Утечка номер два
Вслед за миллионом учетных записей «Яндекса» в сеть попали 4,5 миллиона аккаунтов почтового сервиса Mail.Ru. Из этого числа только 600-800 тысяч являются актуальными.
Социальные сети уже отреагировали на случившееся и заблокировали аккаунты, зарегистрированные на скомпрометированные адреса. Блокировка продлится до тех пор, пока владельцы аккаунтов не сменят пароли. Об этом сообщил в своем твиттере пресс-секретарь соцсети «ВКонтакте» Георгий Лобушкин.
По сообщению издания, в Mail.Ru считают, что опубликованная база аккаунтов и паролей старая и собрана из фрагментов, т.е. из нескольких баз, которые были украдены у пользователей в разное время и, скорее всего, разными способами (фишинг, вирусы). При этом довольно большой процент паролей из списка Mail.Ru уже неактуален, то есть владельцы аккаунтов уже успели их сменить.
Неожиданные крупные утечки паролей к почтовых ящикам «Яндекса» и Mail.ru стали результатами взлома через уязвимости в бесплатном ПО, которое используют крупнейшие российские интернет-компании. Далее захешированные пароли нетрудно расшифровать — именно этим может объясняться обилие простых паролей в опубликованных базах. Об этом рассказывают «Известия», для которых специальный доклад подготовила компания Cloudseller, являющаяся официальным партнером Google в России по распространению корпоративных продуктов Google Apps, в частности почты Gmail.
Руководитель группы исследования уязвимостей «Лаборатории Касперского» Вячеслав Закоржевский рекомендует пользоваться такими сервисами, как yaslit.ru, которые позволяют проверить, находится ли учетная запись в опубликованной базе. Если да, то следует немедленно поменять пароль и активировать двухфакторную авторизацию. Об этом сообщает «Газета.Ru»
Ранее неизвестные опубликовали в интернете файл с базой из 1 261 809 паролей к почтовым ящикам на «Яндексе».
В пресс-службе «Яндекса» заявили, что появление в публичном доступе файла с паролями не стало следствием взлома сервиса: «Пароли пользователей "Яндекса" надежно защищены и не хранятся в открытом виде. Поэтому опубликованный список — это не "взлом" и не "утечка" "Яндекса"».
В компании пояснили, что каждый отдельный пароль мог утечь вследствие заражения компьютера пользователя вирусом, который передает персональные данные мошенникам. Также рассматривается вариант фишинга — схемы, при которой злоумышленник создает копию сайта или сервиса, чтобы ввести пользователя в заблуждение и выкрасть пароль.
«Речь не идет о взломе инфраструктуры Яндекса. <...> Это не целенаправленная атака, а результат сбора скомпрометированных аккаунтов в течение длительного периода времени», — подчеркнул представителя «Яндекса», которого цитирует МИА «Россия сегодня».
За долгие годы своей деятельности хакеры добыли кучу паролей методом подбора и другими способами. Аккаунты юзеров просто взламывали и «тырили» их пароли.
Почему информацию «слили» и кто в этом заинтересован – сложно сказать. Могли бы тихо, спокойно пользоваться этими паролями много лет, вместо этого подняли скандал и целую бучу.
Профессионалы, которые заняты делом, на такую глупость не пошли бы. Если вы профессионал, делаете сервисы и почту, то вам вообще утечки паролей против сердца.
Если вы спокойно спамите, рассылаете рекламу, зарабатываете на этом – вам тем более никакие скандалы не нужны, тихо используете эти пароли. Опубликовали данные аккаунтов, скорее всего, либо какие-то энтузиасты, либо люди, у которых какие-то странные дополнительные интересы, которые несложно продиагностировать. Это интересы не в области нормальной профессиональной деятельности. Положительные или отрицательные – но все равно на благо отдельных людей.
Если рассматривать ситуацию с технической стороны, информацию могли взять из кэша, могли взять из бэк-апов, например. Здесь ключевую роль сыграл человеческий фактор, а никак не банальный взлом, как в фильмах показывают, где хакеры и со стороны как-нибудь особым шрифтом все взламывают.
В самом взломе почтовых сервисов в первую очередь заинтересованы люди, которые занимаются воровством учетных записей в финансовых системах. Многие пользователи отключают дополнительную авторизацию по СМС и другим каналам, а у большинства людей, к сожалению, логин и пароль совпадают. То есть большая вероятность, если вы знаете мой логин и пароль от «Яндекс-почты», то, скорее всего, где-нибудь еще, в банк-клиенте, где нет авторизации по СМС или PayPal, выйдет то же самое.
Возможно, информация попала к кому-то в руки случайно, то есть человеческий фактор сработал. Например, кто-то работал админом в Mail.Ru или где-то еще, или имел доступ админа на Mail.Ru, «Яндекс». Это очень крупные компании, где есть свои минусы больших компаний, связанные с персоналом. «Слив» данных по аннулированным аккаунтам может быть просто хулиганством.
Гипотеза о черном пиаре со стороны конкурентов крайне слаба. Версия, что «Яндекс» что-то предпринимает против Mail.Ru, а Mail.Ru — против «Яндекса», несостоятельна. Потому что все-таки российский рынок почтовых сервисов не заполнен, и еще нет какой-то особенно острой конкуренции. Ни «Яндекс», ни «Меил.ру» не будут тратить время и силы на такие вещи. Им это не нужно.
Российские интернет-компании безусловно пользуются лицензированными платными ПО. Ни Mail.Ru, ни «Яндекс» просто нецелесообразно использовать бесплатное, потому что, оплачивая ПО, они получают кучу преференций. Плюс ко всему, они становятся полноценными игроками IT-бизнеса.
Я допускаю мысль, что интернет-компании могут использовать бесплатные программы, обеспечивающие некритичные функции. Но бесплатное ПО от платного ПО отличается только легитимностью, не более того. С точки зрения программного кода, они идентичны. Если вы скопируете фотографию цифровую 20-25 раз, у вас фотография хуже не станет. Если вы размножите программу, она хуже не станет. Бесплатный ворованный Microsoft Word от простого Word не отличается ничем, если он работает. Он либо работает, либо не работает. И единственная разница только в обновлениях, но тут уже, несомненно, сотрудники крупнейших отечественных интернет-компаний не забывают ставить обновления. Я сам там работал, там есть и проверка, и проверка проверки, и проверка над проверкой.
В основе IT-сервисов компаний "Яндекс" и Mail.ru лежит открытая, бесплатная open source система Linux, разрабатываемая сообществом Linux-программистов. Также компании используют ряд стандартных open source’ных пакетов и дистрибутивов этой операционной системы.
Несмотря на то, что компании кастомизируют открытое ПО и дорабатывают его под свои нужды, в ядре IT-сервисов многих интернет-компаний, в том числе и Google, используется все то же открытое ПО на базе ОС Linux.
Если в одном из используемых пакетов будет найдена критическая уязвимость, под ударом окажутся все компании, использующие данное ПО. Недавний пример - Heartbleed, критическая уязвимость в Open SSL, в результате которой были скомпрометированы конфиденциальные данные десятков тысяч пользователей. Для поиска и устранения уязвимостей организация Linux Foundation создала инициативу Core Infrastructure Initiative, направленную на финансирование разработчиков открытого ПО на основе Linux, которым пользуется большинство компаний. К инициативе уже присоединились такие интернет-компании, как Amazon, Google, Facebook, Microsoft. Надеемся, что компании “Яндекс” и Mail.ru также присоединятся к этой инициативе, чтобы поддержать развитие открытого ПО и повысить стандарты безопасности в экосистеме Linux.