразу подхватить заразу)
                    • +11
                      Брррх. Вы выбрали не джедайские способы холивара. Да, дела обстоят не самым лучшим образом в силу многих причин. Да, на данный момент вероятность словить вредоносный код из-под «винды» значительно выше. Да, «в коробке» тоже не все так гладко и на это тоже достаточно много причин.

                      Установив Windows Vista/7, обновив систему и установленное ПО (тот же reader, java & etc), не вырубая UAC, даже оставаясь на IE8 — не попадете в беду, находясь в Интернете, достаточно долго, если за машиной не полный идиот, конечно. Да, я так считаю.

                      Но ведь если вы себя как обезьяна с гранатой будете себя вести из-под nix, будет аналогично достаточно плачевный результат, согласитесь?
                      • –6
                        Это способ закончить то, что нельзя закончить. В любом случае решить какая ОС лучше, не удасться. И тем более, я не ставил себе задачу сделать это. Я пользуюсь тем, что мне удобно, и тем, что доставляет мне гораздо меньше проблем. Я не агетирую вас доказывать какая винда хорошая с точки зрения безопасности, мне это не нужно. Я привел лишь небольшой пример, что, видимо, вас задело.
                        Я остаюсь сидеть под линуксом, вы под обеими ОС и не будем холиварить не по теме.
                        • 0
                          Мну и так старался избежать сравнения ОСей, разговор то совершенно о другом. Если вы адекват — то все будет нормально, в не зависимости от того какая у вас ОС, какой антивирус и какая стенка (в большинстве случаев). Если же вы не контролите себя в простейших моментов — все будет хреново, опять же в независимости от окружающей среды.
                    • –6
                      Периодически появляются замеры времени жизни непатченной Windows. Речь идет о минутах — 10-30, в разное время у разных версий. Неутешительные результаты.
                      • +1
                        Если компьютер [с windows] подключен к интернету, он должен быть обновлён. Смысл разбирать «непатченный windows»?
                        • 0
                          Должен обновляться*, не так выразился.
                          • –4
                            Проверяется решение «из коробки». Вполне возможно, таким нехитрым образом тестировщики намекают пользователям, что, мол, нелегальные версии Windows, отлучённые от Святой Церкви update.microsoft.com недолго протянут в онлайне.

                            За прошлое высказывание у меня уже "—1". Кому-то не понравилось. :)
                            • 0
                              И это нормально. Потому что обнаруживается дыры, на них выпускают хотфиксы, которые надо скачать (имхо все же не самому первому, но побыстрее).

                              К слову, в линукс так же. Любой завзятый сторонник линукса скажет вам, что сила, которую дают огромное комьюнити и открытый код — как раз очень быстрая разработка заплаток. Но если вы не обновляете критические патчи (не проверяете их наличие) хотя бы раз в 2-3 дня, они вас могут не спасти.
                          • –2
                            К слову, я не имею ничего против обновлений операционной системы семейства Windows.
                        • +1
                          До этого места всё равно никто не дочитает: но, «взломали» вас или нет, сейчас же зайдите в гуглопочту, снизу «дополнительная информация» — сбросьте авторизацию на всех компьютерах и смените пароль.
                          Всегда ваш, Здравый Смысл.
                        • 0
                          В том и дело, что каналы у всех разные, и поставив винду обновляться, можно и не успеть это сделать за отмеренные ботами 10 минут…

                          Несколько раз так уже было — запускаешь Windows Update на только что поставленной системе — и к концу уже 3-4 свежих червя копошится.
                          • +3
                            Как человеку, пытающему во всём найти рациональное зерно, дико звучит самозаражение машины без внешнего айпи. Разве что по локалке, да и то непонятно, как это делается без действий пользователя. Опыт использования 7 вообще развращает донельзя.
                            А человеку же, которого, как первого кампутерщика на деревне, зовут посмотреть любую поломку компьютера или кофемолки, и видевшему немало убитых в ноль XP и вист, уже ничего, связанное с windows и червями, диким не кажется.
                            Кажется, я переборщил со сложностью предложений.
                          • 0
                            Брандмауэр встроенный на что? :)
                          • НЛО прилетело и опубликовало эту надпись здесь
                            • 0
                              Разве при установке по умолчанию не предлагается сразу включить фаервол?
                              • 0
                                Не предлагают — он просто включен по умолчанию. =)
                                • 0
                                  Тогда не понятно, о чём спорили все эти люди сверху?)
                                  • 0
                                    Даже не знаю =)
                                    Как раз недавно купил новый ноут — и брандмауэр в Висте был включен «искаропки».
                                  • +1
                                    Проблемы с заражением системы просто из сети давно не видел, но во времена Windows XP SP1 достаточно было подключиться к сети (настроить сеть) и через несколько минут появлялось окошко о том, что компьютер будет выключен и начинался обратный отсчёт времени (название вируса не помню), на обновление системы времени не хватало (потом с другого не заражённого компа пришлось нести патч).
                                    • –1
                                      о, было такое и подобные, в локалках сидели на ура, их потом некоторые провайдеры стали вычислить и рубить доступ у клиентов с зараженными компами.
                                      я на таком поймался, только-только установил свеженькую виндовс и хотел стянуть апдейты…
                  • –2
                    Поднять свой скилл. Ага. Можно подумать, что под виндой есть способ 100% избежать заражения, исключая способы вроде «запретить доступ ко всем сайтам кроме 5 доверенных» или автоматический сброс системы к стартовому без перезагрузки :).
                    Будет интересно ваше мнение, как можно защитится.
                    Однозначно знаю, что (под виндой), пользуюясь популярным файрволом и каким нибудь антивирусником, с браузером не ИЕ, со всеми обновлениями на все, ходя по доверенным сайтам можно все равно получить вирусняк на комп. И ладно бы он засветится, а может быть просто тихим троем :(
      • 0
        захотят — сломают, и антивирусы не помогут… тут вопрос — а надо ли?
        раз это массово и недавно — вряд ли это связано с вирусами, имхо, это действительно какая-то недавно обнаруженная дырка гмейла… хотя, всё возможно.

        p.s. у меня нет подобных писем, и wave'ом не пользуюсь
      • –4
        Почти на всех порталах, которые вы перечислили, есть критические уязвимости. Просто не все о них знают…
        • 0
          Какая уязвимость gmail.com могла стать причиной произошедшего?
        • +1
          вы так говорите как будто я их сотню перечислил
          • 0
            Вы перечислили 4. На 3 из них существуют серьезные уязвимости.
            • +1
              На которых трёх, если не секрет?
  • +30
    Мне как раз пришло письмо от человека из контактов со ссылкой на ***.co.cc
    • +9
      Да, я тоже. Похоже проблема носит массовый характер.
      • +2
        Подтверждаю
        • +2
          И мне пришло. Причем массовой рассылкой с мыла хорошего знакомого, кроме меня еще человек 10 получило
          • +2
            Дык, мало того что пришла такая ссылка. Так еще и рейтинг WOT (Web of Trust) у нее очень высокий, поэтому я перешел, хотя редирект произошел на неработающую веб-страницу…
      • 0
        100% Пользователей пользуются интернетом. Опрос проводился в интернете. Вот знать бы сколько от всех пользователей попало на эту штуку, тогда вернее можно было бы сказать о массовости. Например у меня пока что всё ровно. Посмотрим что будет дальше.
    • +2
      Что то тут не ладное! Мне тоже только что пришло.
    • +1
      и мне пришло от хорошего знакомого
    • 0
      Аналогично, пришло письмо от человека, который не станет лазить по порносайтам, запуская «большие сиськи.ехе». Не знаю что и думать.
    • 0
      и мне
  • +3
    Аналогично. Поставил новый пароль. Странно это все.
    • +3
      Mobile Portugal (41.221.202.5) 1:10 pm (16 minutes ago)
    • –1
      Хром используете с плагинами? Плагин для проверки Gmail?
      • 0
        Использую ФФ. Почту проверяю через: веб интерфейс с домашнего, громоптицей через имап на работе и через андроид встроенной возможностью.
  • +9
    Я тоже сменил пароль сразу. Но чувствую, что нашли какую-то неизвестную уязвимость.
    Т.к. один знакомый-адресат которому ушло одно из писем, сообщил мне, что получил ещё два похожих письма от других gmail-аккаунтов.
  • +12
    Надеюсь вы уже написали в саппорт гмейла?
    • +10
      У них же стремный саппорт, напрямую не достучишься. Форумы все какие-то и справочный центр
    • +11
      создана тема на форуме, в саппорт там просто так не напишешь:
      www.google.com/support/forum/p/gmail/thread?tid=77127463d8f40cb6&hl=en
  • +2
    вопрос к тем, у кого залезли в акк, а вы часто пользуетесь веб-интерфейсом? Или же все время по поп3 берете почту?
    • +3
      Я только веб-интерфейсом и imap (iPod Touch). Никогда POP3.
      Пару дней назад поставил Opera на айпод и зашел с не, через веб-интерфейс.
      • +2
        Может быть это и был этот вход с оперы мини через её сервера?
        • +1
          Ага, и спам разослали…
          • –1
            Письмо отправлено в 7:33, а вход с неизвестного ip был в 7:34.
            С другой стороны письмо отправлено 4 часа назад, по данным гмейла, в вход был 2,5 назад. Но это можно объяснить тем, что автор делал скриншоты в разное время
        • 0
          Да, смотрите коммент выше, наверняка из-за оперы. Ничего против оперы не имею, но сам логинился на mail.ru под чужим акком
    • +1
      Проблема не в веб-интерфейсе. Я им не пользуюсь вообще (только The Bat) и у меня тоже сегодня утром пришло штук 15 вернувшихся писем.
  • +1
    Почту проверяете только через веб-интерфейс? Никакими приблудами не пользуетесь? Ну и не забывайте про бэкдор.
  • НЛО прилетело и опубликовало эту надпись здесь
    • НЛО прилетело и опубликовало эту надпись здесь
  • +7
    А не троян-кейлоггер ли?
  • +1
    Великобритания, мобильный телефон, 9 часов назад.
    чем это выкурить?
    • 0
      Почту проверяете только через веб-интерфейс? Никакими приблудами не пользуетесь?
      • +1
        вебморда, не релогаюсь неделями (до ребута)
        • 0
          А POP3/IMAP включены в настройках?
          • 0
            1. Состояние: POP включен
            1. Состояние: IMAP включен
            • 0
              Надо было полгода назад и чёт влом было выключить…
            • 0
              В отправленных откройте спамерское письмо, «Показать подробные сведения», заголовок «отправлено через».
              • +1
                отправлено через gmail.com
                подписан gmail.com
              • +1
                отправлено через gmail.com
        • +2
          Безопасность соединения: Использовать только https
          FF последний.
          Вкладка всегда открыта. Сейчас на WIN XP SP3 со всеми доступными обновлениями был, файрвол (KIS) ни слова не сказал, сканеры на вирусы бесплатные ничего не нашли
  • НЛО прилетело и опубликовало эту надпись здесь
    • НЛО прилетело и опубликовало эту надпись здесь
      • НЛО прилетело и опубликовало эту надпись здесь
      • НЛО прилетело и опубликовало эту надпись здесь
        • НЛО прилетело и опубликовало эту надпись здесь
          • НЛО прилетело и опубликовало эту надпись здесь
            • +3
              Скорее всего так и есть — у меня сломали аккаунт с включёнными IMAP и POP, со сложным паролем. На аккаунте, который светился гораздо более, но с отключённым POP/IMAP — никаких признаков активности.
            • НЛО прилетело и опубликовало эту надпись здесь
            • +2
              У меня тоже был включен POP как оказалось (для телефона)
            • +2
              POP3, вебморда крайне редко. Аккаунт чист.
  • 0
    Jea***Revoir5215.co.cc — от знакомого администратора… что-то творится…
  • +10
    epic win
    • +6
      минусующие не поняли прикола
      • НЛО прилетело и опубликовало эту надпись здесь
        • +2
          Да это же обосцацца прикол. Все бегом плюсовать, чтобы не показаться тупыми.
      • –1
        Я не буду минусовать, но расскажите, в чём прикол? А то я тоже не понял.
        • НЛО прилетело и опубликовало эту надпись здесь
          • +9
            Стоило добавить, что это реклама от Яндекса.
            • НЛО прилетело и опубликовало эту надпись здесь
              • +21
                Реклама рамблера, от яндекса в теме про gmail. Наверное у меня сегодня просто настроение хорошее, отличии от других людей :)
        • 0
          13
          • 0
            42
  • –6
    А вообще, если честно, я удивлён. Конечно у гугла не всегда всё было гладко, но с gmailом (на моей памяти) такое впервые. С моим аккаунтом, славу богу, ничего, но 3 письма мне пришло.
  • +6
    А точно ли виноват gmail? может где-то в других сервисах гугла авторизация без Https проходит?
  • НЛО прилетело и опубликовало эту надпись здесь
  • НЛО прилетело и опубликовало эту надпись здесь
    • –4
      Было или нет, тут никак не улавливается связь с оперой.
    • НЛО прилетело и опубликовало эту надпись здесь
    • НЛО прилетело и опубликовало эту надпись здесь
      • НЛО прилетело и опубликовало эту надпись здесь
        • +10
          <irony>
          а тут недавно и opera под ифон зарелизилась, и куча скачиваний было
          не связано ли? :)
          </irony>
      • –2
        Я примерно помню, в чем там суть была. Это была опера мобайл, когда она еще была платной. И, как я понял, при покупке там в ней генерируется какой-то особый ключ авторизации. Но если этот человек где-то выкладывал ее, то с точки зрения сервера оперы мобайл все заходящие с этим ключом — один и тот же человек, и соответственно кукисы делились одни на всех.
  • –1
    только что отключил поп и имап, но никакой активности странной небыло.
  • +3
    Получил письмо такое от друга, но мой не ломали, хоть и POP и IMAP были включены.
  • +1
    Я все же склоняюсь мысли о трояне.
    *На всякий случай обновил антивирусные базы
    • 0
      Отключите ещё POP и IMAP, на всякий случай.
      • 0
        Вы считаете, что актуальные антивирусные базы — это признак паранои?
        • +2
          А я считаю, что актуальные антивирусные базы — это миф. И вообще, антивирусные базы сигнатур — пережиток прошлого.
        • +1
          Отнюдь. А отключить POP и IMAP я рекомендую всем — опрос показал, что у всех взломанных было включено либо первое, либо второе. Почитайте коментарии в этом топике.
          • –1
            POP выключен. IMAP включен (пользуюсь с мобильного). Оперой мини пользуюсь, но не для почты. https включен. пароль сгенерированый, 14 символов. Пока всё чисто. Может POP|IMAP в связке с чем-то?
  • +4
    Пятница в офисе Google прошла удачно)
    • +7
      полезная цитата из вашей ссылки

      There's no reason to assume the compromise is anything other than at the account level.

      If your account has been compromised/hacked/stolen you will need to check and fix at least all of the following settings.

      But first you need to check the bottom of the Inbox and make sure your account is not open at any other locations. If it shows additional locations, open the Details window and «Sign out all other sessions».

      Account Security:
      Settings -> Accounts and Import -> Google Account Settings -> Change Password [pick a new secure password]
      Settings -> Accounts and Import -> Google Account Settings -> Change Password Recovery Options [verify secret question, SMS and recovery e-mail address]

      Potential Spam:
      Settings -> General -> Signature [make sure nothing as been added]
      Settings -> General -> Vacation Responder [make sure it's disabled and empty]

      E-mail Theft
      Settings -> Accounts and Import -> Send Mail As [make sure it is using your correct e-mail address]
      Settings -> Filters [no filters that forward or delete e-mail]
      Settings -> Forwarding and POP/IMAP -> Forwarding [disabled or correct address]
      Settings -> Forwarding and POP/IMAP -> POP Download [disabled]
      Settings -> Forwarding and POP/IMAP -> IMAP Access [disabled]

      Additional Information
      Keeping account secure: https://mail.google.com/support/bin/answer.py?hl=en&answer=46526
      Protecting your account: https://mail.google.com/support/bin/answer.py?hl=en&answer=29407
      More account security info: www.google.com/help/security/
      If your account is compromised: mail.google.com/support/bin/answer.py?hl=en&answer=50270
      Someone using your address: mail.google.com/support/bin/answer.py?hl=en&answer=50200
      Google Employee comments: www.google.com/support/forum/p/gmail/thread?tid=560d53dee40be5e6&hl=en&start=70
    • +3
      … и у всех отписавшихся там — Firefox. Кого взломали, чем пользуетесь? У меня Хром, пользуюсь мобильным клиентом, веб интерфейсом и IMAP — на обоих аккаунтах всё ок.
      • +1
        Я пользуюсь Хромом (веб-интерфейс) + imap (моб. устройство)
        • 0
          Плагины к Хрому юзаете? Юзаете девелоперскую версию, включаете всякие расширения?
          • –1
            юзаю девелоперский хром и проверялка почты есть. взлома не обнаружил, чисто все.
            виндовс пиратская (готов купить лицензию, но никто не продает:( )
            • –1
              Это ничего не доказывает и не опровергает.
      • +1
        хром, linux, мобильным устройством не пользуюсь, pop был включен, imap — выключен
      • –27
        Хромиум, линукс, Opera Mini пользуюсь, имап и поп были включены, активности не было, но письмо пришло от друга. Подозреваю что виндузятнигов поломали????
        • +4
          Читайте внимательно. Поломали всех подряд.
      • +1
        POP и Imap включены. Firefox. Linux.
        Ничего не приходило мне и от меня не уходило.
        Как в гмыле, так и на домен привязанный к гмылу.
      • 0
        POP, IMAP отключены, пользуюсь только вебмордой, Chrome 5.0.375.3 dev, Ubuntu — оба аккаунта (gmail и почта на домене в службах) чистые. Мобильных устройств у меня нет.
        И ссылки подобные пока ни от кого не приходили.
      • +4
        По идее, если хотите найти зависимость надо учитывать только софт тех кого взломали. Если у вас все в порядке — это не значит что у всех с этим софтом все в порядке, может просто до вас очередь еще не дошла. :)
        Это если от софта вообще зависит что-то в данном случае…
  • +1
    У меня POP3 отключен, IMAP включен. Те же яйца.
  • +2
    Мне вот пришли письма от знакомого (но реально адрес другой), в которых была ссылка на LibbieThorngren0317.co.cc

    свой аккаунт проверил, всё нормально вроде.
  • +1
    У меня у товарища такая же беда.
  • +3
    Тоже столкнулся с таким сегодня, только в роли получателя письма. весело
  • –1
    почта через GoogleApps, всё хорошо, поп3 кстати тоже был включен, хотя я его вроде не включал т.к. пользуюсь IMAP
  • –1
    дырка в мобильном интерфейсе похоже, у всех кого взломали взломщики заходили с мобильного устройства?
    • +2
      imap + pop3 + веб-интерфейс, macosx, chrome — взлома нет.
    • 0
      Нет, все отключено (IMAP и тд), заходил только с веб-морды, но все равно взломали. Уверен, что проблема с самим гуглом.
      • 0
        взломщики заходят с мобильного устройства
        • 0
          Это совсем не доказывает, что дырка в мобильном устройстве. Я больше поверю, что что-то не так с гуглом (хотя и верится в с трудом).
          • +5
            что-то не так с мобильным интерфейсом гугла
            • +2
              просто бот, который заходит на гугл использует мобильный интерфейс, не исключено, что там просто аутентификация для бота чуть проще была.
    • +1
      Пользуюсь штатным мобильным аутлуком win mobile 6, почта проверяется так же thunderbird'ом на компе, и через веб-интерфейс.
      имап/поп включены, включена опция использовать хттп/хттпс.
      Тем не менее, взлома нет. В списке только россия, никаких спаммерских писем не приходило и без меня не отправлялось.

      Так что либо до меня тупо не добрались еще, либо дело ни в хттп/хттпс, ни в поп/имап, ни в почте на мобильных устройствах.
  • +1
    У меня Google Apps for Domain, force SSL, все заходы с моих IP. на всякий случай отключил POP — все равно же пользуюсь только IMAP.
  • +2
    Тьфу-тьфу, проверил 3 ящика, все ровно…
  • 0
    Блин, Вы меня испугали. Проверил у себя — в списке оказалась Грузия. Уже хотел поменять пароль, решил перепроверить по GeoIP. Оказывается, Гугол Tele2 приписал Грузии. Так что надо вручную просматривать.
  • +1
    Хм. Проблемы (пока?) нет. Всегда HTTPS, веб-интерфейс. Либо из Firefox, либо из Opera Mini. POP — включен, IMAP — выключен (дефолтные настройки).
  • +7
    На днях, 15 апреля Google обновил веб-морду для Iphone, возможно при этом задели какую-то security фичу и дырочкой начали пользоваться любители члено-увеличения.
    • +2
      Кстати да, имею привязанную почту, взлома нет.
  • +3
    Мобильным устройством, как я понял, gmail называет любое обращение через API. Потому как вход через гаджет Google Desktop или аддон браузера именуется именно так.
    За последние два дня нет ничего подозрительного, а ранее Google истории IP адресов не показывает. Как посмотреть всю историю я не нашел. Может быть кто-нибудь знает как это сделать?
  • –34
    скачал qip2010, при регистрации гтока, он без моего ведома создал аналогичный аккаунт на qip.ru с тем же самым паролем!!!

    от греха подальше сразу поменял пароль.
    врядли ваш случай, но все же мало ли что
    • +12
      Я вам еще секрет расскажу, они все пароли на серверах хранят у себя ;)
    • +11
      Вчера купил Запорожец, проехал на нем 200 метров, он сломался…
      От греха подальше сразу вернул его владельцу и попросил свою тысячу рублей назад.
      Вряд ли ваш случай, но мало ли это случится с вашим Мерседесом… :)
  • 0
    Проверил все ящики. На одном в списке оказалось:

    Мобильное устройство Сша (68.199.130.213) 8 апр.

    Но левых писем вроде не уходило.
  • +1
    У меня сегодня то же самое произошло.
  • +1
    У меня pop3 и imap были включены, странной активности небыло, решил перестраховаться и выключил на время.
  • 0
    Когда уже наконец сделают персональную привязку е-мейла, чтоб уж наверняка не увели?
    • 0
      Это как?
      • –1
        возможно, имеется в виду привязка к IP-адресу.
        • 0
          скорее к паспорту )
  • 0
    Получил подобное письмо.
  • +3
    вы случайно миниоперой не пользовались?
  • +2
    Пароль уникальный, 25 символов, генерированный. POP и IMAP был включен, SSL отключен (странно, включал вроде же). Никаких заходов с чужого IP.
    Раньше пользовался еще мобильным клиентом и чем-то, что забирало почту по IMAP, сейчас все только через вебморду. Chome/Firefox, Linux.
  • –7
    Хм, перестало работать расширение нотификатор почты.



    Pop и Imap ещё не отключал. Интересно, связано ли это с происходящим?
    • +1
      У меня One Number работает.
    • 0
      Все ок, вы наверно все свои сессии позавершали
      drp.ly/PGwbA
      • +1
        А, сессии действительно завершил.
        Подозрение снимается :)
  • 0
    Писем таких не получал, в истории левых входов не обнаружил.

    linux, сижу только через веб-интерфейс, «только https» не стояло, поп и имап были включены. щас отключил, на всякий пожарный)

    Пока не улавливаю никаких закономерностей, судя по комментам, ломали и юзеров на линухах оО
  • 0
    Опа, прямо массовый взлом, у меня все чисто, pop выключен, ssl включен, imap часто с айфона пользую.
    Со времен прошлого топика начал использовать гугл ридер через SSL тоже.

    Ждем официальных комментов гугла.
    • +1
      не вижу нигде в настройках как поставть ридер на ssl, подскажи пожалуйста.
      все ленты с него читаю и только сейчас увидел что идет по http
      • +2
        такой настройки нет, просто внес в закладки https://www.google.ru/reader
        на сертификат правда ругается
        • +5
          вы не тот указали, надо этот https://www.google.com/reader/view
          • 0
            да, спасибо, если .com — не ругается на сертификат
          • +1
            спасибо!
        • 0
          Ругается не на сертификат, а на то, что страницы, которые вы грузите содержат элементы, загруженные не с HTTPS. Это, к примеру, картинки из постов! ;)
      • 0
        Ещё например в плагине One number есть такая настройка — использовать HTTPS.
    • 0
      подскажите, а где можно глянуть историю и сделать настройки? А то видно где-то я туплю и не вижу.
      • +1
        Снизу ссылка «Дополнительная информация».
        • 0
          Спасибо. :) Вроде только я заходил.
        • 0
          У кого не видно этой ссылки, перезайдите в аккаунт, появится.
  • 0
    Со мной то же самое произошло, проснулся от смс-ок «твою почту взломали».
    Mac OS 10.5, веб-интерфейс и имап, секьюрный пароль. Так что явно через какую-то дыру (в мобильном веб-интерфефйсе?) эккаунты заполучили.

    У меня, кстати, из Польши:

    Mobile Poland (89.74.141.89) 11:00 am (3 hours ago)
    • 0
      Хром юзаете? Плагины к Хрому/программы для проверки почты?
      • 0
        Хром юзаю, но в почту через него захожу где-то раз в месяц… Почту читаю через MailPlane и mail.app на айфоне.
  • –1
    Не пугайте меня…
  • –2
    pop3+imap отключены, только веб-интерфейс. Состояние: не взломан (пока что?)
  • –18
    Да что ж такое?!?! Я простой, никому не нужный юзер. Я понимаю, что это все ооочень плохо, но БЛИН!!! У меня же стресс! Перепроверил 4,5 гуглоящика, все поотключал (если раньше не было). Я ж теперь спать не буду! То самолеты падают, то вулканы, теперь еще и гугол взломали! Это что, так конец света начинается??
    • +22
      Вам поможет Ново-пассит.
      • –9
        Новопассит пишется слитно
        • +1
          Я так тоже думал, но решил перепроверить )
      • +3
        Ибуфен — и нет проблем )
    • +3
      это всё разрывы виноваты…
      • 0
        Я тоже давно думаю, как заставить СТРИМ убрать эти разрывы :) И тут такая возможность подворачивается.
    • +2
      кстати, а скажите, что такое «4,5 гуглоящика»? гугл настолько суров, что позволяет открыть половину аккаунта =)
      • 0
        это означает 2 своих и 3 чужих проверил и поотключал всякие POP3 и IMAP, в некоторых и https поставил. вот.
      • 0
        это означает 2 своих и 3 чужих проверил и поотключал всякие POP3 и IMAP, в некоторых и https поставил. вот.
  • +14
    Внимание, внимание, владельцы взломанных аккаунтов. Пользовались лы вы любой Оперой с включенной фичей Opera Turbo?
    • –21
      Firefox. Следов взлома не вижу, хабровчане, какой у вас браузер? :)
      • –17
        Fx 3.6 (Linux)
      • +6
        Ник у тебя говорящий.
        • –16
          Местный клоун? :)
      • НЛО прилетело и опубликовало эту надпись здесь
      • –1
        Июленочек!!! Дай я тебя поцелую
    • НЛО прилетело и опубликовало эту надпись здесь
    • +1
      Нет, не пользовался уже давно.
    • +1
      Оперой не пользуюсь совсем
      Но! Пользуюсь meebo для чата через гугловский джаббер, а так же ещё парой программ: fring и nimbuzz — они все знают пароль от гуглопочты :(
    • 0
      Опера мини считается?
    • 0
      вполне реальный косяк, который уже всплывал — кэш браузера попадает к другим пользователям Opera Turbo…
    • –5
      Chrome — взломов нет
    • 0
      Пользовался, с мобильного телефона, при этом был залогинен в почте, но не входил в нее.
      Однако, не взломали. Правда пришла ссылка от знакомого, с высоким рейтингом WOT, по которой я легкомысленно перешел, но был сделан редирект на несуществующую страницу, поэтому вроде пока все в порядке. :)
    • 0
      Opera mini
    • 0
      Опера 9.52
    • –3
      Опера на компе есть, но гуглопочту через нее никогда не открываю. Это имеет значение?
      • 0
        Судя по всему — браузер не имеет значения. У всех взломанных аккаунтов был включён доступ по POP или IMAP.
      • 0
        Судя по отзывам, к данному конкретному инциденту Опера отношения не имеет.
      • +5
        OMG. Ну, конечно, вот и разгадка! У вас на компе была установлена Опера, которую вы ни разу не запускали. Именно она и взломала ваш ящик.
        • –6
          У меня ничего не взломали, представляете? Я об этом уже дважды написала в разных комментах.
          Оперу не люблю, и если выяснится, что в ней есть дыры — снесу не задумываясь, для тестирования сайтов можно и browsershots использовать.
          • 0
            «Внимание, внимание, владельцы взломанных аккаунтов», написано жирным шрифтом в комментарии, на который вы дали ответ.
            • 0
              Вообще-то это был вопрос.
              • +4
                «Отвечай на мой ответ!» © :)
    • +1
      IE 6. Следов взлома не вижу, хабровчане, какой у вас браузер? :)
  • +69
    Закройте окна, двери, отключите компьютер от сети, проверьте чулан, опустите крышку унитаза и ждите комментариев гугла.
    • –2
      … удалите Оперу, с которой вы ни разу не заходили на Gmail
      (продолжая список нелепых вещей, которые можно сделать в данной ситуации)
  • –3
    Пользуюсь и веб мордой и автосборщиком писем и pop imap. пароль 14 символов где то. никаких следов взлома не вижу, только мои адреса и только я :)
  • НЛО прилетело и опубликовало эту надпись здесь
    • 0
      возможно баг с сессиями, поскольку весь траф идет через их «сжимающие» сервера
      • –1
        А ведь когда-то уже было такое. Когда люди массово качали модификацию оперы-мини с неофициальных серверов.
    • +2
      Не похоже на взлом. Больше выглядит как «лазейка».

      У самого чисто (https only, привязка к мобильнику, секурный пасс, ff 3.6 [win])
    • 0
      А как можно «привязать к мобильнику»?
      • НЛО прилетело и опубликовало эту надпись здесь
        • 0
          Спасибо.
          Но чем это поможет? Я так понимаю лишь усложнит (для взломщика) процесс смены пароля.
          • 0
            ну я даже не знаю… видимо, вся соль защиты в том, чтобы усложнить именно взломщику жизнь процесс смены пароля — чем не помощь?
      • +1
  • 0
    мне кажется чтоб как то разобраться в том что происходит и где зарыта собака, было бы не плохо чтоб писали кто чем пользуется (браузеры) и что у кого включено. может по этой статистике будет что то ясно.
    windows 7
    ff 3.6.3 (noscript)
    gmail webinterface ssl
    imap iphone
    pop3 был включен
    • НЛО прилетело и опубликовало эту надпись здесь
    • –1
      Напишите тогда список расширений, особенно если это Gmail check plugin.
  • 0
    Проверил ящики все чисто. Ящики на GApps тоже. POP отключен, IMAP включен.
  • 0
    В пределах 3,5 часов подозрительных логинов нет. Раньше посмотреть не могу, т.к. показываются только 5 последних действий. Подозрительных писем в отправленных нету. Пользуюсь только IMAP.
  • –1
    так а что спамят-то?

    какие письма приходят? какая цель рассылок?
    • 0
      ссылка на заабуженный сайт с фармой
  • +32
    Чёрт, по-моему я лох, раз не взломали мой гмейл акк :(
    • –2
      аналогично
      на Google Apps все тихо, хотя и спамят в папочку Spam
    • –1
      Я так вообще лакомый кусочек должен быть: винда, гмэил нотифер на лисе, поп был давно и по дефолту включен (сейчас вырубил).
      Но ни от меня спама, ни ко мне (если не считать обычного старого-доброго «Прочтите, это не спам!»).
    • +4
      «Тебя не взломали? Просто ты никому не нужен; даже они тебя игнорируют.»
  • –1
    Посмотрел сейчас — ничего не было. Сам пользуюсь многими плюшками от гугла. Входил с оперы-мини в том числе пару дней назад. Но в системе гымэйла был только я :)
  • –1
    Так зарегистрирован заход в экканут с неизвестного IP-адреса пару дней назад. Простое совпадение? Пароль, как мне казалось, у меня очень мудреный.
  • –1
    Захожу тока через Firefox и десктоп гаджет, и ничего вроде такого!
  • –18
    1) в гмыле есть незакрытая бага, но для таких мелочей ее не используют.
    2) 100% тупо затроянили машину и сграбили пароль.
    • 0
      2) Я проверил всю машину, перерыл все процессы, компьютер чист, такое со мной впервые, взломали довольно много людей, скорее всего как-то через открытые pop3 и imap, советую всем отключить их пока.
      • 0
        баг именно в веб-интерфейсе, как я слышал.
        ручная проверка машины вам ничего не даст, посмотрите лучше, нет ли перехатов в SDT с помощью какого-нибудь руткит-хантера
        • +1
          проверил, результат нулевой.
          • 0
            судя по комментам ниже — похоже все-таки всплывает какая-то уязвимость в сервисе.
      • +2
        крайне распостраненное заблуждение продвинутых пользоватеоей, что они способны обнаружить любое вредоносное ПО «вручную» «перерыв процессы», «просмотрев реестр» и прочее-прочее.
    • НЛО прилетело и опубликовало эту надпись здесь
      • 0
        посмотреть бы еще на сорец письма.
        • НЛО прилетело и опубликовало эту надпись здесь
          • 0
            интересно, почему у некоторых были письма, у некоторых не было.
            у вас список контактов не пустой, случаем?)
            • НЛО прилетело и опубликовало эту надпись здесь
        • +3
          MIME-Version: 1.0
          Received: by 10.239.143.141 with HTTP; Fri, 16 Apr 2010 21:33:18 -0700 (PDT)
          Date: Sat, 17 Apr 2010 07:33:18 +0300
          Delivered-To: mihail.b@gmail.com
          Message-ID: <y2ld51bfe5d1004162133xc821ad71w6cd942a1077643b9@mail.gmail.com>
          Subject: 
          From: =?UTF-8?B?0JzQuNGF0LDQuNC7INCRLg==?= <mihail.b@gmail.com>
          To: ***@inbox.lv, ***@gmail.com, 
          	***@unsub.dotnews.ru, ***@macrohosting.ru, 
          	***@lage.lv, ***@nic.lv, ***@yandex.ru, 
          	***@apollo.lv, ***@linstow.lv
          Content-Type: text/plain; charset=UTF-8
          
          http://ShanellTotman4011.co.cc
          
          • 0
            да, вот и думай тут.
            ссылка, как я понял — редирект на какой-то заабуженный сайт. что-нибудь вроде фарма-партнерки.
        • 0
          MIME-Version: 1.0
          Received: by 10.204.121.72 with HTTP; Fri, 16 Apr 2010 23:44:11 -0700 (PDT)
          Date: Sat, 17 Apr 2010 10:44:11 +0400
          Delivered-To: pavel.finkelshtein@gmail.com
          Message-ID: <h2xb4280be51004162344v11a63570iae61f9df7bdb0c74@mail.gmail.com>
          Subject:
          From: =?KOI8-R?B?8MHbwQ==?= <pavel.finkelshtein@gmail.com>
          To: misterfix@ail.ru, tsd@asus.com.tw, vovic@formatek.ru, vlublenkaus@mail.ru,
          vshe2007@yandex.ru, web.master@gask.ru, web.tyoma@gmail.com,
          webmaster@yandex.ru, xen.email@gmail.com, support@maps.yandex.ru
          Content-Type: text/plain; charset=KOI8-R
          Content-Transfer-Encoding: base64

          aHR0cDovL0NhcnNvbldlbGNvbWUzMDQ5LmNvLmNjCgotLSAK6dPL0sXOzsUg18HbLgo=
  • –5
    Я стараюсь после использования внешних сервисов а-ля Вкантактэ, где просят ввести пароль и обещают, что не будут его использовать — всегда поменять пароль на аккаунт…
    Себе дешевле!
  • +16
    Китайские правительственные хакеры мстят гуглу )
  • +2
    Интересно. Проверил активность за последнее время, ко мне не через мобильное устройство ходили со Швейцарии, а через «Канал Atom» как говорил гугл. Просто замечательно.
    Никто не в курсе как можно через «Канал Atom» проверять почту?
    • +4
      https://USERNAME:PASSWORD@gmail.google.com/gmail/feed/atom
    • 0
      Это вход в Google Reader показывается.
    • +2
      Тоже заметил активность в Атоме.
    • +2
      У меня через него работает гаджет для рабочего стола windows 7
    • 0
      193.189.143.*?
      Все нормально, у меня так netvibes конектится в гмейл.
  • –10
    Вот ссылка goo.gl/lbzF

    Мне тоже пришло, тыкнул на Report spam и забыл.
    • +2
      помню, у меня когда-то машину угнали с документами и чемоданом денег
      да фигня, купил новую и забыл
      • +2
        Да при чем тут угнали? Мне пришел спам я его пометил как спам и все. Разве вы не так поступаете?

        После заглянул в Activity и Sent Mail, ничего подозрительного не заметил. И да, да я забыл!
  • 0
    У меня произошло тоже самое вчера, мобильно устройство США, сменил пароль, отключил pop и imap, утром пришли письма со спамом от еще пары знакомых.
  • +1
    Понимаю, что один я не показатель для статистики, но учитывая общую тенденцию отпишусь:
    Браузер Firefox захожу по https, а так же через OperaMini. Полет нормальный, все чисто.
  • 0
    Кто-то из взломанных sync'ает контакты мобильного с гугло-акком?
    • –1
      Я
    • –1
      Судя по комментариям большинство не синхронизирует контакты с мобильным, поэтому вряд ли в этом дело.
  • +3
    интересненько.
    Итак, промежуточные выводы:
    — чаще (всегда?) ломали тех, кто заходит в Гугл через мобильные устройства;
    — совсем недавно Гугл сделать XOauth-аутентификацию при отправке почты через SMTP;
    — скорее всего, это не баг в настольном браузере;
    — вероятно, уязвимость даёт возможность только отправлять почту от имени других пользователей, и больше ничего.
    Я всё-же подозреваю, что это какой-то баг. Возможно, в сервисе, в котором вы через Гугл авторизовались.
    • +3
      а как же рассылка на реальные имэйлы, которые были в контактах или на которые уже отправлялась почта?
      • +1
        я этот момент упустил. Ну тогда да, есть также доступ к контактам. Но нет доказательств, что пароль стал известен злоумышленникам. Это всё-таки может быть доступ через API
    • 0
      Первое — не всегда. У меня взломали аккаунт, на который никогда не ходили Оперой или мобильными устройствами.

      Почту отправляли, судя по всему, ботом через мобильный интерфейс, а не по SMTP.

      К промежуточным выводам надо добавить, что у всех взломанных был включён POP или IMAP.
      • 0
        Нет, отписывались и те, у кого POP и IMAP выключены.
        • 0
          Было включено и то и другое, после пары упоминаний в твиттере выключил оба сервиса. До этого получил письмо такое же как и все от друга.
          • 0
            Перепроверил комментарии, и увидел, что ошибся:
            > у всех взломанных был включён POP или IMAP
            Так и есть.
      • 0
        > ботом через мобильный интерфейс
        Точнее, пишут, что просто через API скорее всего.
    • 0
      Там выше

      • +2
        Хабраглюк, там выше выложили исходник письма:
        MIME-Version: 1.0
        Received: by 10.239.143.141 with HTTP; Fri, 16 Apr 2010 21:33:18 -0700 (PDT)


        Таки HTTP, SMTP ни при чём.
    • +1
      Пока версия с багом в OAuth выглядит наиболее правдоподобно. Ещё на гугловском форуме написано о возможной предсказуемости идентификатора сессии:

      My assumption is that session id became predictable. In this case it's possible to generate random session ids until google lets you to go without password. That means it's possible to get control over a random account, and not possible to hack into a given mailbox.
      The cure is to log out of all your sessions (at the bottom of gmail page there is a link: Last account activity… *Details*) and log out explicitly when you're finished with your session.

      Вопрос к пострадавшим: после использования веб-морды GMail вы всегда разлогиниваетесь?
  • 0
    я уже успел везде пароли поменять и антивирусником весь комп проверить

    Мобильное устройство Румыния (78.96.92.28) 9:59 (5 час. назад)
    Firefox, Windows 7
  • +1
    Windows Vista. Вхожу из разных мест под разными браузерами и разные почтовики и imap и pop3. Пароль средней сложности. Все нормально, признаков вмешательства нет. Ящику больше трех лет.
  • 0
    Может это с google wave связанно? У тех кто как то связан с мылом .co.cc нет случайно акка на wave?
    • +4
      У меня аккаунт в wave есть и в бузе есть, а проблем нет. Да хватит пароноить уже:) Проблема скорее всего у самого google.
      • –1
        Нееее, я не паранойю. :) Просто возникло соображение. Вот и спросил.
        Прикольная проблема. А причём тут тогда ссылка .co.cc в тексте сообщения?
        • –1
          Аааа… Мы все умрём!
    • НЛО прилетело и опубликовало эту надпись здесь
  • –2
    Ты почаще жми на неработающие ссылки.
  • –3
    Видимо, тут перехват авторизации. Ведь с Opera Mini вы отправляете пароли не напрямую, а через сервера Opera. Злоумышленники, видимо, нашли брешь и перехватили данные. Такая же история, думаю, будет в Opera (для компьютера), если там включен режим Turbo. В данном случае активируется прокси-сервер Opera, на котором тоже может остаться залогиненым ваш аккаунт.
    • НЛО прилетело и опубликовало эту надпись здесь
      • 0
        Заходил в почту через веб-интерфейс, отслеживал активность фаерволла, пока ходил по ящику. Ничего постороннего нет. В списке — только мои IP. С Opera Mini не заходил.
  • +1
    Я пустил по ссылке веб-скриншотер и вот что он мне выдал:

    Как думаете, к чему это?
    • +2
      Домена не существует.
      • +1
        Мде, паника отрицательно влияет на мой мозг :-) Я не догадался.
  • 0
    Волнуюсь, проверяю, но пока все чисто. Opera 10.51(win), турбо выкл., в основном pop3, изредка https. Совсем недавно заходил через Opera mobile, тестил интернет на телефоне.
  • +1
    Есть Wave, Buz, IMAP включен. На двух ящиках всё чисто, спам в пределах нормы. Залогинен с двух машин — под Debian (FF 3.5.8) и Win XP (Chrome). С мобильных не ходил, Оперой в аккаунт не заходил уже давно.
  • 0
    Вы из LV? Не так давно, такая же ерунда случилось и с моим аккаунтом ;) пароль тоже не простой был, вот я теперь и не знаю о чем даже думать. Аккаунт кстати очень давно не использовал.
  • –2
    Сумасшедшая идея: может быть это происходит у всех у кого был Wave с таким же паролем как и на Gmail? Например dev сервак взломали или кто-то из инсайда слил базу.
    • НЛО прилетело и опубликовало эту надпись здесь
  • +14
    Опять вся драма мимо меня :(
  • –9
    ну частники-то ладно, что с них взять. а вот организации, пользующиеся google apps — обычно или очень глупые, или очень смелые.
  • +18
    И ни у кого не выскочил алерт?
    gmailblog.blogspot.com/2010/03/detecting-suspicious-account-activity.html

    • 0
      Я подозреваю, что на мобильные устройства этот алерт не распространяется.
      • 0
        Если это так, то я не вижу в этом никакой логики…
        Но боюсь, это просто баг системный
  • НЛО прилетело и опубликовало эту надпись здесь
  • +8
    Пришло письмо. В нем ссылка http://PerditaPerrilloux3082.co.cc, редиректит на http://mrapgyan.net/, который не работает.
    Исходники PerditaPerrilloux3082.co.cc
    <html> 
    <title>Discount Pharmacy - Powered by CO.CC</title> 
    <meta http-equiv="content-type" content="text/html; charset=utf-8"> 
    <meta name="distribution" content="global"> 
    <meta name="revisit" content="10 days"> 
    <meta name="revisit-after" content="10 days"> 
    <meta name="resource-type" content="document"> 
    <meta name="audience" content="all"> 
    <meta NAME="rating" content="General"> 
    <meta name="robots" content="all"> 
    <meta name="robots" content="index,follow"> 
    <link rel="shortcut icon" href="http://www.co.cc/img/favicon.ico" > 
    <script language=javascript>if (top.frames.length > 0) top.location.replace(self.location);</script> 
    <script> 
    top.location = 'http://mrapgyan.net';
    </script>
    <noframes> 
    <body> 
    <a href=http://www.co.cc>Discount Pharmacy</a> 
    </body>
    </noframes> 
    </html> 
    

    Хуйс MRAPGYAN.NET
    Domain Name: MRAPGYAN.NET
    Registrar: INTERNET.BS CORP.
    Whois Server: whois.internet.bs
    Referral URL: www.internet.bs
    Name Server: No nameserver
    Status: clientHold
    Status: clientTransferProhibited
    Status: clientUpdateProhibited
    Updated Date: 16-apr-2010
    Creation Date: 03-apr-2010
    Expiration Date: 03-apr-2011


    Абузы о .co.cc домене писать сюда. Тело пришедшего письма тут.
  • +2
    В отправленных мусорных писем не обнаружил, но в инбоксе на Гмейле увидел такое письмо от коллеги.
    Пароли сменил. А вдруг.

    Gmail for Apps держится без изменений, что вселяет надежду.

    Кстати, я не сразу понял, где все смотрят лог заходов в аккаунт. Если вдруг я не одинок в своем невежестве — то внизу любой страницы Гмейла есть ссылка на Last Account activity. )
  • НЛО прилетело и опубликовало эту надпись здесь
    • +1
      читайте внимательней, или хотя бы попробуйте поискать на странице. У всех, вне зависимости от платформы.
      • НЛО прилетело и опубликовало эту надпись здесь
    • +34
      Это атака клонов или вас так много естественным путем?
    • +1