1000000 паролей от почтовых ящиков Яндекса утекли в сеть

SeMpRoN

Active member
Регистрация
5 Ноя 2008
Сообщения
17,721
Реакции
10
Баллы
38
Адрес
г. Северодвинск проспект
Сегодня на одном довольно широко известном ресурсе разместили базу email адресов с паролями от почтовых ящиков «Яндекса». База представляет собой текстовый документ, в котором заявлено 1 млн позиций.

С удивлением обнаружил там один из своих, и хотя пароль не был космической сложности, уж точно не для брута и словарей.

Когда именно, и по какой причине данная база утекла в сеть, остается неизвестным. В комментариях народ пишет, что из первых попавшихся 10 яшиков как минимум 8 являются на настоящий момент валидными.

В общем, дружно меняем пароли, пока представители «Яндекса» ищут крота.
WHozCepLC6M.jpg

http://habrahabr.ru/post/235949
 

nastromo

Гитароваятель
Регистрация
23 Окт 2008
Сообщения
17,194
Реакции
36
Баллы
48
Адрес
Архангельск
чорт побери, может наконец, мой найдецца, а то лет 5 уж никак восстановить не могу))
 

j2me

Заблокирован
Регистрация
23 Апр 2009
Сообщения
24,449
Реакции
26
Баллы
0
Адрес
Архангельская область: доска, треска и тоска

brox

Active member
Регистрация
25 Фев 2010
Сообщения
1,531
Реакции
1
Баллы
38
Адрес
Архангельск
мейл тоже поломали, хотя моих ящиков я там не нашёл

ссыль на файл

тут можно проверить свой ящик ссыль, но я бы не стал проверять :)
 
Последнее редактирование:

sale

Active member
Регистрация
24 Янв 2010
Сообщения
4,226
Реакции
21
Баллы
38
Адрес
Арх,Новск
попытка спасти лицо. нехилый удар по репутации.

для упоротых - яндекс (и другие адекватные) не хранят пароли, а хранят хэши, а значит слить пароли оттуда, как вопят клоуны - невозможно
даже если ты упер хэши ты обосрешся их брутить
я проверил несколько своих мыл яндексовских - нету в этой базе, юзеры сами себе буратины тычут как безумные куда попало а потом пароли утекают
 

Veliar

New member
Регистрация
24 Мар 2008
Сообщения
1,205
Реакции
2
Баллы
0
Адрес
Северодвинск
я проверил несколько своих мыл яндексовских - нету в этой базе, юзеры сами себе буратины тычут как безумные куда попало а потом пароли утекают
Ты бы тему на хабре для начала почитал.
 

Veliar

New member
Регистрация
24 Мар 2008
Сообщения
1,205
Реакции
2
Баллы
0
Адрес
Северодвинск
тему я читал, что не так?
Комментарии почитайте. Там много комментариев людей чьи учетки были в списке. Причем некоторые из них утверждают что ящик был создан лет 6 назад, и заходили на него пару раз после создания. А на хабре в основном не школота сидит, а люди со знанием дела. Короче все что там писали долго перечислять. Но то что пароли были добыты одним способом, и только через юзеров, не выдерживают критики.

О, вот и mail подтянулся
 
Последнее редактирование:

sale

Active member
Регистрация
24 Янв 2010
Сообщения
4,226
Реакции
21
Баллы
38
Адрес
Арх,Новск
А на хабре в основном не школота сидит, а люди со знанием дела.

ахахаха, да да, достаточно почитать комментарии:
Интересно, утечка связана с тем, что Яндекс стал лить инфу в ФСБ? :)
Пароли просто обязаны хранится в открытом виде.
Причина банальна: не возможно не зная пароля на сервере поддерживать все защищённые методы аутентификации, там на вход нужно подавать пароль в открытом виде.
 

Veliar

New member
Регистрация
24 Мар 2008
Сообщения
1,205
Реакции
2
Баллы
0
Адрес
Северодвинск
Ну да, взять самые глупые комментарии и не заметить таких, это конечно очень весело

Cегодня имею много подтверждений того что в том числе ушли пароли весьма свежие, с автоматизированных систем под юниксами (с навороченной защитой).



Разница в том, что никто никакие учетки не заводил.

Это были в том числе роботы (внутренние платежные сервисы например) очень серьезно защищенные.

С достаточно свежими паролями. С доступом 1-2 авторизованных лиц.

Как минимум несколько человек сегодня рассказали схожие истории.

Вероятность заражения машин такого класса стремится к нулю. Пароли там генерятся под один сервис, достаточно сложные и нигде более никогда не используются. Это не рабочие станции, это выделенные машинки под одну конкретную задачу. Из софта там нет ничего вообще кроме сервиса одного.

В основном все молчат и не разводят панику, никому это не выгодно на рынке.

У меня был достаточно сложный пароль, точно не для Брута(11 букв и 3 цифры). В качестве оси генту или дебиан, ничего подозрительного в логах всех машин нету.

1) моя учетка там есть.
2) пользуюсь я ей раз в месяц для ЯД и всегда тщательно проверяю, туда ли я попал, так что фишинг исключен.
3) кейлогер исключен. Слишком неподходящая для spyware система, да и проверяется на руткиты регулярно
Остается вариант, что поуводили базы всяческих форумов и кросс-перебором проверяли.
С другой стороны, этот пароль использовался только для яндекса и хабра.

И кстати, это правда, если бы ты потрудился прочитать что то кроме заминусованных комментов. То наверное нашел бы, что этот человек имел ввиду в общем, реально есть способы аутентификации которые требуют открытого пароля, и ниже были приведены такие способы. Про то что они используются на яндаксе он не говорил.

Пароли просто обязаны хранится в открытом виде.
Причина банальна: не возможно не зная пароля на сервере поддерживать все защищённые методы аутентификации, там на вход нужно подавать пароль в открытом виде.
 
Последнее редактирование:

sale

Active member
Регистрация
24 Янв 2010
Сообщения
4,226
Реакции
21
Баллы
38
Адрес
Арх,Новск
Cегодня имею много подтверждений того что в том числе ушли пароли весьма свежие, с автоматизированных систем под юниксами (с навороченной защитой).
Это были в том числе роботы (внутренние платежные сервисы например) очень серьезно защищенные.

супер система с навороченой защитой и мылом на яндексе? самому то не смешно? :lol:
 

Veliar

New member
Регистрация
24 Мар 2008
Сообщения
1,205
Реакции
2
Баллы
0
Адрес
Северодвинск
супер система с навороченой защитой и мылом на яндексе? самому то не смешно?
Всякое бывает. И я не вижу причин врать человеку зареганному на хабре больше 7 лет, и работающему в Badoo.
А остальные комментарии проигнорировал?
 

sale

Active member
Регистрация
24 Янв 2010
Сообщения
4,226
Реакции
21
Баллы
38
Адрес
Арх,Новск
Всякое бывает.
ога, если ты в серьезной суперзащищеной системе используешь мыло на яндексе, то беседовать дальше неочем

И я не вижу причин врать человеку зареганному на хабре больше 7 лет, и работающему в Badoo.
А остальные комментарии проигнорировал?

а я зареган 5 лет всего, ой блин вот печаль :lol:
как дата реги на хабре коррелирует с адекватностью?
 
Сверху