Яндекс рассказал, что сотрудники Почты имеют доступ к ящикам пользователей

Развитие событий: Пользователи «Яндекс.Еды» хотят по 100 000 рублей за раскрытие их данных (30 марта 2022)

"Служба безопасности Яндекса раскрыла факт внутренней утечки", сообщает пресс-релиз компании.

Во время внутреннего расследования было обнаружено, что сотрудник предоставлял несанкционированный доступ в почтовые ящики пользователей. Это был один из трех системных администраторов, обладавших такими правами доступа, необходимыми для выполнения рабочих задач по обеспечению технической поддержки сервиса. В результате его действий было скомпрометировано 4887 почтовых ящиков.

Неавторизованный доступ в скомпрометированные ящики уже заблокирован. Их владельцы получили уведомление о необходимости смены пароля от своей учетной записи.

По выявленному инциденту проводится внутреннее расследование и будут пересмотрены процессы работы сотрудников, обладающих административными правами такого уровня доступа. Это поможет минимизировать влияние человеческого фактора на безопасность данных пользователей. Также компания обратилась в правоохранительные органы.

Российские суды регулярно назначают наказание сотрудникам мобильных операторов, которые торгуют данными пользователей, о таких случаях рассказывает телеграм-канал "Утечки информации". За последний месяц он сообщил почти о десятке судебных разбирательств. Обвинения обычно предъявляются по статьям УК РФ 138 (нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений) и 272 (неправомерный доступ к компьютерной информации).

Суд Ростова-на-Дону признал виновным сотрудника оператора мобильной связи в неправомерном доступе к компьютерной информации (ч. 3 ст. 272 УК РФ) и назначил ему штраф в размере 50 тыс. руб.

Даниил Рогоженко с июля по август 2020 г. 19 раз незаконно получал детализации телефонных разговоров граждан и передавал их за денежное вознаграждение третьим лицам (т.е. занимался т.н. “мобильным пробивом”).

В Мичуринске (Тамбовская область) возбуждено уголовное дело в отношении 19-летнего менеджера салона сотовой связи, который занимался т.н. “мобильным пробивом” - продавал личные данные клиентов.

Используя свои логин и пароль, он заходил в биллинговую систему, копировал информацию на личный компьютер и за определённую плату предоставлял заказчикам распечатки телефонных звонков и СМС-сообщений абонентов оператора.

Уголовное дело возбуждено по ст. 138 УК РФ (нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений граждан).

В Кирове мировой суд признал сотрудника сотового оператора виновным в незаконном разглашении сведений, составляющих коммерческую тайну и наказал штрафом в 30 тысяч рублей.

Мужчина сфотографировал монитор рабочего компьютера с номерами телефонов, паспортными данными и именами абонентов и передал эту информацию третьим лицам.

28-летний житель Канавинского района Нижнего Новгорода осуждён за незаконную передачу информации о телефонных соединениях абонентов сотовой связи.

Уголовное дело в отношении сотрудника оператора сотовой связи было возбуждено по ч. 2 ст. 138 УК РФ (нарушение тайны телефонных переговоров граждан, совершенное лицом с использованием своего служебного положения), и трех преступлений, предусмотренных ч. 3 ст. 272 УК РФ (неправомерный доступ к охраняемой законом компьютерной информации).

Установлено, что в мае прошлого года молодой человек, находясь на рабочем месте в центре продаж и обслуживания абонентов, скопировал и передал информацию о телефонных соединениях трех абонентов неустановленным следствием людям. За это он получил 3 тыс. рублей.
Ему назначено 2,5 года лишения свободы условно, с испытательным сроком 2 года.

Лучшие комментарии

  • Контекст комментария

    Виталий Никсенкин ABCD Team | HostSuki

    утечка выглядела, как изменение настроек аккаунта, разрешался доступ чтобы через другую почту например mail можно было выгружать письма. и IP который в логах уже сервиса mail, а не vpn или чей-то еще. сотрудник просто включал доступ к протоколам которые изначально были отключены и конечно же никаких уведомлений безопасности не было. один из моих хостингов так пострадал в сентябре, ящик который биллинг по smtp рассылал и личная почта моего сотрудника на том проекте куда всякие счета оплаты уведомления шли, почта была просто на его личном домене. но это была целевая атака чисто на проект, раз и биллинг и сотрудник. а не десятки других почт которые тоже у чела были.
    https://yapcdn.net/se4/1/31JEvAVHeN4LW6.png

  • Контекст комментария

    Юрий Синодов Roem.ru

    Вот тут Ашот Оганесян с примерами приводит разборки о том, как люди барыжат доступом к почте «Яндекса» причём со 100%-й гарантией: https://www.facebook.com/ashotog/posts/3958575877543702

    ЕВПОЧЯ — это значит, что инфу даёт инсайдер. Иначе 100%-й гарантии быть не может

    И яндексоидов призывают обратить на это внимание.

    Но не получилось.

Добавить 23 комментария

  • Ответить

    >Неавторизованный доступ в скомпрометированные ящики уже заблокирован. Их владельцы получили уведомление о необходимости смены пароля от своей учетной записи.

    Не понял как выглядела утечка и зачем менять пароли. У яндекса пароли хранятся в открытом виде и администратор посмотрел пароли? Или что даст смена паролей, если у администратора был доступ на уровне базы данных?

  • Ответить

    PR-фраза, скорее всего

    Но вообще, когда сотрудник имеющий доступ в святая святых «компрометирует» 5000 аккаунтов и это отлавливают лишь в этот момент — это несколько «ой», вообще-то можно было бы и cross-check делать по таким процедурам.

    Опять же, какой должна быть мотивация творить такую дичь, неужели зарплата на такой позиции требует каких-то леваков?

  • Ответить
    Альтер Эго

    Вспомнился отчего-то эпизод из книжки про Facebook. Про мастер-пароль, который был у сотрудников и по которому можно было войти в любой аккаунт.

  • Ответить

    Никогда такого не было и вот опять.
    Помню, как еще во времена маленького Я на Вавилова были с позором выгнаны два сотрудника, которые торговали паролями от почты. Там была контрольная закупка и все дела. Прошло 20 лет, а ничего не изменилось. Сотрудники все так же имеют доступ к почте пользователей, а Я.Новости, по-прежнему, управляются исключительно алгоритмами.

  • Ответить
    Виталий Никсенкин ABCD Team | HostSuki

    утечка выглядела, как изменение настроек аккаунта, разрешался доступ чтобы через другую почту например mail можно было выгружать письма. и IP который в логах уже сервиса mail, а не vpn или чей-то еще. сотрудник просто включал доступ к протоколам которые изначально были отключены и конечно же никаких уведомлений безопасности не было. один из моих хостингов так пострадал в сентябре, ящик который биллинг по smtp рассылал и личная почта моего сотрудника на том проекте куда всякие счета оплаты уведомления шли, почта была просто на его личном домене. но это была целевая атака чисто на проект, раз и биллинг и сотрудник. а не десятки других почт которые тоже у чела были.
    https://yapcdn.net/se4/1/31JEvAVHeN4LW6.png

  • Ответить

    >Сотрудники все так же имеют доступ к почте пользователей, а Я.Новости, по-прежнему, управляются исключительно алгоритмами.

    Кто-то всегда будет иметь доступ к базе, а значит и ссылочку для сброса пароля можно на свой ящик скинуть.
    Нужно привыкать к жизни в прозрачном мире, пишите даже в американском мессенджере так, будто вы на форуме пишете.
    Вариантов нет, хоть четвертую за слив персональных данных, хоть анафеме предавай, все равно сливы будут, чем дальше, тем больше.

  • Ответить

    Программистов и дизайнеров выращивают из курьеров хавчика, а системных администраторов, наверное, из Я-таксистов? Сперва тот касатик парковался на газонах?, потом стал ящиками приторговывать, закономерно, в общем-то. Чего возмущаться, не форматнули же диск. Впрочем, может это они хвастаются карьерными возможностями и касатик отделается премией в 10х зарплаты.

    «Юрий Синодов
    Опять же, какой должна быть мотивация творить такую дичь, неужели зарплата на такой позиции требует каких-то леваков?»

    Он свалить хотел? Дом в Калифорнии миллиона два стоит, самый коробкохолодильноквоподобный. Это по 400$ с каждого. Скажем прямо, сумма натянута, по сотке еще куда ни шло, больше уже никто не заплатит. Для студии в Мурино (или что там у вас из сверхпопулярного) по 800р за ящик.

    И, судя по еще более новому интерфейсу Почты, там уже никакой зарплаты давно нет, а резвятся волонтёры-таксисты из колледжа спецдизайна. Убрать все линии в строках писем это так гениально и всё сделать ярко-белым, жду пока вообще всё сделают прозрачным, включая шрифты, буду любоваться на микросхемы монитора.

    «Станислав Кузнецов
    Дениска, ты или выкладывай свои логины-пароли»

    Что-то типа такого, очевидно же:
    UHJhZ3JhbWlzdHktRXRvLUJvZ2khISEhISFWc3lhLXZsYXN0Jy1wcmFncmFtaXN0YW0uS3VwaS1raXRheXNrdXl1LWF2dG9zaHJvdGlueS1uZWRvcm9nbw==

  • Ответить

    >Что-то типа такого, очевидно же:
    >UHJhZ3JhbWlzdHktRXRvLUJvZ2khISEhISFWc3lhLXZsYXN0Jy1wcmFncmFtaXN0YW0uS3VwaS1raXRheXNrdXl1LWF2dG9zaHJvdGlueS1uZWRvcm9nbw==

    А это сейчас было смешно (:

    Жаль, Дениска так и не ответил. Хотя его почта хостится в том самом яндексе, о факапе которого он отозвался как «все равно сливы будут, чем дальше, тем больше».

    А вообще, конечно, яндекс всё больше превращается в помойку. Два года назад один «одмен» удалил тысячи виртуальных машин в я.клауде, составив неверный запрос (и данные удалились моментом, без всяких там таймаутов), теперь вот другой «одмен» приторговывал доступом к почте. Что будет дальше — третий «одмен» начнет торговать историей перемещений в я.такси, сливать записи звонков из я.телемост или продавать историю запросов — уже не интересно.

  • Ответить

    Вот тут Ашот Оганесян с примерами приводит разборки о том, как люди барыжат доступом к почте «Яндекса» причём со 100%-й гарантией: https://www.facebook.com/ashotog/posts/3958575877543702

    ЕВПОЧЯ — это значит, что инфу даёт инсайдер. Иначе 100%-й гарантии быть не может

    И яндексоидов призывают обратить на это внимание.

    Но не получилось.

  • Ответить

    Стасик, как ты верно заметил, моя почта хостится у яндекса и я не парюсь по поводу этого инцидента, а ты визжишь как потерпевший.
    Вот Синодов пишет, как за денюжку дают гарантированный доступ к почте, так иди и купи, раз тебе так интересна моя почта, напоминаю manager_denis@avtogsm.ru.

  • Ответить

    > Кто-то всегда будет иметь доступ к базе, а значит и ссылочку для сброса пароля можно на свой ящик скинуть.
    Нужно привыкать к жизни в прозрачном мире, пишите даже в американском мессенджере так, будто вы на форуме пишете.

    Кому к этой жизни надо привыкать? Тем, у кого нечего красть или просто тупым? Свой-то почтовый сервак завести или заплатить три копейки за платный сервис с нормальным договором нам же Заратустра не позволяет. Нет, зачем? Демидов лучше будет продолжать «капитанить» банальщиной из интернетов, но с пафосом лютого знатока.

  • Ответить

    Нагорный, поделись тайными знаниями с общественностью, не жлобствуй, как тебе «нормальный договор» и плата поможет от слива? Это какая-то vip почта? Там сервера администрируют исключительно швейцары в белых перчатках и смокингах?

    PS собственный почтовый сервер еще более дырявое дело, как показывает практика.

  • Ответить

    «Юрий Синодов Roem.ru
    ЕВПОЧЯ — это значит, что инфу даёт инсайдер. Иначе 100%-й гарантии быть не может»

    Если кому-то понадобилась чья-то почта, значит, обе стороны весьма богаты, как минимум, чтобы позволить себе смартфон. А доступ к приёму-отправке СМС нет разве что у дефолтного фонарика. Любое приложение, имеющее доступ к приёму-отправке+удалению СМС вполне себе может слить что угодно. Александр Григорьевич верно сказал. Потом бегают и жалуются, что всё с интернет-банка усосалось и никаких СМС даже не было, что уж тут об емайл, где, по сути, проходной двор, освященный фонариками. Была недавно же сводка, кто из приложений самый дерзкий и любопытный, вот любое из них и модераторы ихние под подозрением. Я так считаю, в теории.

  • Ответить

    > Это какая-то vip почта? Там сервера администрируют исключительно швейцары в белых перчатках и смокингах?

    Именно так. Ты просто не в курсе, т.к. жлобишься платить. Поэтому, скорее всего, даже и не искал подобные варианты.

    > PS собственный почтовый сервер еще более дырявое дело, как показывает практика.

    Опять же, этот твой опыт — свидетельство твоей же жадности.

  • Ответить

    Демидов, ты же, дурачок, только крайностями оперируешь, как подросток. Поэтому и бомбит у тебя от всего, что ты не понимаешь. Иди дальше читай интернеты, образовывайся.