Седьмого сентября в интернете появился текстовый файл с миллионом паролей от аккаунтов на «Яндексе», восьмого эта информация широко разошлась по СМИ.
Появились разные версии, как пароли могли быть скомпрометированы:
— главный консультант по информационной безопасности Symantec Андрей Зеренков считает, что утечка более миллиона паролей от почтовых ящиков «Яндекса» могла стать следствием взлома системы или утечки внутри компании;
— исполнительный директор Group IB Владимир Загребелин предположил, что злоумышленники могли скупить данные о паролях у теневых ресурсов, чтобы объединить их в один список для компрометации «Яндекса».
С объяснением вышел и «Яндекс». Компания придерживается версии, что пароли собирались с пользовательских компьютеров в течение большого периода времени с помощью вирусов и фишинговых атак. Из миллиона затронутых аккаунтов, наибольшему риску подвержены те 150 тысяч, данные о которых ранее не появлялись в подобных списках (из чего можно сделать вывод, что список агрегирует данные из разных источников или за разные периоды времени). «Яндекс» призывает не суетиться со сменой паролей:
Призывать пользователей менять пароли не нужно. Тех, кто попал или мог попасть в этот опубликованный список, мы уже оповестили и сами просим сменить пароль.
Предыдущий громкий скандал с компрометацией большого массива клиентских данных в Рунете произошел в апреле 2014 года, когда данные около десяти тысяч банковских карт клиентов РЖД были скомпрометированы через платежный шлюз ВТБ24. ВТБ24 и РЖД так никогда и не признали вину за утечку, но клиентские карты были перевыпущены банками-эмитентами.
* * *
Комментарий «Яндекса»:
За последние несколько часов мы тщательно проанализировали эту базу и пришли к следующим выводам. Речь не идёт о взломе инфраструктуры Яндекса, данные стали известны злоумышленникам в результате фишинга или вирусной активности на заражённых компьютерах некоторых пользователей. Это не целенаправленная атака, а результат сбора скомпрометированных аккаунтов в течение длительного периода времени.
О 85% скомпрометированных аккаунтов из этой базы нам уже было известно: большинство из них уже несколько лет появляются в подобных списках. Мы предупреждали их владельцев и предлагали сменить пароль, но они этого не сделали. Это означает, что такие аккаунты либо заброшены, либо создавались роботами. Владельцам оставшихся 150 тысяч аккаунтов этой ночью мы сбросили пароль, и они не смогут войти в ящик, пока не поменяют его. Если вы не видите такого предупреждения от Яндекса, то вашего аккаунта нет в опубликованном списке и можно не беспокоиться.
Если мы видим, что аккаунт мог быть взломан - по его присутствию в подобных базах, по тому, как изменилось поведение пользователя после входа в аккаунт (http://habrahabr.ru/company/yandex/blog/230583/), или по другим признакам - мы разлогиниваем пользователя и отправляем его на принудительную смену пароля.
Дополнительная информация:
Призывать пользователей менять пароли не нужно. Тех, кто попал или мог попасть в этот опубликованный список, мы уже оповестили и сами просим сменить пароль.
Данные пользователей Яндекса конечно же не хранятся в открытом виде, как предполагают на хабре, - в этом виде их представили на обозрение злоумышленники. Речь не идёт о «кроте» - пароли «утекли» от пользователей, а не из Яндекса. Фишинг и утечка паролей с компьютеров пользователей из-за вирусов - постоянная проблема многих популярных сервисов, а не результат одноразовой и целенаправленной атаки пользователей.
Взлом пароля не означает взлом сервиса. Пароли могут быть скомпрометированы из-за того, что на компьютере пользователя могут быть вирусы, которые передают информацию о персональных данных злоумышленникам. Или «утекли» в результате фишинга, когда сайт злоумышленника выглядит, как настоящий, и пользователь вводит там пару логин/пароль. Бывает и так, что пользователи регистрируются на разных сомнительных сайтах, в качестве пароля выбирая тот же, что и у почтового ящика, с которого происходит регистрация.
В интернете регулярно всплывают «базы паролей». Во-первых, они могут быть ненастоящими, и до их покупки (с целью наживы на данных, в них содержащихся), горе-хакер не может этого знать. Во-вторых, существуют базы, которые были созданы роботами с единственной целью - чтобы продать. В-третьих, в подобных базах могут содержаться логины пользователей, пострадавших из-за вирусов на своих компьютерах или фишинга.
* * *