1000000 паролей от почтовых ящиков Яндекса утекли в сеть

[SeMpRoN]

Сегодня на одном довольно широко известном ресурсе разместили базу email адресов с паролями от почтовых ящиков «Яндекса». База представляет собой текстовый документ, в котором заявлено 1 млн позиций.

С удивлением обнаружил там один из своих, и хотя пароль не был космической сложности, уж точно не для брута и словарей.

Когда именно, и по какой причине данная база утекла в сеть, остается неизвестным. В комментариях народ пишет, что из первых попавшихся 10 яшиков как минимум 8 являются на настоящий момент валидными.

В общем, дружно меняем пароли, пока представители «Яндекса» ищут крота.

http://habrahabr.ru/post/235949

 

[nastromo]

чорт побери, может наконец, мой найдецца, а то лет 5 уж никак восстановить не могу))

 

[sale]

ответ яндекса http://habrahabr.ru/company/yandex/blog/236007/

 

[greenstayer]

ответ яндекса http://habrahabr.ru/company/yandex/blog/236007/

попытка спасти лицо. нехилый удар по репутации.

 

[j2me]

на одном довольно широко известном ресурсе разместили базу email адресов с паролями от почтовых ящиков «Яндекса»

а что за ресурс?

 

[Alek99]

тоже хотел бы знать

 

[SeMpRoN]

гуглите, "я только разместил обьяву"

 

[j2me]

широко известном ресурсе

весь форум 29 облазил - не нашел базы

 

[brox]

мейл тоже поломали, хотя моих ящиков я там не нашёл

ссыль на файл

тут можно проверить свой ящик ссыль, но я бы не стал проверять

 

[KISS]

тут

:yahoo: меня там нетю (пока) :crazy:

 

[sale]

попытка спасти лицо. нехилый удар по репутации.

для упоротых - яндекс (и другие адекватные) не хранят пароли, а хранят хэши, а значит слить пароли оттуда, как вопят клоуны - невозможно
даже если ты упер хэши ты обосрешся их брутить
я проверил несколько своих мыл яндексовских - нету в этой базе, юзеры сами себе буратины тычут как безумные куда попало а потом пароли утекают

 

[Veliar]

я проверил несколько своих мыл яндексовских - нету в этой базе, юзеры сами себе буратины тычут как безумные куда попало а потом пароли утекают

Ты бы тему на хабре для начала почитал.

 

[sale]

Ты бы тему на хабре для начала почитал.

тему я читал, что не так?

 

[Veliar]

тему я читал, что не так?

Комментарии почитайте. Там много комментариев людей чьи учетки были в списке. Причем некоторые из них утверждают что ящик был создан лет 6 назад, и заходили на него пару раз после создания. А на хабре в основном не школота сидит, а люди со знанием дела. Короче все что там писали долго перечислять. Но то что пароли были добыты одним способом, и только через юзеров, не выдерживают критики.

О, вот и mail подтянулся

 

[j2me]

У кого база есть гляньте пароль на мой акк ;D

 

[sale]

А на хабре в основном не школота сидит, а люди со знанием дела.

ахахаха, да да, достаточно почитать комментарии:

Интересно, утечка связана с тем, что Яндекс стал лить инфу в ФСБ?

Пароли просто обязаны хранится в открытом виде.
Причина банальна: не возможно не зная пароля на сервере поддерживать все защищённые методы аутентификации, там на вход нужно подавать пароль в открытом виде.

 

[Veliar]

Ну да, взять самые глупые комментарии и не заметить таких, это конечно очень весело

Cегодня имею много подтверждений того что в том числе ушли пароли весьма свежие, с автоматизированных систем под юниксами (с навороченной защитой).



Разница в том, что никто никакие учетки не заводил.

Это были в том числе роботы (внутренние платежные сервисы например) очень серьезно защищенные.

С достаточно свежими паролями. С доступом 1-2 авторизованных лиц.

Как минимум несколько человек сегодня рассказали схожие истории.

Вероятность заражения машин такого класса стремится к нулю. Пароли там генерятся под один сервис, достаточно сложные и нигде более никогда не используются. Это не рабочие станции, это выделенные машинки под одну конкретную задачу. Из софта там нет ничего вообще кроме сервиса одного.

В основном все молчат и не разводят панику, никому это не выгодно на рынке.

У меня был достаточно сложный пароль, точно не для Брута(11 букв и 3 цифры). В качестве оси генту или дебиан, ничего подозрительного в логах всех машин нету.

1) моя учетка там есть.
2) пользуюсь я ей раз в месяц для ЯД и всегда тщательно проверяю, туда ли я попал, так что фишинг исключен.
3) кейлогер исключен. Слишком неподходящая для spyware система, да и проверяется на руткиты регулярно
Остается вариант, что поуводили базы всяческих форумов и кросс-перебором проверяли.
С другой стороны, этот пароль использовался только для яндекса и хабра.

И кстати, это правда, если бы ты потрудился прочитать что то кроме заминусованных комментов. То наверное нашел бы, что этот человек имел ввиду в общем, реально есть способы аутентификации которые требуют открытого пароля, и ниже были приведены такие способы. Про то что они используются на яндаксе он не говорил.

Пароли просто обязаны хранится в открытом виде.
Причина банальна: не возможно не зная пароля на сервере поддерживать все защищённые методы аутентификации, там на вход нужно подавать пароль в открытом виде.

 

[sale]

Cегодня имею много подтверждений того что в том числе ушли пароли весьма свежие, с автоматизированных систем под юниксами (с навороченной защитой).
Это были в том числе роботы (внутренние платежные сервисы например) очень серьезно защищенные.

супер система с навороченой защитой и мылом на яндексе? самому то не смешно? :lol:

 

[Veliar]

супер система с навороченой защитой и мылом на яндексе? самому то не смешно?

Всякое бывает. И я не вижу причин врать человеку зареганному на хабре больше 7 лет, и работающему в Badoo.
А остальные комментарии проигнорировал?

 

[sale]

Всякое бывает.

ога, если ты в серьезной суперзащищеной системе используешь мыло на яндексе, то беседовать дальше неочем

И я не вижу причин врать человеку зареганному на хабре больше 7 лет, и работающему в Badoo.
А остальные комментарии проигнорировал?

а я зареган 5 лет всего, ой блин вот печаль :lol:
как дата реги на хабре коррелирует с адекватностью?