1000000 паролей от почтовых ящиков Яндекса утекли в сеть

[JDima]

Новость масштабная (прежде всего «яндекс хранит пароли в clear text», затем уже «эти пароли украли»). Нагуглить информацию не удалось, полная тишина в сети. Можете предоставить подтверждение своей информации?

[monah_tuk]

Что-то мне кажется, если бы был доступ полноценный, то было бы больше адресов. Себя вот там не нашёл (пароль сменю, на всяк). Коллега предположил, что это коллекция добытая фишингом.

[JDima]

Может быть, фишинг (да, я тоже себя не нашел). Это объясняет целых 75086 повторов с разницей лишь в регистре. Может быть, несколько различных ресурсов объединились и проверили, у кого из юзеров пароль на том ресурсе совпадает с почтовым паролем.

[Tranced]

Извиняюсь, за то что оставляю свой комментарий под вашим, но так он будет лучше виден.
Я добавил на isleaked.com толстую базу аккаунтов mail.ru из этого комментария, которую мне любезно перезалил Voenniy, а это ещё ~5 млн аккаунтов, пусть и слегка устаревших, но работающих. Проверяйтесь, распространяйте и меняйте пароли.

[anton]

Мы в Яндексе в целом с вашим коллегой согласны, это фишинг и вирусы. Подробнее: habrahabr.ru/company/yandex/blog/236007/

[merlin-vrn]

Я понимаю, «хабр — сборище школоты», но вы-то почему к ним примазываетесь? Вроде взрослый человек, а про CRAM-MD5 (если он поддерживается Яндексом, то и требует для него базы паролей в открытом виде) не знаете, ПАРОЛЬВОТКРЫТОМВИДЕКАГЖЕТАГ. Мне стыдно за вас.

То, что он и в любом случае используется в открытом виде, хотя бы и через SSL — никто не задумывается. К чему это приводит, как пример: heartbleed или иная дырка в сервере, и утекли ваши пароли. Что, думаете, все сервисы затирают ту область памяти, в которой проверялся пароль, надёжно? Хрена с два.

Проблема не в том, что пароли хранятся в открытом виде. Проблема в том, что для проверки так или иначе используется пароль (или его эквивалент) в открытом виде. Ещё раз, для непонятливых: то, что достаточно сообщить серверу для удостоверения себя, обязательно необходимо сообщить ему в открытом виде, либо он заранее это должен иметь в открытом виде. И это плохо.

Есть механизмы вроде SRP-6, в которых это требование снимается, и это хорошо. Но он сложный, хорошо если один из тысячи хабровчан, паникующих при словах «пароль в базе в открытом виде», способен реализовать SRP-6.

И давайте вспомним любимый BGP или хотя бы OSPF. Что там для аутентификации? PSK. Пароль в открытом виде.
А, ну и CHAP у провайдеров ещё. В Ростелекоме, например.

[esc]

А что, пароль уже нельзя хешировать в браузере, чтобы он в открытом виде не уходил дальше браузера?

[mrjj]

Еще полгода назад я такие меры ругался что, дескать, это свинцовые трусы от спида, теперь, пожалуй, вообще никогда такое говорить не буду.

[esc]

Я не говорю, что это панацея. Понятно, что при подключении не через веб, а почтовые протоколы, при наличии дыры в ssl, пароль тоже можно украсть. Но для сервисов, где безопастность критична, пусть лучше будет дополнительная ступенька защиты, чем не будет.

[mrjj]

Да я это скорее в подтверждение написал, что даже такие меры, как оказалось, лишними не бывают.

[merlin-vrn]

Какой смысл?

Если хешировать в браузере, то хеш становится тем достаточным для аутентификации эквивалентом пароля. Фактически, хеш сам становится паролем в открытом виде, а то, что мы хешировали, уже не важно.

[mwizard]

Следующий комментатор предложит сделать аутентификацию двухэтапной и получится CHAP :)

[JDima]

Важно, что этот хеш будет паролем только на яндексе, и больше нигде, а также что пользователю для обеспечения безопасности достаточно любым образом изменить свой пароль, пусть даже приписав одну цифру, а не радикально сменить его.

[merlin-vrn]

Мечты, мечты. Каждый сервис начнёт хранить в браузере SHA2(p), а некоторые — MD5(p), и всё, приплыли.

[JDima]

Сервис не будет ничего хранить в браузере клиента кроме куки.

[Chamie]

Пусть просто сервис при авторизации высылает клиенту соль для хэширования.

[esc]

Пароль в открытом виде может подойти к другим сервисам пользователя, зарегистрированным на эту-же почту. А хеш с солью — нет.

[Nepherhotep]

У хэша с солью другая задача — чтобы кража базы данных не компрометировала всех пользователей сервиса (как это произошло сейчас у Яндекса). Поэтому браузер не должен передавать хэш пароля, а всегда сам пароль. А чтобы данные не перехватывались снифером — для этого нужен SSL.

[esc]

Хорошо, когда SSL — гарантия надежности. Вероятность его взлома, конечно не очень большая, но есть и от большинства владельцев сайтов никак не зависит, к сожалению.

[Nepherhotep]

Вы понимаете, что передача хэша не решает проблему? Атака на SSL очень сложна, и чтобы перехватить переданный пароль, все-равно нужен снифер. Если каким-то образом атака на конкретного пользователя оказалась удачной, другие пользователи от этого не страдают. То же, если у сервиса угнали базу (подразумевается, что сервис хранит хэши паролей с солью).
А в случае с вашим хешем, снифер сразу перехватывает «пароль» (т.е. по этому пункту система более уязвима). В случае угона базы данных злоумышленник получает доступ ко всем аккаунтам (т.е. и по этому пункту система более уязвима, при чем существенно).
Единственный случай, когда, казалось бы, хэш выигрывает — это если пользователь использует один и тот же пароль для разных сервисов. Однако, если у пользователя один пароль для всех учеток, день рождения или 123456 — то это пользователь идиот, а не проблема сервиса.

[esc]

Ну я больше говорю о хешировании как о доп защите, а не замене SSL. Хотя, ниже описали намного более интересный способ, который даже при пробое ssl ничего не выдаст.

[Nepherhotep]

Да, но это «доп защита» открывает огромную дырень в виде угрозы угона базы паролей.

[Protos]

Какую? А что если все поступающие пароли на проверку так же хешируются еще раз на сервере и сверяются с таким же 2жды хешированным паролем в базе?

[Alexeyslav]

А не увеличит ли это действие количество коллизий?

[Protos]

Не думаю если не свой алгоритм изобретен, а известно безопасные используют, но я не криптоаналитик

[VolCh]

Единственный случай, когда, казалось бы, хэш выигрывает — это если пользователь использует один и тот же пароль для разных сервисов.

А сервисы используют разные механизмы генерации хэша.

[KorDen32]

Достаточно просто разной соли

[nikolaynag]

Так и не надо хешировать один пароль. Можно перед хешированием подмешать к паролю какую-нибудь информацию с сервера (например текущее время) и из пароля получится аутентификационный токен, который каждый раз будет разный.

[merlin-vrn]

А проверять пароль как? Сервер знает токен и хеш. Как проверить, что хеш=f(токен+пароль)?

[esc]

Ну теоретически:

браузер отправляет

MD5 (MD5(pass + salt) + md5(ip+salt2)), при этом, md5(ip+salt2) браузер предварительно полуает с сервера.

Сервер хранит MD5(pass + salt) в базе, допустим это hash_pass. Получая с браузера что-то, он проверяет MD5(hash_pass + md5(remote_addr+salt2) ) на равенство с тем, что получил от браузера.

[mwizard]

До изобретения CHAP осталось совсем чуть-чуть :)

[esc]

А в чем отличие уже на данном этапе? ip заменить на id сессии?

[mwizard]

В вашей схеме есть излишества, ведущие к потенциальным уязвимостям. Например, ваш клиент вычисляет md5(md5(secret | clientSalt) | challenge) — зачем, когда можно вычислять md5(secret | clientSalt | challenge)? В вашем случае, если каким-то образом утечет md5(secret | clientSalt) (с сервера, например, потому что сервер хранит именно md5(pass + salt)), появляется возможность использовать его повторно, а это критическая уязвимость.

Сервер генерирует challenge, используя ip — зачем? Соль должна быть случайна, а если соль случайна, её придется временно хранить. Если так, то добавление ip излишне, можно просто отправлять длинную случайную строку и хранить её на время проведения аутентификации.

В правильном случае сервер отправляет клиенту длинную случайную строку, которая никак не связана с любыми характеристиками клиента — challenge. Клиент вычисляет response = md5(salt | secret | challenge) и отправляет серверу response и salt, где последняя — это длинная случайная строка, которую генерирует сам клиент. Сервер, зная secret, salt и challenge повторяет вычисление у себя и либо отшивает клиента, либо аутентифицирует его.

Очевидный недостаток — пароли хранятся в открытом виде :), а ведь именно этого мы и пытались избежать. Зато это самый всамделишно-настоящий CHAP! :) Поэтому есть вариант лучше, вот его протокол:

1. Пользователь вводит некий пароль password.
2. Генератору ECDSA-ключей скармливается pbkdf2(password) — на выходе получаем secret и public.
3. Клиент говорит серверу — «Привет, я vasya@yandex.ru»
4. Сервер проверяет, есть ли у него в базе публичный ключ vasya@yandex.ru, и если да, то говорит клиенту — «Окей, держи длинную случайную строку challenge и некий последовательный счетчик seq, на который ты не можешь влиять и который растет монотонно, никогда не повторяясь».
5. Клиент вычисляет response = ecdsaSign(secret, challenge | seq | длинная случайная строка) и отправляет подписанное сообщение серверу.
6. Сервер отбрасывает соль, сверяет, что challenge совпадает с отправленным ранее, и проверяет публичным ключом, извлеченным из БД, что подпись верна.
7. Готово!

В этом случае сервер не знает ни пароля, ни его хэша, и пароль никогда не передается никуда даже во время регистрации. Наличие счетчика обеспечивает неуязвимость к replay-атакам даже в случае дублирующегося challenge. MITM при этом, правда, возможен, так что этот протокол всё равно нужно пускать поверх TLS, чтобы клиент был уверен, что говорит с сервером, а не с хакером.

[esc]

Спасибо за пояснение, вопрос по пункту 6. | это у вас разделитель? А то непонятно, каким образом сервер отбросит соль.

[mwizard]

Конкатенация — "foo" | "bar" == "foobar". Сервер знает длину challenge, следовательно, может просто взять первые N байт сообщения для проверки верности challenge, но при этом подпись считать от всего сообщения.

[esc]

Понятно, спасибо за поясления.

[merlin-vrn]

Поэтому есть вариант лучше, вот его протокол:
…
этот протокол всё равно нужно пускать поверх TLS

А зачем тогда протокол, когда в TLS уже есть сертификаты и ECDSA или другой асимметришный шифр, и можно аутентифицировать клиента, например, по серийнику ключа или же по cname?

А вообще, респект за замечание по поводу неслучайности challenge, если он зависит от ip. Я думал об этом, писать не стал, а следовало.

[mwizard]

Если вы хотите аутентифицировать клиента средствами TLS, клиент должен получить валидный клиентский сертификат. Я не говорю, что это сложно, но это, как минимум, непривычно для большинства, и сопряжено с рядом неудобств, связанных с хранением и бэкапированием этого самого сертификата, его восстановлением в случае, если «шеф, усё пропало», и реализацией логаута, когда браузер уже спросил, какой сертификат будем использовать и отказывается его «забыть». С серверной же стороны реализация клиентской идентификации тоже не так проста, потому что работает на уровне соединения. Т.е. это всё возможно, но сопряжено с рядом трудностей и для клиента, и для сервера.

Тогда как предложенная мной схема использует «обычные пароли» и вписывается в существующую инфраструктуру любого проекта, использующего аутентификацию по паролю, с полпинка.

[merlin-vrn]

Тем не менее, StartSSL использует именно такой подход: при регистрации прямо в браузере генерируется пара и запрос сертификата, этот запрос передаётся на сайт, откуда возвращается сертификат, строится pkcs12 и встраивается в браузер. И тут же они рекомендуют сделать резервную копию. После чего аутентификация в приватных областях сайта происходит тупо по сертификату.

И знаете, использовать это удобно.

[KorDen32]

Для сайта, на котором вы авторизовываетесь изредка под одной учеткой, и всегда с браузера — да, удобно. А вот когда нужен вход с нескольких устройств (импортировать клиентский сертификат в мобильный браузер — не всегда элементарная задача) и возможность зайти откуда угодно, не думая о ключе, то лучше уж обычный пароль — основная масса народа не потянет премудрости TLS-авторизации, переевыпуск ключей, бэкапы и т.д…

Протокол, похожий на описанный mwizard используется в Steam. Я не особо разбирался с подробностями, и возможно могу ошибаться в последовательности. Там используется RSA, и схема проще.
При нажатии кнопки логина на сайте, делается запрос на /login/getrsakey/ с логином и временем. В ответ приходит публичный ключ RSA (уникальный для пользователя) и им просто шифруется пароль. Правда соли вроде нет, т.е. да. получается что перехваченный ответ можно переиспользовать, но тут не уверен, не отслеживал. С другой стороны, вероятность перехвата TLS-соединения мала, у основной массы пользователей аккаунты взламывают через подставные сайты или троянов.

[KorDen32]

UPD: перечитал и переоисмыслил описанный выше протокол, понял что там все же другое.
Steam я привел в качестве примера использования шифрования пароля на клиенте, отличного от популярного md5(pass+salt+...) (и подобных) или plaintext.

[merlin-vrn]

В вашей схеме для аутентификации нужно знать штуку MD5(pass+salt), которая выполняет роль пароля в данном случае. Эти штуки хранятся в базе открытым текстом.

Да, проблема «одинаковые пароли на разных сайтах» действителньно снимается, в этом смысле подход конечно лучше.

[esc]

Не только проблема с разными сайтами решается. Если даже перехватите то, что отправляет браузер, это не поможет авторизироваться с этими данными с другой машины.

[merlin-vrn]

Это потому, что вы изобрели CHAP (поздравляю). Но проблему «SQL-инъекций» это не решает — стырить базу достаточно, т.к. эквиваленты пароля, достаточные для аутентификации, там в открытом виде.

[m00t]

Вы опасно некомпетентны в криптографии

[alexkbs]

Сервер хранит MD5(pass + salt) в базе

— вы это на полном серьёзе предлагаете? Не в шутку?

[esc]

Я исхожу из такого условия. Вопрос был «как проверить пароль». Как хороший способ защиты это не позиционируется. То, что предлагает mwizard выглядит значительно лучше.

[nikolaynag]

Вы правы, в данном случае все равно придется хранить пароль на сервере, тут защита будет только на этапе передачи по сети (для чего в большинстве случаев лучше использовать SSL).

Тут надо использовать не просто хеширование, а асимметричную криптографию. Тогда можно введенный в браузере пароль превратить в пару открытый/закрытый ключ. Присылаемый сервером токен шифруем в браузере с помощью закрытого ключа, который никуда не передается и нигде не хранится (он вычисляется каждый раз из пароля). А открытый ключ хранится на сервере, позволяя расшифровать и проверить токен.

[merlin-vrn]

google SRP-6

[esc]

Ну наверное закрытый и открытый ключ местами надо поменять;)

Кстати, чем принципиально генерация закрытого ключа из пароля и сохранение его отличается от получения хеша и из пароля и соли? Что ключ что хеш это производная от пароля, по которой сам пароль восстановить нельзя, а проверить — можно.

[mwizard]

Зачем менять их местами? Глупость получится же.

[mwizard]

Пароль и его хэш отличаются от закрытого и открытого ключа тем, что при помощи закрытого ключа можно создать сообщение, которое можно проверить при помощи открытого ключа, тогда как сделать то же самое, используя пароль и его хэш, нельзя.

[Delphinum]

Есть одноразовые пароли. Это не те, что на бумажке таблицей вписаны, а которые пересчитываются через счетчик и рекурсивный хэш. Вполне спасает от таких проблем.

[VolCh]

Это просто смена пароля по сути. Передавать серверу пароль или его простой хэш — практически не изменяет защищенность аккаунта ни для одного вида атак от перехвата трафика до подглядывания ввода на клавиатуре.

[blind_oracle]

Нет ни одной причины в наше время юзать CRAM-MD5 и прочие безопасные алгоритмы, гораздо лучше просто заставить всех юзать SSL правильных версий с правильным cipherlist.

Да и тем более я не думаю, что много людей юзает почту яндекса через POP/IMAP чтобы подстраивать под них архитектуру авторизации.

[JDima]

а про CRAM-MD5 (если он поддерживается Яндексом, то и требует для него базы паролей в открытом виде) не знаете

Это тоже было бы оскорблением в их сторону.

То, что он и в любом случае используется в открытом виде, хотя бы и через SSL — никто не задумывается. К чему это приводит, как пример: heartbleed или иная дырка в сервере, и утекли ваши пароли.

1) Heardbleed, как и прочие баги, позволяющие длительно и незаметно сосать память сервера, случается редко. Очень редко. Сравните вероятность наличия у сервера подобного бага с наличием у него дыры, позволяющей делать SQL инъекции. Например, select * from passwords.
2) Heartbleed требует довольно длительного прослушивания, чтобы поймать много паролей. У того же яндекса сессия месяцами может висеть открытой.
3) Этой же аргументацией можно доказать, что и PKI — отстой, так как у сервера можно незаметно стянуть приватный ключ. Но обычно такого не происходит.
4) Чтобы инсайдеру стащить базу паролей, в одном случае ему достаточно иметь доступ к базе на любом уровне, а в другом — распространить на все сервера трояна и долго ждать.
Так что нет, хранение пароля в базе в открытом виде куда страшнее, чем кратковременное его пребывание в памяти и передача через канал в зашифрованном виде.

А еще наверняка у большинства юзеров один пароль на всё. Потому еще правильнее было бы полностью защититься от его раскрытия и передавать только хеш, а для валидации брать хеш от хеша. Тогда пароль будет иметься в памяти только на стороне клиента. А если клиент скомпрометирован, то тут уж пиши пропало в любом случае.

И давайте вспомним любимый BGP или хотя бы OSPF. Что там для аутентификации? PSK. Пароль в открытом виде.
А, ну и CHAP у провайдеров ещё. В Ростелекоме, например.

В этих случаях предполагается, что риск MITM (или вообще подключения третьей стороны) минимален. Потому и защита минимальна. Вы ведь, надеюсь, не выберете CHAP для защиты чего-либо смотрящего в интернет, еще и без защиты на уровне транспорта (SSL например)?

[merlin-vrn]

В этих случаях предполагается, что риск MITM (или вообще подключения третьей стороны) минимален. Потому и защита минимальна. Вы ведь, надеюсь, не выберете CHAP для защиты чего-либо смотрящего в интернет, еще и без защиты на уровне транспорта (SSL например)?

«Дважды ошибиться в одном и том же человеке? Да, раньше со мной такого не былвало. Старею...»

Окститесь. Для PPPoE я безусловно выберу CHAP, потому, что к ADSL или Ethernet-линии абонента можно незаметно для него подключиться и подслушать, и если бы это был PAP, подслушали бы пароль, а в случае с CHAP — фигу с маслом. Пусть лучше провайдер знает пароли, чем будет возможна таргентированная атака на пользователей. А SSL тут вообще прикручивать некуда.

4) Чтобы инсайдеру стащить базу паролей, в одном случае ему достаточно иметь доступ к базе на любом уровне, а в другом — распространить на все сервера трояна и долго ждать.

Да ладно там, почему сразу трояна. Может быть, код просто кривоват и можно ухитриться сбрасывать пароли в лог-файл. Кстати говоря, Apache вполне можно настроить так, что он будет сбрасывать в debug-лог всю информацию, достаточную для расшифровки SSL-канала, то есть, фактически — лог с паролями в открытом виде.

А еще наверняка у большинства юзеров один пароль на всё.

И самым безопасным вариантом будет не давать им возможности задать пароль самостоятельно. В лучшем случае, генерировать несколько и разрешать выбрать, или генерировать и допустить незначительную модификацию. Что вообще разорвёт связь между тем, как хранится такой пароль на сервере и безопасностью остальных сервисов юзера: данный скомпроментированный сервер и так уже скомпроментирован настолько, что база утекла, и хуже уже не будет, а остальные не пострадают.

[JDima]

Для PPPoE я безусловно выберу CHAP, потому, что к ADSL или Ethernet-линии абонента можно незаметно для него подключиться и подслушать

Это сложно сделать для одиночного пользователя и ОЧЕНЬ сложно для множественных пользователей. Потому и допустимо задействовать такой небезопасный механизм как CHAP. Если есть дополнительные меры защиты (например, логиниться можно только с указанного порта коммутатора), то и PAP допустим.

Может быть, код просто кривоват и можно ухитриться сбрасывать пароли в лог-файл.

И это подразумевает очень кривые руки у администраторов.

И самым безопасным вариантом будет не давать им возможности задать пароль самостоятельно

Не… Тогда эти пароли будут постоянно забываться (недовольство сервисом), а также записываться где попало. Вот если пароль в открытом виде бывает только на клиенте — это уже не проблема.

[merlin-vrn]

Ну, и остаётся SRP-6, который вроде бы всем адекватным требованиям удовлетворяет.

[merlin-vrn]

Это сложно сделать для одиночного пользователя

Что именно сложно?

[JDima]

Именно то, что надо физическое присутствие, установка тапа, установка чего-либо сниффающего и так далее. Я бы не назвал это «просто».

[merlin-vrn]

Итого, только что получил:

Здравствуйте!

Вы получили это письмо, потому что пользуетесь сервисом Яндекс.Почта для домена.


Дело в том, что завтра, 16 сентября Яндекс.Почта перейдёт на протокол SSL. При передаче данных по IMAP/POP3/SMTP сервис будет требовать шифрование по SSL. Пожалуйста, измените настройки почтовых программ, которые используют владельцы почтовых ящиков, зарегистрированных в Вашем домене. Иначе с помощью этих программ нельзя будет получать и отправлять письма.

Мы подготовили для Вас подробную инструкцию, как изменить настройки. Выберите соответствующую программу.

Из чего следует:

ЛИБО они имеют мой пароль в открытом виде, т.к. иначе не работал бы CRAM-MD5 (и опция «зашифрованный пароль» в thunderbird)
ЛИБО мой пароль мог пересылаться в открытом виде по сети, т.к. по-другому они не смогли бы его проверить.

Уж лучше первое.

Речь идёт не об основной яндекс-учётке, но тонкость в том, что я в основном и пользуюсь-то почтой той, что на ПДД. И я не настраивал эту почту в программах, использовал через веб-интерфейс, который через HTTPS, так что про себя я более или менее уверен. Но…

[JDima]

Скорее, второе. Наследие былых времен, когда прослушка трафика считалась чем-то крайне нереалистичным, а шифрование трафика и вообще его защита — излишеством.

Чтобы ужаснуться масштабам бедствия, погуглите «wall of sheep». Это — случаи, когда люди пересылают пароли серверу. При подключении по вайфаю. С открытой аутентификацией. На конференции по безопасности. Среди толпы кулхацкеров разного уровня грамотности (но в среднем такого, что лучше даже несмартфонный телефон оставить дома, на всякий случай).

[merlin-vrn]

Я к тому, что в целом хранить пароли в открытом виде на сервере, при условии того, что это необходимо для защищённой аутентификации по сети — не так уж и плохо. Даже в случае Яндекса, потому, что обязательный SSL он вводит только в третьем квартале 2014 года.

А вообще доводилось и мне отравить ARP, вклиниться MitM и перехватить такой вот пароль (никакого SSL не было, конечно). В академических целях, чтобы продемонстрировать знакомому, что это довольно просто, делается на ровном месте и никакого специального оборудования не нужно.

[JDima]

Ну тут надо выбирать. Либо повысить вероятность компрометации отдельных юзеров (а у части в любом случае украдут учетные данные, хоть теми же троянами или из-за использования одинакового пароля везде), либо повысить вероятность компрометации вообще всех юзеров.

Ну а чтобы ловить чужой трафик в незашифрованном вайфае, достаточно простого пассивного сниффинга. Никому ничего отравлять не надо.

У меня давно была идея поднять дома отдельный открытый SSID и пропускать его трафик через отдельную машинку с Cain'ом. Строго в исследовательских целях, не используя эту информацию кому-либо во вред разумеется, и наверное даже с предупреждением (captive portal) о том, что трафик может анализироваться :)

[merlin-vrn]

А, а в дверь ещё не постучали? Значит, постучат.

[Tranced]

isleaked.com/ проверяйтесь

[anton]

Конечно, Яндекс не хранит пароли в открытом доступе.
Вот подробный разбор, что и как: habrahabr.ru/company/yandex/blog/236007/

[SERIAL]

а где ссылки на пруфы?

[Haoose]

Вам сама база что ль нужна? Для спама или проверки на яндекс.деньги? Так-то есть возможность проверить присутствие мыла в базе и так. Одно из своих мыл (годичной давности) я там тоже обнаружил, к сожалению. Незнаю откуда в базу попало это мыло.

[SERIAL]

Нет. Эта «новость» выглядит не совсем убедительно без подтверждающих это источников.
«Нагенерить» можно сколько угодно.

[polym0rph]

Полную базу я из ветки на своем форуме вытер, так как небывалый поток скачиваний пошел после публикации на хабре, но оставил базу без паролей для возможности проверки. Поверьте, база с паролями существует.
Мне эта ситуация интересна тем, что еще утром шестого числа прошла новость(а на других ресурсах может и раньше), были выложены базы, и тут в ночь на восьмое число такой переполох, даже по ящику показали, что пользователь хабра обнаружил утечку миллионов аккаунтов, и всем вдруг срочно эта база понадобилась и пошли первые комментарии от самого яндекса.

[EvilFox]

Всё просто — ХабраХабр читают разные журналисты и сотрудники Яндекса. Ну и аудитория гораздо более широкая.

[and7ey]

Выкладывайте базу без полных email и полных паролей (например, первые пять символов). Тогда каждый сможет проверить, что база есть и сможет проверить наличие своего ящика в ней.

[absolvo]

ЯД вообще в безопасности, максимум сумму на счету узнать можно. Транзакцию без платежного пароля не провести, не сейте панику.

[JetP1L0t]

У многих он совпадает с паролем от ящика. Так что, лучше провериться на нахождение своих мыл по ссылкам выше.

[absolvo]

Я не уверен, и могу ошибаться, но мне кажется, что ЯД не позволит ввести пароль такой же, как и на саму учетную запись.

[JetP1L0t]

По крайней мере раньше давал, и у меня сейчас так ибо удобно. Shame on me.

[absolvo]

In this case, shame on Yandex, actually.

[Aiki]

И для кого яндекс старался с двухфакторной авторизацией?.. Вы же не станете к сейфу подбирать замок, чтобы подходил ключ от входной двери?
У меня уже давно платежные пароли СМС-ками приходят. А еще есть токены, как бумажные, так и электронные.

[darkrain]

У меня у моей жены так оказалось что пароль совпадал с платежным. Либо раньше не было такой защиты, ибо сейчас точно есть. Но с другой стороны наверное можно поставить пароль на паспорт такой же как платежный, т.е. все в обратную сторону.

[L11R]

«Раньше» это когда? 3 года назад не давал. Точно помню, пришлось этот платежный даже записать.

[mrjj]

Ок, для приличного процента нужно будет прибавить единичку

[BupycNet]

Нашел базу с паролями. Достаточно опасная штука. Нашел красивый ящик, зашел под его данными, оказывается если номер телефона не указан можно указать свой и этим активировать ящик. Т.е. можно сменить пароль на заблокированном ящике не вводя секретные вопросы, какие либо личные данные и т.д. Просто злоумышленник после блокировки ящика может поменять пароль если ящик не привязан к номеру телефона.
Ящик оказался мертвый, с 2008 года им не пользовались. (ого 6 лет прошло) Никаких данных там нет абсолютно. Ящик видимо создавался, но про него сразу забыли.
Но вот так вот при желании как я понимаю, можно найти старые ящики без введенных номеров и захватить много данных. Чет яндекс совсем сплоховал, даже система блокировки идеальная для взлома, кроме пароля и логина ничего для захвата не надо знать.

[BupycNet]

Копался дальше — наткнулся на незаблокированный аккаунт. Выяснил id вконтакте человека и отписал ему о смене пароля. Т.е. даже не факт, что блокировка будет. Хотя натыкался на ящики где есть блокировка + введен телефон, там зайти не получится.
К слову ящики там достаточно старые, не меньше 2-3 лет каждому.

[ArjLover]

Завязывай с этим делом. 272 УК РФ в чистом виде. С чистосердечным признанием.

[DnV]

Действительно, заблокировали утёкшие ящики и теперь светят их телефонами.

[serg_smirnoff]

При таком раскладе Яндекс должен принудительно заблокировать ящики с утекшими данными и выслать пользователям ссылки для сброса пароля. В противном случае будет много утечек Яндекс.Денег например с привязанных кошельков.

[shadowpanther]

Выслать ссылки трудно, если ящик — основной и единственный :)

[shadowpanther]

Ну дык если могут выслать в мозг — то зачем этот архаичный метод связи использовать? Тогда и новую мыслепочту могли бы уж напрямую слать… Ах да, ведь канал засылки напрямую в мозг надо защитить паролем и шифрованием, а то ведь спам начнут засылать.

[Vanor]

Смешно, но из-за это утечки нашел свой ящик, пароль от которого забыл в 2005 году, он оказался жив, все мои древние подписки там же.

[Nerten]

А моего нет :( А восстановить не получилось.

[lagudal]

Подтвердить или опровергнуть, как, когда и что это было, я не могу. Файл этот у меня есть, если сообщество потребует, передам кому то, чье слово будет достойно доверия. Просто свое мыло я там нашел, пароль был текущий. Так что «Нагенерить» не подходит. По странному стечению жизненных обстоятельств, никогда ничего важного на яндекс-почте не держал и критичной переписки не вел.
пс. я взял с другого ресурса, но как видно, распространение идет быстро.

[namespace]

Насколько я понимаю, то дело в том, что сообщество, к сожалению, не хочет верить вашему «Просто свое мыло я там нашел, пароль был текущий», в следствии чего требуют пруфов. Очень щепетильная ситуация, я вынужден отметить.

С одной стороны, вы не хотите подвергать никого опасности, а с другой — сообщество жаждет пруфов…

[L11R]

Если сообщество ждет пруфов, то такое сообщество должно уметь искать пруфы.
Я нашел базу с паролями бесплатно без смс за 15 минут поиска.

[eocron]

Хотите пруфов? Я подтверждаю, что такая база есть и одна из ссылок здесь выложенных ведет на форум где можно скачать этот архив, в котором файл на 38.1 мб. Один из обитателей сего форума выложил открытую ссылку.

[esc]

Пруф это не «я подтверждаю», а сама база, возможно с замененными на звездочки несколькими символами из логина и пароля. Хотя, какая разница, если база и так в открытом доступен уже?

[DSL88]

Моего мыла нет, но пароль сменил

[mpetrunin]

Можно ссылку на файл, а то неясно: менять ли пароль…

[merlin-vrn]

Раз неясно, менять. Что тут непонятного.

[vlivyur]

А где гарантия что выложили все утёкшие пароли?

[RPG]

Интересно узнать комментарии виновников торжества. Неужели в 2014 году пароли ещё где-то лежат в голом виде?

[Natan4ik]

Интересно узнать не только комментарии виновников, но и самого Яндекса.

[tkf]

ну паролям не обязательно лежать в открытом виде, есть подозрение что если получить доступ к яндексовому CDN который отдает js'ки например, то можно вполне утаскивать вводимые бедными пользователями данные. предварительно их разлогинив ^_^

[VBKesha]

nic.ru например даже при восстановлении присылает старый пароль.

[rumkin]

Больше похоже, что утечка произошла не по вине yandex, а по вине самих пользователей или сторонних ресурсов – пароли лежат в открытом виде, размер базы ничтожно мал по сравнению со всей аудиторией яндекса и т.п.

[DSL88]

Моего пароля нет. С Я.Почты настроена сборка почты, поэтому я там почти не бываю. Только в ЯД. Панически всегда проверяю адрес. Плачу от силы в 5 местах…
Видимо просто развели

[hom]

своей почты от яндекса не пользовался год, при этом он тоже слит, мне кажется это полюбому косяк яндекса

[FloppyFormator]

Там ровно миллион? Слишком круглое число для утечки полной базы. Может быть, опубликовали лишь часть базы, а Яндекс сейчас тихо шантажируют «будем светить по миллиону в день».

[xbreaker]

1261809 записей

[Haoose]

На самом деле чуть меньше. После удаления дублей остается 1186565

[reaferon]

Утекла база только классической почты @ya.ru или и почта ПДД тоже присутствует?

[jackz]

Моя ПДД в списке не числится (что, конечно же, не является 100% прувом, но хоть позволяет сегодня уснуть спокойно)

[bankfilter]

Очень актуальный вопрос, кстати, учитывая корпоративные данные различных компаний и пароли там тоже имеют иную ценность.

[L11R]

Судя по файлу которым я располагаю — нет, почты ПДД там нет. Только yandex.ru

[Yavanosta]

Есть мнение, что те, кто сперли пароли, выкачали их больше чем миллион, просто выложили не все.

[Haoose]

Держите: games-gen.com/mails/check2.html

[Jeditobe]

Собираем спамлист?)

[Yavanosta]

Что-то попробовал почту из файлика выше (тот что без паролей), ваша софтина пишет, что почты нету. Файл с паролями не скачивал)

[Haoose]

Какую именно почту? Вроде все загрузил в базу.
А вы дописали <собака>yandex.ru?

[praan]

Просто там нужно указывать почту полностью, с собакой и yandex.ru. Я тоже сейчас проверял.

[Samber]

аллиасы не учитываются (example@yandex.ru и example@ya.ru — одно и то же)

[Haoose]

В утекшей базе только example@yandex.ru
Теперь там можно не дописывать <собака>yandex.ru, а просто ввести ник.

[maeln0r]

Кстати, не заметил ни одного мейла вида номертелефонаyandex.ru, хотя они вроде бы только в этом году появились?

[Haoose]

Таких в базе около 150 штук

[ZyXI]

Ещё одно: dash-dot@ya.ru и dash.dot@ya.ru — это один и тот же ящик.

[AraneusAdoro]

ПОЧТЫ В БАЗЕ НЕТУ! Расслабьтесь. Спасибо.

Внутренний параноик опоздал и противно шепчет: «Теперь есть».

[mapron]

Ну пароль-то Вы не вводили =)

[Haoose]

Изменил на Utf-8

[razon]

почему нет возможности искать по паролю? ;)

[razon]

хм, до сих пор нужно ставить тег *сарказм*?

[Tranced]

isleaked.com/password.html

[anatolix]

Я не совсем тот к кому вы обращаетесь, но если всписок продолжить, наверное в нем окажусь, поэтому отвечу.
Я не из паспорта, т.е. мое мнение не является официальным. Но вообщем я достоверно знаю, что пароли у Яндекса в закрытом виде. И в открытом, на сколько мне известно, никогда не были (по крайней мере 10 лет назад когда я пришел в компанию, точно были закрытыми).
Что на самом деле произошло вам наверное ответят официально, когда разберутся.
Комментарий kabachok ниже про то, что в списке встречаются логины по несколько раз в разном регистре, что скорее говорит о сборке паролей со ввода пользователя считаю разумным объяснением.
habrahabr.ru/post/235949/#comment_7940865

[Ten]

Предположу, что в этом сливе аккаунты тех, кого в какой-то промежуток времени «поимел» кейлоггер.

[alcr]

А как тогда объяснить такое habrahabr.ru/post/235949/#comment_7941233
или хотите сказать кейлоггер запускали более шести лет назад, а сейчас только база всплыла?

[merlin-vrn]

А почему вы это исключаете? Например, тырили 10 лет подряд, но вспыло только сейчас, потому, что кто-то облажался и потерял осторожность, или просто какой-то чудик слил базу.

[PingWin]

Вообще, база однозначно получена разными способами.
Нашёл один точно свой акк (совершенно случайно, просматривая список коротких адресов в поисках «красивых»), как его слили — загадка. Проблема в том, что акк во-первых регался ну очень давно (оценочно — 2005-2006-ой), во-вторых регался с целью получить спам-почту для регистрации на другом сайте (временных емейлов тогда то ли не было, то ли я о них не знал), в-третьих кроме этого сайта врядли где-то мною использовался (т.е. на 90% уверен, что я его зарегал — ввёл и всё).
Нашёл в списке ещё один акк, предположительно временно мой, но насчёт него однозначно не уверен.

Примечательно, что основного яндекс-акка (который вполне себе регулярно используется) — в списке нет.

[Antibug]

А пароль на том сайте случаем не совпадает с паролем к почте? Может быть через него и утёк?

[LionAlex]

А вот тут опровергают:
habrahabr.ru/post/235949/#comment_7941801

[sandman]

так а пруфы-то будут?

[RPG]

Пароли реальные, аккаунты тоже. Какие тут ещё пруфы? Ссылку на базу автор по понятным причинам не опубликовал.

[Jeditobe]

Интересно, как это спасет кого-то? если база уже ходит?

[RPG]

Ну какая-никакая защита от скрипткиддисов на волнах эпидемии.

[isden]

Ждем пруфов.
Но на всякий пожарный сменил пароль.

[Torna]

Интересный факт. Почта зарегистрированная год назад присутствует, а почты созданной в 2000 году нету.

[Haoose]

Тоже самое.

[monah_tuk]

Те кто зарегистрировал почту в 2000 году много реже подвержены всякому фишингу и более подозрительны. Если проще: лучше разбираются в IT.

[rafuck]

Мне кажется Torna имел в виду два своих почтовых ящика :)

[monah_tuk]

Пардоньте :) Но наблюдение, IMHO, по большей части верное.

[maeln0r]

Подтверждаю, почта зареганная весной этого года присутствует (и да, пароль подходит)

[maeln0r]

P.S. Вангую массовую выгрузку личных фото и т.д. где-нибудь на бордах.

[ID120]

Глюкозы, Анны Семенович и Максима Галкина?

[maeln0r]

Вы представляете себе что будет на личных фотом Максима Галкина?

[deMone]

Куда заплатить, чтобы не выкладывали?

[polym0rph]

1BQ9qza7fn9snSCyJQB3ZcN46biBtkt4ee
Любая сумма, и я обещаю не выкладывать, если вдруг они окажутся у меня.

[x88]

Себя не нашел, но пароли лишний раз сменю

[tkf]

сам также подумал и сделал, а затем задумался, если утекли связки ящик — пароль для относительно недавно зарегистрированных, не будет ли смена пароля возможностью для злоумышленников его получить. Если его менять сейчас. Ведь они могли выложить этот список, чтобы заставить других сменить пароли, и получить их тоже :D

[maeln0r]

я на такой случай двухфакторную нацепил бы. Не в курсе у яндекса есть это или нет.

[isden]

Нет у них MFA. Шел 2014 год…

[tkf]

вроде у них ее нет. Хотя есть привязка телефона для восстановления.
Кстати со стороны всех сервисов с привязкой телефона, было бы очень правильно присылать смску по факту смены пароля, с уникальным ключом для отмены сего дела.

[Alexeyslav]

Лучше ключ для подтверждения смены пароля, с почтой даже за 5 минут можно много чего сделать!
Но двухфакторная авторизация в современном виде мне не нравится одним аспектом… потерял телефон — трудности с доступом(хоть и временные, но довольно длительные), нет сети — трудности с доступом, проблемы у мобильного оператора — трудности с доступом. Слишком от многих факторов станет зависеть доступ к ресурсу.

[merlin-vrn]

Ну так печатайте одноразовые пароли. Ну и носите бумажку с собой.

[KorDen32]

У яндекса при отвязке телефона нужно подтвердить это через SMS, приходящее на него же, либо номер отвяжется через месяц. Т.е. после смены пароля нельзя быстро отвязать телефон, если нет к нему доступа + придет SMS. Но по факту смены пароля смски не идут, да…

[x88]

Черт, логично, теперь спокойно не засну, несмотря на использование аккаунда для регистрации на третьесортных ресурсах

[Yavanosta]

В любой непонятной ситуации — ложись спать.

[x88]

:3 пожалуй так и сделаю. И каждый день, в течение недели буду менять пароль.

[flamefork]

звучит как шантаж :)

[VBKesha]

Менял пароль 3 недели назад, в базе не числюсь.

[OlegusMDH]

Видимо причина того, что угнаны только пароли свежих ящиков в том, что с недавних пор Яндекс плотно сотрудничает с органами и видимо для них и был сделан сбор паролей в отдельное место.

[kabachok]

Скорее всего база запаролена, пароли утекли как то иначе, скорее всего пользователи из сами вводили.
в базе замечено две почты
aleksandr-kOblyakov
aleksandr-koblyakov
различается лишь регистр одной буквы
Смею предположить что пользователь сам писал логин и пароль, где-то.

[RPG]

Кстати таких примеров там очень много. Может быть какая-то масштабная фишинг-атака была.

[dslava]

Была фишинг атака. Долгое время приходили письма от «службы поддержки» — а-ля «ваш яндекс-кошелек требует идентификации, зайдите туда-то»… очень правдоподобные письма, не попадающие в спам.

[KEKSOV]

Я еще нашел такую же парочку — ylalakeks ylAlakeks

ИМХО, это вброс от самого Яндекса, чтобы народ массово пошел менять пароли :)

PS. Своей адрес в базе не нашел, но пароль сменил… блин, уже забыл на какой… :)))))

[Samber]

Яндекс отреагировал.

Скриншот

[maeln0r]

А если телефон не привязан? Кто-то в курсе?

[Samber]

не все аккаунты из базы заблокировали.

[maeln0r]

О, а теперь элементы теории заговоров на сон грядущий, так сказать.
1) Если заблокировали не все (возможно просто еще не успели), то по каким критериям ведется отсеивание?
2) Если заблокировали все из этого списка, но не залочили некоторые новые аккаунты не из списка (проверил) — это можно расценивать как то, что список мейлов знаком Яндексу и делать соответствующие выводы (в меру персональных шизы, фобий, здравомыслия и т.д.)

[Samber]

Яндекс блокирует файлы с паролями, залитые на Я.диск

Заголовок

[RPG]

По иронии судьбы пароли от Яндекс.Почты выложили на Яндекс.Диске:)

[Samber]

Они уже повсюду…

[KorDen32]

Интересно, как они их определяют, по хэшу, или по содержимому?
Яндекс начал сканировать загруженные пользователями файлы как гугл?

[Chamie]

Думаю, на Диске просто есть инструменты по дедупликации, так что скорее просто по хэшу, совпадающему с заблокированным файлом.

[eocron]

Это не яндекс отреагировал. Это их бот который следит за действиями пользователя (места, время, поведение и тд и тп) залочил подозрительную активность.

[ookami_kb]

Тоже утром появилась эта надпись при входе в аккаунт. Судя по журналу, 6 сентября кто-то через казахстанского провайдера залогинился в мой аккаунт по IMAP.

[bashis]

Начали блокировать. Собственно, свою там и нашел, но, благо, почта ненужная, и пароль легко забрутфорсить.

Скрытый текст

[Haoose]

Пароли в утекшей базе добыты не методом брутфорса.

[alcr]

А почему не брутфорсом?
Не фишингом точно. Я в свой аккаунт не захожу уже минимум год, только почтовик туда по имап ходит. Однако пароль таки в файле есть.

[Vanor]

По моему тут результат нескольких атак и брутфорс, и фишинг, и кейлогер слишком много разных условий использования даже в рамках этого топика + похоже очень разные периоды их(атак) проведения.

[br3t]

del, быстро коменты пИшете :(

[mafet]

Интересен метод утечки. Может через какое-нибудь яндекс.пиво (бар) и прочее, что требует ввода пароля.

Кстати что мешает любому трояну вообще пароли от чего угодно утягивать путём прописывания авторизационных хостов в hosts и проксирования на реальные сервера?

[m00t]

Просто в hosts низя, если https.

[BeLove]

Да, там https, при чем с HSTS прямо в preload list.
Так что если троян — то хукал системные вызовы на валидацию или глобальный сертификат на систему ставил.

[ProstoTyoma]

Рядовые пользователи склонны не читать кукаю-то муть про сертификаты и нажимать «Далее» и «Разрешить».

[BeLove]

Вы устанавливали корневой сертификат в систему? Там не просто пару кликов) довольно мутное и явно незнакомое окно для пользователя, слабо верится в 1млн+ случаев.

[mafet]

я не хацкер, но мне кажется ничего нереально нет, в том, чтоб корневой сертификат поставить в автоматическом режиме. другое дело, что в ff, например, они свои, но это просто можно учесть.

ну и да, пользователи не часто обращают внимание на муть про сертификаты. я сам, заходя на малопопулярные ресурсы, редко заморачиваюсь на тему валидности. особенно, если мне туда пароли не вводить. другое дело, если я помню, что сайт был с норм сертификатом и вдруг стал выдавать пижню, про невалидность — подозрительно.

но это всё настолько должно быть на уровне рефлексов, даже у продвинутых пользователей, что обычные пользователи остаются без шансов в этом плане. у меня лично винда прожила 8 лет (с миграцией по железу и с апгрейдом ОС) без антивируса. Тут главное правило — вовремя обновляться. А уж не кликать по непонятной фигне — не самое сложное.

[ArjLover]

на фишинговом сайте можно и не использовать https — 1 миллион юзеров легко этого не заметят

[timothyz]

Нафига такие сложности?! У яндекса навалом сервисов, которые работают тупо по http, но имеют кнопку 'Войти', по нажатию на которую вылазит красивая формочка ввода пароля без адресбара (чтобы проверить, куда ты пароль вдалбливаешь), вместо явного перехода на passport.yandex.ru. Вот через все это дело можно легко организовать MITM-атаку. Дополнительно способствует отсутствие DNSSEC.

[merlin-vrn]

И спасает только возможность настроить браузер так, чтобы он не давал скрыть строку адреса, даже если этого очень хочет сайт.

[valplo]

Только ктож его проверяет?

[Kaliha]

Ничто :)

[dslava]

Выше написал. Была масштабная фишиниг-атака…

[mafet]

ну это только предположение. если это правда, то мне грустно от глупости 1 млн людей в части безопасности. Кевин Митник уже давно это приметил, но тогда компы только появлялись. тогда можно было, мне кажется, спокойно спросить пароль, сказав, что он был утерян в базе…

я не говорю, что все эти люди глупы, поскольку их нельзя винить в том, что они не знают элементарных правил безопасности в сети. эти люди могут быть гениальны в каких-то других вещах или по крайней мере успешны, причём так, что эти умения приносят им деньги, а моё понимание правил безопасности, мне ничего не приносит, кроме самой безопасности. вопрос философский, что лучше.

и вообще интересно, существуют ли курсы повышения понимания сетевой безопасности? вообще хорошо было бы такие вещи в школе преподавать, на ряду с ОБЖ.

[ArtKun]

Существуют. Есть у меня один друг, сидел годами на протрояненной насквозь XP под очень древним браузером, говорил «да пофиг, никому я не нужен, пускай взламывают, у меня ни в почте, ни ВК ничего интересного нет». В итоге один раз деньги с карточки увели — с тех пор все выучил и про фишинг, и про то, что обновления ОС/браузера — это не просто окошко, которое надо закрывать — да еще и другим знакомым рассказывает. Они его, кстати, тоже не слушают.

[ArtKun]

Думаю, некоторые люди просто еще не до конца осознают, что именно они хранят в интернете и как это им может навредить. Они не читают эпические истории о взломе на Хабре, они не знают, что одного пароля от почты достаточно, чтобы увести все деньги, переписки, фотографии и видео, или даже историю перемещения по этой планете, а так же заблокировать твою мобилу и десктоп… и так далее.
И если в школах и заведут такие курсы в школе — их будут слушать так же, как сейчас слушают литературу/историю и т.д. — то есть те, кому это надо. А кому это надо — тот, как известно, и безо всяких курсов разберется.

[mafet]

ну курсы — это хотя бы что-то. если даже на 5% снизятся глупые уводы паролей, то это уже хорошо.

чот у меня нет истории перемещения по этой планете((

ещё кстати, меня удивляет отсталость безопасности многих крупных фирм. был как-то у девчонки в офисе, легко поднял ssh-тоннель с порт-мапом порта прокси. и так очень много где. блокировка сайтов в большинстве фирм вызывает у меня смех или хотя бы улыбку.
пока не было конторы, где у меня не было бы полного доступа в интернет и для этого даже обычно не нужны админские права, хотя если нужен полноценный l3 доступ, то без админских прав никак, но это тоже не проблема. Есть много волшебных дисков, позволяющих поиметь локальные админские права.

[ArtKun]

чот у меня нет истории перемещения по этой планете((

Если нет смартфона с Android — то и истории не должно быть :)
Эта фишка там, насколько я помню, по умолчанию включается при настройке Google Now.

[EvilFox]

При первом включении телефона (сброса прошивки) там спрашивается разрешение на сбор GEO-фигни + потом в настройках где-то можно отключить. У меня телефон с Android есть, но истории нет.

[igen]

Если нет смартфона с Android — то и истории не должно быть :)

Ой ли? Настройки > Конфеденциальность > Службы геолокации > Системные службы > Часто посещаемые места > Enjoy!

[ArtKun]

Простите, а где мне это найти в моем iPhone? :)
Извиняюсь, не распарсил. Действительно есть. Только как мне посмотреть, собственно, эти данные на карте?

[igen]

Я и написал, где оно лежит в iOS :) Ну разве что, может, не «Конфеденциальность», а «Приватность» в семерке?

Скрытый текст

[ArtKun]

Благодарю! Не знал, что оно пишет историю — да и все равно почему-то у меня отключено :)
С другой стороны — насколько я понял, там только часто посещаемые — у гугла же буквально история перемещений. Были истории, как благодаря этой фиче владелец вычислял по IP находил украденный телефон вместе с вором.

[igen]

Таки да, были )))

[igen]

Так там прямо нажимаете на пакет данных ("… записано мест: NN") и оно нарисует красивую карту со спотами вашего нахождения =)

[Haoose]

Я не думаю то это была фишинг-атака. Так как почту (которая в базе) зарегистрировал всего год назад и не пользовался ей.

[dslava]

Ну, сам Яндекс пока что говорит о фишинге.

[ivlis]

Аналогично. Аккаунты используются тогда для получения почты через pop в gmail, ни одного нет. Хотя, конечно, не показатель.

[DSL88]

Также. Более того — пользуюсь ЯД. Всегда проверяю адрес параноидально.

[absolvo]

Совершенно не верю в то, что пароли хранились в plain text, ровно как и в крота на стороне Яндекса. Больше всего похоже на улов большого фишинговой или троян-атаки. Но заголовок заставил взволноваться :)

[BeLove]

Хорошо… тогда почему существует максимальная длина пароля? :)

[absolvo]

Я не знаю, насколько это правда, но вот отсылка на Бобука 2010 года: m.habrahabr.ru/post/82753/comments/#comment_2458904

[BeLove]

Вы действительно в это верите?

[absolvo]

Не особо. Но я верю, что пароли не храняться plain текстом.

[BeLove]

Допустим не в открытом виде, но есть сомнения, что там в таком случае — хэширование (при чем устойчивое), а не шифрование.
P.S.

[absolvo]

Нет доверия телефону ночью :(
По способу хранения паролей – ничего сказать не могу. Почему у вас такие сомнения появились? Вы что-то знаете, или ночная паранойя? :)

[Jeditobe]

Еще не так давно пароли хранились почти в открытом виде.

habrahabr.ru/post/82880/

[darkrain]

Это же подставленные пароли самим браузером. Их украсть сложнее, разве что через атаку на CDN, но это надо хорошо постараться.

[Jeditobe]

Пароли приходили с сервера Яндекса, а не подставлялись браузером!

[EuroElessar]

Прочитал ваш топик, из представленных скриншотов html верстки ясно видно следующее:

• У поля с паролем пустой аттрибут value, т.е. с серверов Яндекса данные не приходили
• У этого же поля отсутствует аттрибут autocomplete, по дефолту его значение может быть равно on, в таком случае браузер может запомнить пароли и подставлять их автоматически
• Сейчас у аналогичных полей в верстке прописано значение для аттрибута autocomplete, поэтому проблема не воспроизводится

Я сам не разбираюсь почти никак в html, поэтому поправьте, если я не прав.

[WapGraf]

С помощью плагинов в браузере можно запомнить все.

[Jeditobe]

Было три топика. Почитайте все. Пароли не хранились в браузере еще раз повторяю. Они приходили в открытом виде с сервера яндекса.

habrahabr.ru/post/82317/ — начало здесь
habrahabr.ru/post/82504/ — второй топик.

[areht]

пруф?

[noma4i]

habrahabr.ru/post/82880/#comment_2464458 Если пароли подставлялись браузером, то Яндекс удаленно пофиксил все браузеры мира.

[areht]

А, так это совсем другие пароли…

[kyprizel]

Технических ограничений на длину пароля давно нет, есть только исторические, и мы с ними активно боремся.
Конечно же, пароли хранятся только в виде соленых хешей (и более того).

[BeLove]

Спасибо, еще давно интересовался в тви — никто не ответил.

[kyprizel]

надо было спросить у меня на последнем Defcon Russia, если вкратце — скоро этого ограничения не будет.

[kyprizel]

мне подсказывают, что этого ограничения уже нет, если вы еще где-то его наблюдаете — дайте знать.

[BeLove]

Я не хожу постоянно с мыслями о том, есть ли ограничения на пароль или нет. Встретилось — вспомнил.
Сейчас проверил, ограничения действительно нет, спасибо.

[Sourg]

У меня есть 2 аккаунта, которым уже лет по 7-10. Один использовался, как основной, а второй — только на сервисах, где не хватало основной почты (не более, чем на 5 сервисах за всё время), а уже много лет ни тем, ни другим не пользуюсь. Первого в базе нет, а второй — есть. Поэтому не верю я, что это фишинг атака.

[sandman]

если много лоченых (с просьбой сменить пароль), то скорей всего это ботоводские базы украденных дохлых аккаунтов, которые ужа давно спалились, как взломанные. И ботоводы эти списки выбрасывают, чтоб с капчей не заморачиваться.

[Samber]

Заблокированных аккаунтов (навскидку) 35%
Это не много.

[sandman]

как инструментом обеспечивалась «навскидка», если не секрет? :)

[Samber]

логин Ctrl+V
пароль Ctrl+V
Enter

[catap]

1 милион раз?!

[catap]

погрешности не было, так что должны были проверить либо все логины-пароли, либо выбрать какое-то подмножество случайным образом (тут не описано почему человек считает что его выборка достаточно случайна и случайна ли) и проверить на нем.

В текущей постановке фразы скорее всего проверили, если проверили, 10 логинов-паролей с верху, пару-тройку помотав куда-то и сделали вывод.

[Haoose]

Топ-100 паролей из этой базы
pastebin.com/2YTZMaF0 / privatepaste.com/3415d71c12
Всего в базе неуникальных паролей (встречаются 10 раз и более) — 7089 штук
50 раз и более — 532 пароля

[absolvo]

qwerty несколько раз в списке встречается.

[Haoose]

Спасибо. Проблему с регистром пофиксил.

Обновленные данные:

Топ-200 паролей из этой базы
pastebin.com/jjXpBTz0 / privatepaste.com/a5c023e162
Всего в базе неуникальных паролей (встречаются 10 раз и более) — 6533 пароля
50 раз и более — 560 паролей

[kirushik]

Либо у Вас база совсем не та, либо кому-то из нас двоих скрипт-фу надо прокачивать. Второе вероятнее.
У меня 50+ — ровно 600, 2+ — 129127.

Файл я готовил при помощи cat |awk -F ':' '{print $2}'|sort|uniq -c|sort -nr> passwords
И дальше можно делать nl и wc -l этому файлу, фильтруя его.

[RPG]

Хм, у меня совершенно другие результаты. Но судя по тому что там querty встречается десяток раз — у вас sort заглючил.

pastebin.com/HNb8U4Pp

[kirushik]

Вот с этим у меня совпадает, вроде.

[Starche]

судя по тому что там querty встречается десяток раз

О. Подскажите, как вам удалось опечататься в слове qwerty? Всегда хотел знать, как такое можно провернуть:)

[RPG]

Печатал не глядя. Иногда при наборе вслепую получаются совершенно другие слова, например, печатал qwerty, а мозг в этот момент подумал «Что за qwerty? Давай напишем хоть что-то близкое к нормальному слову query». К тому же я не отношусь к той категории интернет-пользователей, которые могут без ошибок воспроизвести слово «qwerty» — зачем такие глупости, когда 123123 набрать проще и быстрее?

[ZyXI]

Если вы печатаете слепым методом, то, особенно на первых порах, часто случается, что одним пальцем вы набрали следующий символ, раньше чем успели набрать другим пальцем предыдущий. Актуально для печати любым количеством пальцев, кроме одного. Ну и кроме того us — далеко не единственная раскладка в мире. У меня dvorak и там qwerty выглядит как x,doky (могу немного ошибаться, т.к. печатаю по памяти со смартфона). Но u не находится рядом с w и здесь. Так можно опечататься, наверное, при наборе со слуха человеком, не понимающим, почему qwerty пишется так, как оно пишется, либо при использовании других раскладок (я не помню, что там в какой-нибудь azerty).

[merlin-vrn]

В другую раскладку можно было бы поверить если бы было azerty или qwertz. Но qu больше похоже действительно на подсознательную коррекцию.

[SarganSaor]

А почему 237 раз встречается пароль «werilopert»? Чего то я паттерн запоминания не понимаю.

[areht]

Один бот регился

[Haoose]

Если посмотреть на e-mails, то вы правы. (dmi<набор цифр>[собака]yandex.ru)

[mwizard]

Скорее всего, ботоящик использовался для единственного сайта. Можно зайти на сам ящик и узнать, с каких сайтов приходили подтверждения регистрации — значит, с этих сайтов и слив был.

[alecv]

Просто навыки слепой печати. Пальцы удобно лежат.

[sattellite]

Вопрос может оказаться оффтопом, но все же.
Зашел в журнал посещений, вижу себя и часто в промежутках между моими посещениями такое:
Заход по IMAP IP не определен
Такое разве возможно?

[Telman]

У меня две почты на Яндексе. Одна для денег, другая по работе.
Обе не указаны в списке, который предоставил в ветку Sabin.
Правда файл весит тут 15 Мб, а не 38, как выше заявлено. (

[Haoose]

38 Мб — это с паролями

[Suvitruf]

То есть, вы подтверждаете, что утечка была?

[evil_random]

Да, они в курсе что от них была утечка данных которые у них не хранятся.

[Suvitruf]

Это было первое сообщение от офф. лиц. Не понимаю, что я сделал не так, ну да ладно.

[skor]

Тут вина не яндекса, а самих пользователей, которые вводят свои пароли где попало (фишинг), либо заражены вирусами, либо ещё что-то.

[veam]

Там есть ящики, которыми с 2005 года не пользовались.
Есть ящики, которые вообще нигде не светили.

[PingWin]

Плюсую, у самого такой попал.

[Suvitruf]

Как сказали, данные собраны не брутфорсом. А чтобы набрать фишингом данные по миллиону юзеров, надо довольно крупный сервис для этого иметь, разве не так?

[Alexeyslav]

Или десяток лет неторопливой работы.

[mn_2014]

Коллеги, пароли на 90.2% цифровые!
Из цифровых только 10.5% имеют больше 8 символов.
Т.е. банальный брутфорс и ничего более.

[DimonCJ]

Гляньте кому не лень, в истории входов в этих аккаунтах, может есть что то общее? Может все мыла одного региона или еще чего нибудь

[mishael]

Интересно, утечка связана с тем, что Яндекс стал лить инфу в ФСБ? :)

[absolvo]

Как страшно жить в вашей вселенной.

[crea7or]

WAT?

[Taleisin]

хэш для слабаков

[polym0rph]

Не рассказывайте никому. А то наши законотворцы еще увидят и обяжут в обязательном порядке так поступать. В некоторых последних законах они явно черпали вдохновение из неудачных комментариев в форумах или соцсетях.

[Qbit]

> не возможно не зная пароля на сервере поддерживать все защищённые методы аутентификации

Все и не надо.

>Пароли просто обязаны хранится в открытом виде… Там на вход нужно подавать пароль в открытом виде.

Необходимость подавать пароль в открытом виде не означает необходимости хранить пароль в открытом виде в базе. Сервер получает пароль через TLS, считает от него HMAC с солью, забывает пароль, сравнивает HMAC с хранящимся в базе.

[areht]

не надо поддерживать методы аутентификации, которые требуют на вход пароль

[areht]

Не надо поддерживать методы аутентификации, которые требуют на вход пароль на сервере.

Ну и деревом прикидываться тоже не надо.

[areht]

Ну и имейте TLS. Просто, стандартно, секьюрно.

Зачем вы мне рассказываете как сложно вам поддерживать несекьюрные протоколы?

[areht]

Но в примеры вы почему-то приводите протоколы, которые давно на TLS? Дайте угадаю, это специальные протоколы класса «неуловимых Джо».

Если софт не умеет ни TLS, ни просто авторизации по хешу — выкиньте. Ну то есть можно было бы поступить как гугл с «application-specific password», но вы ж не гугл, поэтому просто выкиньте и не подставляйте ни себя, ни пользователей.

[areht]

FTP в IIS авторизовывал через AD в начале века, остальное проблема софта.
Стриминг у нормальных людей работает так: вы авторизовываетесь, вам дают секретную ссылку (Ну или сертификат) и стримьте пока она не протухнет.

telnet — это тот случай, когда стюардессу надо закопать. Яндекс его вроде не раздаёт, да и вообще я не знаю кто раздаёт, кроме некоторых хостеров.

[mafet]

толсто, учитесь делать это тоньше!

[kirushik]

help.yandex.ru/mail/mail-clients.xml
Не-SSL вариантов вроде даже и не предусмотрено.
Какие там auth-механизмы, впрочем, не указано.

Блин, печально что Вас заминусовали. Мысли-то интересные, только подача подкачала, увы.

[rafuck]

Все, что вы перечислили, автор написал. И даже отметил, что текущие поддерживаемые яндексом методы аутентификации в почте реализуемы без хранения исходного пароля на сервере. Вы как читали-то?

[rafuck]

Это я заметил.

[anatolix]

Я выше написал, что так получилось, что у Яндекса по всей видимости никогда не было открытых паролей, поэтому если мысль использовать подобные методы аутентификации для других сервисов и приходила в голову кому-то из разработчиков, то скорей всего не надолго, в связи с невозможностью реализации.

[rafuck]

Да просто первый же Ваш ответ повторял выводы сделанные в комментарии, на который вы отвечали :)
Мне немного обдно стало за Ivan_83. Начал он не очень, это да. Но потом исправился вроде бы. Ан нет.

[rafuck]

Перечитайте, пожалуйста, вот этот комментарий, на который вы отвечали: habrahabr.ru/post/235949/#comment_7941221
Там перечислены методы аутентификации в почтовых протоколах вообще и поддерживаемые яндексом в частности. А также отмечается, что поддерживаемые методы реализуются без знания оригинального пароля на стороне яндекса.

[alecv]

Смешные какие CA у Яндекса:

$ openssl s_client -host mail.yandex.ru -port 443
…
1 s:/C=FR/O=KEYNECTIS/CN=CLASS 2 KEYNECTIS CA
i:/C=FR/O=Certplus/CN=Class 2 Primary CA

$ openssl s_client -host smtp.yandex.ru -port 25 -starttls smtp
1 s:/C=PL/O=Unizeto Technologies S.A./OU=Certum Certification Authority/CN=Certum Level IV CA

Французы да поляки. Никаких «потенциальных противников»…
Кстати, Unizeto забавная лавка.

[borisko]

ECDSA чтобы не работать на win xp? :)

[borisko]

>Нельзя вечно ориентироваться на устаревшее.
Нельзя просто так взять и отказывать в сервисе определенному проценту пользователей в погоне за инновациями.
Пока никаких проблем безопасности при использовании rsa2048 нет.

[Disen]

Иван, а как же тег <sarcasm> </sarcasm>? Не расстраивайте нас так. Или…?

[KEKSOV]

Беги!!!

[RichMan]

А где ссылка на базу? Стоит ли менять свой пароль?

[absolvo]

Выше давали ссылку на «проверить свою почту» games-gen.com/mails/check2.html

[RichMan]

Спасибо. Но перешёл по ссылке там нечего нет.

[Haoose]

В данный момент сайт лежит под хабраэффектом. Пользуйтесь другими сайтами из этого поста: habrahabr.ru/post/236077/

[KoVexPulThul]

Список всех слитых email'ов (без паролей):
db.tt/DYQKYttf
Проверить слит ли пароль от электронной почты можно также с помощью сервиса:
yaslit.ru/ (уже чувствуется хабраэффект)

[Haoose]

Ваш сайт? Базу слили не 7 сентября, а как минимум 5го днем.

[stan_jeremy]

базу слили минимум неделю назад.

[MrAnonymous]

Скрытый текст

123456 39212
123456789 13931
111111 9829
qwerty 7937
1234567890 5930
1234567 4684
7777777 4609
123321 4326
000000 3314
123123 3035
666666 2813
12345678 2576
555555 2417
654321 2303
gfhjkm 1816
777777 1501
112233 1483
12345 1478
121212 1433
987654321 1389
159753 1173
qwertyuiop 1122
qazwsx 1110
222222 967
1q2w3e 943
0987654321 877
1q2w3e4r 873
1111111 832
123qwe 805
zxcvbnm 774
88888888 762
123654 726
333333 707
131313 697
999999 691
677
4815162342 661
12344321 639
1qaz2wsx 633
11111111 615
asdfgh 611
qweasdzxc 584
123123123 578
159357 575
zxcvbn 571
ghbdtn 548
qazwsxedc 545
1111111111 526
1234554321 524
1q2w3e4r5t 502
1029384756 469
qwe123 457
789456123 449
147258369 445
1234qwer 439
135790 429
098765 427
999999999 425
888888 408
12341234 408
12345qwert 401
qweasd 395
987654 395
111222 391
147852369 382
789456 377
asdfghjkl 376
samsung 375
159951 365
vfhbyf 358
101010 358
nikita 356
444444 353
qwerty123 350
qweqwe 335
q1w2e3 331
marina 331
fyfcnfcbz 329
qwaszx 326
00000000 325
qazxsw 322
010203 321
9379992 318
123789 318
zzzzzz 308
qqqqqq 308
11223344 307
dbrnjhbz 306
qwertyu 304
147258 299
12345678910 299
yfnfif 296
55555 296
232323 296
aaaaaa 291
fylhtq 289
147852 289
fktrcfylh 285
1qazxsw2 281
q1w2e3r4 278
7654321 278
12 277
natasha 275
1 275
cjkysirj 274
cdtnkfyf 271
5555555 270
qwerty1 268
5555555555 268
vfrcbv 259
123454321 257
stalker 253
134679 243
0000000000 242
werilopert 239
666999 238
124578 238
252525 236
1122334455 236
polina 233
1478963 228
212121 223
qwer1234 221
yandex 219
trfnthbyf 219
192837465 216
1234 216
ru 215
nfnmzyf 214
hjvfirf 213
cthutq 210
sergey 209
11 209
2 208
111222333 206
fktrctq 204
741852963 204
852456 203
12qwaszx 203
102030 203
123654789 202
qwertyui 201
090909 200
1q2w3e4r5t6y 198
10 198
142536 197
010101 197
maksim 194
iloveyou 193
vfvjxrf 192
rhbcnbyf 189
123 188
nastya 186
password 185
15426378 184
0000000 181
87654321 178
1234512345 178
natali 176
asdasd 176
753951 175
serega 173
lvbnhbq 173
09 173
spartak 172
andrey 172
906090 168
121314 168
master 167
kirill 167
321321 167
02 165
ybrbnf 164
7895123 164
20102010 163
kristina 162
123098 162
132435 158
12121212 158
k 157
genius 157
555666 157
454545 157
19751975 157
07 157
1qaz2wsx3edc 154
05 154
zaqwsx 153
porol777 153
128500 153
456123 152
svetlana 151
q1w2e3r4t5 151
3830182 151
1111 151
08 151
cjkywt 150
123456q 148
1234321 148
01 148
dthjybrf 147
dfvgbh 147
55555555 146
151515 146
1123581321 146
vfrcbvrf 145
2010 144
123qweasd 144
123456a 143
0123456789 143
3 142
rfrfirf 141
jrcfyf 141
135792468 141
25962596 139
fanat1234 138
19891989 138
oksana 137
456789 137
qwerty12345 136
ruslan 135
258456 135
9 134
666777 134
007007 134
sobaka 133
951753 133
456456 133
123456789987654321 133
19871987 132
123987 132
06 132
565656 130
adidas 129
2128506 129
qazxswedc 128
dkflbvbh 128
102938 128
100 128
veronika 127
741852 126
19831983 126
12131415 126
123qweasdzxc 125
12345a 124
xxxxxx 123
a 123
19951995 123
privet 122
31415926 122
123456654321 122
if 121
1725782 121
147896325 121
03 121
123456789q 120
7 119
rjntyjr 118
rfnthbyf 118
karina 118
cxfcnmt 117
8 117
upyachka 116
qwert12345 116
25802580 116
12345q 116
19941994 115
valera 114
123qwe123 114
aezakmi 113
555777 113
06011982 113
vladimir 112
rbhbkk 112
adgjmptw 112
5 112
171717 112
zxc123 111
killer 111
gjkbyf 111
19931993 110
naruto 109
andrei 108
04 108
viktor 107
russia 107
fktrcfylhf 107
qwqwqw 106
696969 106
135246 106
ktyjxrf 105
112358 105
zvezda 104
321654 104
moloko 103
love777321777 103
ghbdtnbr 103
larisa 102
77777777 102
7753191 102
456852 102
14789632 102
070707 102
zaq12wsx 101
sergei 101
20092009 101
irf 100
8924419 100
hesoyam 99
galina 99
Nhbujyjvtnhbz212 99
911911 99
qazqaz 98
73501505 98
1a2b3c 98
12369874 98
080808 98
19921992 97
qawsed 96
q12345 96
4 96
3333333 96
141414 96
qwerty123456 95
dfktynbyf 95
19851985 95
ronaldo 94
22222222 94
vkontakte 93
n 93
7001850 93
6 93
rfhbyf 92
19861986 92
13 92
9876543210 91
14 91
viktoria 90
qaz123 90
gbpltw 90
forever 90
787898 90
1357924680 90
10z10z 90
dfkthbz 89
25 89
2011 89
19841984 89
19 89
1000000 89
katerina 88
19911991 88
123321123 88
asd123 87
202020 87
123456789123456789 87
solnce 86
slipknot 86
fuckoff 86
flatron 86
danila 86
crjhgbjy 86
cfitymrf 86
asasas 86
13579 86
e9933429e 85
909090 85
789654 85
12345678900987654321 85
love 84
kolobok 84
q1w2e3r4t5y6 83
753159 83
1234125 83
111111111 83
01020304 83
rhfcjnrf 82
qwerasdf 82
ekaterina 82
aleksandr 82
234567 82
1366613 82
ytrewq 81
svetik 81
bhbirf 81
11111 81
vfhufhbnf 80
1um83z 80
17 80
13243546 80
123456789a 80
wwwwww 79
defender 79
azamat 79
235689 79
19961996 79
19881988 79
11112222 79
0 79
vladik 78
tdutybq 78
ghjcnj 78
159159 78
147369 78
zxcasdqwe 77
vfvekz 77
s 77
pupsik 77
ghbcnfd 77
1987 77
nuttertools 76
7777777777 76
23091989 76
22 76
15 76
vfksirf 75
qwerty99 75
knopka 75
dkflbckfd 75
SuperManBoy 75
777888 75
23 75
1995 75
1985 75
17711771s 75
qazwsxedcrfv 74
max333 74
fgtkmcby 74
barsik 74
asdfghj 74
456654 74
242424 74
2009 74
20082008 74
19811981 74
yfcntymrf 73
vbybcnh1 73
ssssss 73
romashka 73
rc 73
rammstein 73
lokomotiv 73
dfcbkbq 73
cgfhnfr 73
789789 73
25081994 73
1q1q1q 73
vfhecz 72
qwerty12 72
kz 72
2222222 72
162534 72
123456qwerty 72
11235813 72
nirvana 71
323232 71
28 71
rfn 70
r 70
pdtplf 70
microlab 70
matrix 70
fyutkbyf 70
freedom 70
asdfghjk 70
angelina 70
223344 70
1q2w3e4r5t6y7u8i9o0p 70
19411945 70
18 70
132456 70
123698745 70
111333 70
zaq123 69
vfczyz 69
fytxrf 69
deniska 69
anastasia 69
987456 69
272727 69
21 69
192837 69
123abc 69
122112 69
021065 69
rfrnec 68
kotenok 68
fuckyou 68
dfkthf 68
963852741 68
963852 68
300487 68
1qa2ws3ed 68
110442 68
0192837465 68
loveyou 67
1983 67
123qaz 67
12345654321 67
12290423 67
1011111 67
w123456 66
scorpion 66
rctybz 66
drjynfrnt 66
d6v1n41d6v1n41 66
321654987 66
135798642 66
07101962 66
yfnfkmz 65
nfy 65
koshka 65
9999999 65
9562876 65
27 65
24 65
19801980 65
13131313 65
12345678901234567890 65
tatyana 64
denn98 64
1996 64
1986 64
147147 64
1237895 64
tkbpfdtnf 63
motorola 63
567890 63
343434 63
1989 63
1988 63
rjycnfynby 62
ntktajy 62
m 62
dbrnjh 62
898989 62
4648246482 62
333777 62
20 62
10203040 62
valentina 61
ufkbyf 61
q1q1q1 61
london 61
840451 61
777999 61
321123 61
2000 61
1357908642 61
123zxc 61
030303 61
windows 60
qweqweqwe 60
nfytxrf 60
999666 60
1976 60
123456789z 60
1212121212 60
11041988 60
qwer12 59
qwe123qwe 59
alenka 59
abc123 59
9999999999 59
333666 59
222333 59
1994 59
14881488 59
1236987 59
0102030405 59
q12345678 58
pantera 58
hfytnrb 58
gegcbr 58
1998 58
1978 58
16 58
123465 58
123456z 58
vbkfirf 57
rhjrjlbk 57
rfnz90 57
motherlode 57
margarita 57
asdf1234 57
a123456 57
25800852 57
1991 57
1980 57
122333 57
12031990 57
09051945 57
rehbwf 56
aspirine 56
794613 56
22091991 56
19901990 56
19821982 56
19781978 56
19761976 56
161616 56
varvara 55
toyota 55
tokiohotel 55
svoboda 55
fkbyjxrf 55
e 55
arsenal 55
a12345 55
Angelina 55
789987 55
654123 55
456321 55
2008 55
1999 55
134679852 55
1239811 55
0000 55
zxcv1234 54
z 54
warcraft 54
rrrrrr 54
heckfy 54
artemka 54
789123 54
787878 54
26 54
1997 54
1993 54
19731973 54
ybrjkfq 53
rjhjktdf 53
ranetki 53
poiuytrewq 53
kakashka 53
alexandr 53
alexander 53
99999999 53
784512 53
777666 53
525252 53
321678 53
321456 53
060606 53
vfibyf 52
terminator 52
rfntymrf 52
lololo 52
i 52
ghbywtccf 52
6606025 52
19981998 52
19971997 52
1984 52
172839 52
123asd 52
123451 52
020202 52
012345 52
vitalik 51
vfvfgfgf 51
qwertyqwerty 51
ltybcrf 51
hjccbz 51
daniil 51
bagira 51
b 51
963258 51
321679 51
1979 51
191919 51
111111a 51
050505 51
zzzzzzz 50
zaqxsw 50
vfntvfnbrf 50
vasilisa 50
tamara 50
t 50
samara 50
rtyuehe 50
nissan 50
lfitymrf 50
ghjcnjnfr 50
byajhvfnbrf 50
Noob572 50
98 50
3333333333 50
29 50
2222222222 50
1981 50
19283746 50
181818 50
1598753 50
123789456 50
1234560 50

Есть и однобуковные пароли о_О

[MrAnonymous]

Для тех, кто нашел в списке свой пароль, у меня плохая новость: им пользуются хотя бы еще 49 юзеров.
Кто не понял, формат списка: «пароль количество_юзеров».

[merlin-vrn]

Уже упоминали, что в файле много записей вида aaa, aaA, aAa, aAA, и так далее, все они естественно будут иметь одинаковый пароль, но это просто синонимы одной учётной записи яндекса.

[RPG]

В отличие от паролей, более трёх повторов учёток я не нашёл. Т.е. в базе всего 75143 адресов, у которых есть один или два дубликата максимум.

[mwizard]

75245, если быть точным. Если при нормализации логина кроме приведения к одному регистру считать еще, что наличие точек не имеет значения (как в gmail), то 76197.

[Haoose]

Да просто в базе нет однобуквенных паролей. Откуда они взялись у автора комментария непонятно. Самый короткий пароль — 999 встречается один раз. Самый длинный — numbere2718281828459045 — 23 символа

[rafuck]

5 сентября акции Яндекса неплохо так подросли:
www.google.com/finance?cid=10670257
и примерно этим же числом датированы первые сообщения об утечке паролей. Забавное совпадение.

[evil_random]

Может какой-нибудь почтовый клиент волшебный? Тут нам наверное уже Яндекс расскажет что объединяет всех этих людей и как у них умудрились угнать пароли

[SwampWalker]

Сегодня же депутаты от ЛДПР начали гнать волну на украинский агрегатор Яндекса. Совпадение?

[splav_asv]

В последнем FX появился Public Key Pinning. Правда пока очень ограниченно.

[jobhub]

Достаточно быстро отреагировали, при вводе правильного пароля просто просят его изменить на новый через подтверждение по смс.

[jobhub]

Главное чтобы точку поставили в вопросе утечки информации. Просто так миллион+ не утекает…

[dragon_egg]

Просветите-ка нас, где там запятых не хватает. Перед «или» не нужно ставить, т. к. общее «потому что». «Прежде всего» не вводное в данном случае — не нужно ставить запятую. «После его ввода...» и так далее — тоже не нужно, обычный порядок слов в простом предложении.

[ibn_Petr]

осмелюсь возразить:
Перед «или» запятая нужна: общее «потому» ничего не меняет, не являясь ни общим членом предложения ни общим придаточным.
«После его ввода...» тоже требует запятой, ибо это обычное сложносочиненное предложение, запятая перед «и»
Поправьте меня, пжлст, если где-то ошибся
ЗЫ
с международным днем грамотности, кстати ))

[dragon_egg]

По случаю праздника перечитал написанное на скриншоте. :)

Это могло произойти потому, что вы ввели свой пароль на мошенническом сайте или ваш компьютер заражен вирусом.

Однородные придаточные предложения (грубо говоря: потому, что вы ввели или что ваш...). Не нужна запятая.

После его ввода пароль изменится и аккаунт будет разблокирован.

Здесь сложнее. Простановка запятой зависит от того, относится ли «после его ввода» одинаково и к первой, и ко второй части предложения. Это должен знать автор. :) Если после ввода изменится пароль и после ввода аккаунт разблокируется, это общий член предложения. Я рассудил именно так. Запятая не ставится.

А если после ввода изменится пароль, а потом, после смены кода, разблокируется аккаунт, тогда явно «после его ввода» не общий член предложения, а две части связаны причинно-следственными отношениями = запятая нужна. Такие дела.

[ibn_Petr]

Вы совершенно правы
Мне стыдно, черт возьми
Хотя… во втором случае я бы поставил таки запятую ))

[detonator]

Символично, что капча предлагает вам ввести слово «нагреть». Нагрели нас с вами, господа ;)

P.S. мой пароль, к сожалению, был в базе. Пришлось сменить, хотя почтой вообще не пользуюсь и ее регулярно забирает оттуда гугл. По журналу подключений сегодня 1 вход был из США, до этого все остальные из России.

[Zaych361]

как посмотреть журнал подключений, никак понять где он не могу

[detonator]

Заходите в Я.Почту, пролистываете вниз, там должно быть «Последний вход — ...». Собственно на него нажимаете и попадаете в сам журнал.

[grimskin]

Ух ты, зашел туда, а там за 5-7 числа штук по 40 заходов по IMAP.

[LionAlex]

Аналогично, начиная аж со 2 числа

[Haoose]

Тут: mail.yandex.ru/neo2/#setup/journal

[merlin-vrn]

ее регулярно забирает оттуда гугл. По журналу подключений сегодня 1 вход был из США

Ну так гугл забирает из США, как положено.

[detonator]

Я тоже так подумал, но гугл забирает раз в час, а там за 3 дня только 1 подключение из США

[EvilFox]

Зачем давать пароль гуглу, если можно настроить переадресацию с яндекса на гугл?

[detonator]

Централизация.
У меня таких ящиков не 1 яндексовский, а 5 или 6 с разных сервисов. Удобно иметь возможность в одном место смотреть когда оно синхронизировалось и удалить если что. Правда почти все они мертвые, но руки никак не дойдут избавиться от всех этих рудиментов :) также как и перенастроить.

[Iv38]

Кроме того, это позволяет использовать Gmail, как полноценный почтовый клиент, который способен и получать и отправлять почту с любых серверов электронной почты.

[EvilFox]

Понятно, я просто думаю что это не очень безопасно — можно разом потерять все учётки или по крайней мере всю почту (её могут слить и после удалить).
По мне лучше управлять через почтовый клиент раз уж столько учёток. А вообще, к сожалению, удобства частенько противоречат основам безопасности и почему-то до сих пор нет более гибких механизмов и соответственно настроек безопасности.

[splav_asv]

del

[mwizard]

Кошмар, из миллиона паролей уникальных только 58.8%, все остальные — дубли. Можно ведь вести базу несолёных хэшей без привязки к аккаунту, просто для статистики, и говорить «не используйте этот пароль, он слишком популярен», в чем техническая сложность? Воровство такой базы ничего не даст, насколько я понимаю.

[mwizard]

Не соглашусь. Можно, допустим, принять, что «популярный пароль» — это тот, который использует более 3 человек. В таком случае первые три счастливчика заимеют себе пароль SuperXtra, остальным же скажут «Вы знаете, мы не в курсе, что там у вас за пароль, но в нашей базе говорится, что точно такой же пароль уже используют три человека. Поднапрягите фантазию, пожалуйста.» Даже если пользователь после этоо изменит пароль на SuperXtra1 или SuperXtraMARINKA, это уже значительно улушит ситуацию, по сравнению с сейчас, когда на пароль 123456 приходится более 39 тысяч учеток?

Что до требования длины, какой от неё толк, если в слитом файле есть вот такие перлы?

******
******
******
*******
********
********
********
**********
********************

Да, это пароли, состоящие только из звездочек. Или вот пароль 11111111111111111111, встречающийся 41 раз.

[Iv38]

Не факт, что счетчик надо уменьшать. Если люди часто пытаются поставить такой пароль, то это уже не очень хороший пароль. И даже если после предупреждений его больше никто не использует, хорошо бы продолжать предупреждать об этом и новых пользователей, которые попытаются задать такой пароль позже.

[merlin-vrn]

С какого момента пароль становится «популярным» тоже не понятно.

Пусть пароль — [a-z0-9]{8}. Это 2.8*10^12. Просто случайное совпадение двух случайных паролей — порядка 10^-6 (из-за парадокса близнецов).
С более длинными паролями или в случае более широкого набора символов ([-_=+\|`~!@#$%^&*()a-zA-Z0-9]), разумеется, вероятность ещё меньше.

Два пользователя могли выбрать одинаковый пароль либо в силу совершенно невероятной случайности, либо в силу того, что пароль систематический. Поскольку первое невероятно, то остаётся второе. Систематический пароль — заведомо плохо. Поэтому, любой пароль, который совпал хотя бы у двух пользователей, плохой.

[RPG]

cracklib уже давно существует, умеет ломать по словарю, сообщает о том, что пароль совпадает с логином и о том, что пароль имеет слишком мало различающихся символов.

А вообще нужно ещё при регистрации предлагать генератор хорошо запоминающихся паролей. Не какой-то там Swo75rBRCh, а например «Слепая лошадь считает до десяти» — берем по три буквы от слова и получаем что-то вроде Cktkjicxblj10. Не идеально, но лучше чем 123456. А при навыке слепой печати никто не мешает таким образом запоминать пароли длиной в 20-30 символов. Такой генератор написать несложно, если раздобыть словари существительных, прилагательных глаголов и т.п. Уверен, у яндекса такие словари есть — поисковик как никак.

[Shultc]

«Слепая лошадь считает до десяти» — берем по три буквы от слова и получаем что-то вроде Cktkjicxblj10

И зачем брать лишь первые 3 буквы? Чем весь пароль «Слепая лошадь считает до 10» плох?

Старое доброе xkcd

[RPG]

Как раз ничем не плох. Собственно:

А при навыке слепой печати никто не мешает таким образом запоминать пароли длиной в 20-30 символов.

Просто не все печатают слепым десятипальцевым методом, для них может быть сложно набрать весь пароль. Опять же если сделать нормальный генератор, предлагающий варианты — пользователь сможет сам выбрать, какой пароль ему проще набирать и запоминать.

[merlin-vrn]

Да, идеальный вариант (я тут уже упоминал в топике) — генератор предоставляет либо несколько вариантов на выбор, либо позволяет внести незначительные правки (не более двух символов, например), либо и то и другое. И не позволять пользователям выбирать произвольные пароли — только из генератора.

[Yan169]

И что дальше делать пользователю с таким паролем? «Записывать на листочек и клеить на монитор»?

У меня для всех сайтов по-умолчанию уникальные 128-битные пароли в hex-представлении. И все «самые умные» сервисы, запрещающие мне использовать такие «слабые» пароли, регулярно получают лучи ненависти.

[merlin-vrn]

И что дальше делать пользователю с таким паролем? «Записывать на листочек и клеить на монитор»?

Ну, так по крайней мере не удастся слить через интернет. Не самый плохой вариант.

А вообще — запоминать.

[KorDen32]

Ну, так по крайней мере не удастся слить через интернет

Каким образом? Быть может «не удастся войти в другие аккаунты этого пользователя» (если одинаковые пароли)?

А вообще — запоминать.

Запоминать пароли от сервисов, которые непонятно когда в следующий раз понадобятся, или не особо важны? А если таких сервисов десяток будет, или 50? Все запоминать?

[merlin-vrn]

Каким образом? Быть может «не удастся войти в другие аккаунты этого пользователя» (если одинаковые пароли)?

Как каким образом? Записанный на бумажку пароль нельзя слить через интернет, в отличие от сохранённого в браузере. Надо только не показывать бумажку видеокамере, для чего это лучше пусть будет блокнот, который не валяется на виду.

[AmberSP]

Можно использовать KeePass с ядреным мастер-паролем и базой в облаке на выбор.

[RPG]

Поэтому и нужно использовать cracklib для проверки на стойкость, а не скрипт дяди Вани на ПХП. Кряклиб имеет систему кредитов, если пароль содержит только латиницу — минимальная длина должна быть 9 символов, а если пароль имеет более четырёх групп различных символов — достаточно шести. В целом нареканий эта система, использующаяся в линуксе, не вызывает.

[Areso]

Когда я ради интереса поставил себе пароль из разряда «Не будь на той божьей воли не отдали б Москвы» я проклял всё, пытаясь залогиниться со смартфона. Теперь там композитная строчка из стихотворения на английском)

[Shultc]

И да, на английском такие генераторы паролей уже легко находятся, как простые, так и сложные.

[fetis26]

И как спасет ваш уникальный пароль от подобного слива?

[mwizard]

От подобного слива, если поломали сам яндекс, конечный пользователь может в какой-то мере защититься только регулярно меняя пароли и никогда не используя пароль более, чем на одном сайте. Ну а вообще популярный пароль открывает возможности к тому, что к вашей учетке получат доступ и рядом других способов, не требующих серьезных дыр на сервере.

[red_andr]

Конечно, фишинг представляется наиболее вероятным. Однако, чёрт побери, неужели возможно, что столько хабровчан попались на это? Ведь не какие то школьники или тётки из бухгалтерии.

[6opoDuJIo]

Больше удивляет то, что вброс без единого пруфа (пусть даже и правдивый сам по себе) получил 65 плюсов.

[maxshopen]

Ни одного из своих ящиков не нашел в опубликованной базе. Интересно, выложенная база — полная или кусок?

[mwizard]

Скорее всего, кусок. Врядли хакеры получили доступ к ровно одному миллиону учеток.

[maxshopen]

В файле 1261809 учеток

[mwizard]

Мой фейл, вы правы.

[maxshopen]

Скорее это фейл топикстартера. Надо писать «более млн паролей утекло», а не красивую цифру ни о чем

[DerSpinner]

При этом вопросы двухэтапной аутентификации яндексом игнорировались.
Теперь же, может, наглядно будет видно её преимущество не только для пользователя, но и для сервиса.

[prishelec]

А как вам такое: как только Яндекс стал официально сливать данные ФСБ (5 или 6 сентября новость читал), сразу появляется из ниоткуда база с данными.

[maxshopen]

читайте чтоли комментарии прежде чем писать свои параноидальные идеи. Во-первых уже было, во-вторых по всем признакам это пока больше похоже на банальный фишинг

[Zaych361]

Использовал Яндекс.Деньги, а сейчас только Диск. Телефон и 2 компьютера… оказался в первой тысяче! Вот те на… Почту пару лет не открывал

[maxshopen]

а почта не прописана нигде в телефоне? я к тому, что может какое то мобильное популярное приложение сливает инфу с телефонов

[Zaych361]

нет конечно. даже аккаунта Яндекса на телефоне нет

[maxshopen]

Тогда вообще непонятно. Яндекс хранит пароли в открытом виде и нагло врет?

[Zaych361]

Тут куча версий, но тут же фактами (старый, почтой не пользовался никогда, имею сложный пароль) опровергают всех их. Видно подловили их как-то…

[prishelec]

Проверил пару ящиков.
1 старый (боле трех лет) остальным по году.
Пока норм, в базе их нету.
у одного пароль был довольно простой.

[Voenniy]

Как говориться — нет худа без добра.
Нашел свой старый ящик, в который не заходил очень давно.
Давным давно забыл от него пароль. Очень жалел тот ящик, пришлось регистрировать такой же, но с циферкой в конце.
А теперь — ящик вернулся домой :)

[alecv]

Тогда получается, что это не фишинговая база, а реальная. Или вы попались очень давно, когда еще помнили пароль.

[Voenniy]

Яндекс — емаилом тогда почти не пользовался. У меня основной на gmail. Врядли мог попасться. Хотя, кто знает.

Кстати, когда зашел в яндекс, тот сразу радостно сообщил, что ящик вероятно взломан и надо установить новый пароль.

[prishelec]

Был цифирный от неосновного ящика. Повезло, не дошли похожу до него. Да и акки в базе вроде похожи на старые.

[mwizard]

Я насчитал 1339 учетки, в которых одновременно используются большие, маленькие латинские буквы, знаки !"#$%&'()*+,./:;<>?@[\]^_`{|}~ и цифры. Если убрать требование разного регистра, то 5902 учеток. Если убрать требование букв, то 8166. Если требовать только пунктуацию, то 11670 учеток.

[Zaych361]

увы, у меня цифро-буквенный, и все равно я в первой тысяче оказался!

[RPG]

На брут не похоже, в базе есть даже злые двадцатисимвольные пароли с различным регистром. Это надо было брутить Яндекс с момента его основания.

[Alexeyslav]

Кто проверял весь миллион паролей? Может туда для отвлечения внимания подмешаны фейковые пары логин/пароль? Или даже специально создали ящики с такими паролями чтобы они прошли проверку… Надо проводить расследование. Кто. Когда. Зачем. Как.

[RPG]

Есть такое понятие репрезентативность выборки. Выбираются учётки наугад из разных мест файла и они работают. Думаю, что случайная выборка вполне адекватно представляет совокупность.

[Alexeyslav]

Потому что знаки пунктуации неудобно вводить со стандартной клавиатуры. Особенно если часто приходится вводить пароль это неймоверно достаёт простых пользователей, поэтому они не используют пароли со заначками.

[merlin-vrn]

Вас неимоверно достаёт ввод символов ` — = \ [ ]; ',. /? Они доступны без лишних усилий, как буквы и цифры.

[ZyXI]

Вопрос в том, что понимается под «стандартной клавиатурой». Со смартфона такое вводить жутко неудобно: те же прямоугольные скобки любят убирать на третий уровень. Особенно у меня: у моего телефона есть железная qwerty, но на ней нет фигурных, угловых и прямоугольных скобок, а также обратной косой черты, backtick и вертикальной черты. Что-то можно ввести, используя метод «нажать кнопку и держать», но не всё.

[prishelec]

Как вариант да, но акков то много.

[stan_jeremy]

Нашел емеил жены, примечательно что неделю назад слили еще и ее пс4 аккаунт., который был к нему привязан. Теперь понятно как. PS пароль — буквы в разном регистре-символ-цифра. Предвещая вопрос — на двух аккаунтах пароли были разные)

[mrjj]

Совершенно не обязательно был взломан сам Яндекс. По нему уже могли просто пройтись с перебором ящик-пароль.
Если бы это был заказ репутационного рода то, пожалуй, это самый простой способ его исполнить.

[pihel]

Обнаружил в базе один из моих email, почта не основная, была зарегана на всякий случай пару лет назад. Использовался только для пересылки почты на gmail, больше нигде пароль не вводил.
Так что ввод пароля на левом сайте исключаю.

[RouR]

Хорошо что исключаете. Потому что один из вариантов появления такой базы — какой-нибудь крупный сайт, его пользователей проверили на одинаковость паролей от почты, составили базу совпавших, часть базы выложили. Я так понял что у вас этот пароль был уникален и только для почты. А где его хранили? Может утечка из какого-нибудь пасс-кипера?

[stan_jeremy]

Яндекс, а зачем врать, тем более если сами не знаете ситуацию?
roem.ru/2014/09/08/yandex106933/
siliconrus.com/2014/09/yandex-pochta/

… нет оснований считать, что среди среди опубликованных аккаунтов есть те, что принадлежат «живым» пользователям (тем, кто бы заходил на наши сервисы, в «Почту», и совершал какие-либо действия), или тех, о взломе которых бы мы не знали (такие аккаунты уже давно отправлены на восстановление пароля)...

[Zaych361]

Кстати, да! У меня и диск у них, и деньги, а почту в глаза 2 года не видел… А пароль о один!

[Argons]

Мне кажется судя по паролям, что выложили базу заброшенных мейлов что бы не пропадали зря )

[kvaps]

А составьте кто-нибудь на основании этого списка ТОП-паролей, интересно посмотреть :)

[Zaych361]

ищите, уже выкладывали

[Shultc]

Тоже ищите выше. Это неправильный топ. В нём пароль «qwerty» встречается много раз.

[kvaps]

Я всегда буду читать комменты, прежде чем написать…
Я всегда буду читать комменты, прежде чем написать…
Я всегда буду читать комменты, прежде чем написать…

[Artouiros]

<irony>Спасибо за спам лист</irony>

[iSage]

1) моя учетка там есть.
2) пользуюсь я ей раз в месяц для ЯД и всегда тщательно проверяю, туда ли я попал, так что фишинг исключен.
3) кейлогер исключен.
Остается вариант, что поуводили базы всяческих форумов и кросс-перебором проверяли.
С другой стороны, этот пароль использовался только для яндекса и хабра.
В журнале есть:

вс, 07 сен. 2014	Заход по IMAP	IP не определен
	 	Заход по IMAP	176.8.157.65	Украина
сб, 06 сен. 2014	Вход в Почту	12.47.174.99	США

[NeoCode]

Насчет того что не фишинг согласен, многие тут отписались уже что этими паролями не пользовались годами.
Утечка со стороны Яндекса также маловероятна.
А почему кейлоггер-то исключен?
ИМХО самое вероятное что какой-нибудь вирус или spyware прописался в систему.

[iSage]

Слишком неподходящая для spyware система, да и проверяется на руткиты регулярно

[NeoCode]

Т.е. не винда? Тогда вообще странно.
У меня 5 аккаунтов на Яндексе, разной степени юзабельности — от совсем заброшенных до тех которые каждый день используются. Пароли относительно простые (были — уже поменял… т.к. аккаунты создавал давно когда keepass'а еще не было), аккаунты использовались для регистрации на многочисленных форумах. Ни одного нет в списке. Система — винда. Вирусы время-от времени таки попадают.
При этом я почти никогда не вводил эти пароли через веб-интерфейсы в браузерах. Они были вбиты в TheBat когда-то очень давно и использовались только для почты. Собственно, это и наводит на мысль о вирусе-кейлоггере.
Но если не это — тогда остается утечка на яндексе?
PS. Кстати еще мысль пришла — может быть какой-нибудь плагин к браузеру?

[iSage]

Да, не винда. Я ей уже много лет не пользуюсь.
Плагинов в опере нет, сейчас вот пытаюсь вспомнить, вбивал ли я в хроме. Но там только адблок+
Самое странное, что да, все на кейлогер указывает. Я эту учетку нигде даже при регистрации не использовал.

[SHVV]

Опера 12?
Учётка моей жены тоже в базе. Залогинена в Опере 12. Из расширений только Адблок.

[serg_smirnoff]

А из стороннего софта? Всякие там мейлагенты? Не?

[SHVV]

Стороннего софта дофига, на какой грешить — не ясно.
От Мейл.ру есть Cloud.
Но я на этом же компьютере заходил под своей учёткой, только из Хрома. Моего мейла в базе нет.

[iSage]

Да, 12я. Никаких экстеншнов, link отключен, сохранение паролей тоже. Галку «запоминать меня» всегда снимаю

[RPG]

Вот кстати с ходу — фишинговая уязвимость в опере: habrahabr.ru/post/156315/

Не факт что именно эта, но действительно какие-то массовые уязвимости в софте могли привести к такому сливу.

И ещё:

Opera before 12.12 on UNIX uses weak permissions for the profile directory, which allows local users to obtain sensitive information by reading a (1) cache file, (2) password file, or (3) configuration file, or (4) possibly gain privileges by modifying or overwriting a configuration file.

Я не имею ввиду что виной именно данная уязвимость — яндексу видней, какими браузерами пользуются клиенты, но поводов беспокоиться достаточно даже в nix-системах.

[iSage]

Да, про первую я в курсе, она давно закрыта и когда была актуальна — я не пользовался оперой.
Вторая меня слабо волнует, поскольку local users кроме меня и системных демонов нету, машина не доступна из интернета, все входы по ssh присылаются на почту, а софт не из репозиториев я не использую.
У девушки коллеги почта тоже обнаружилась в списке, но она оперой не пользуется, только хромом и ие
Впрочем, я понимаю, что вы не об этом.

Конечно, поводы для беспокойства есть везде, неуязвимых систем не бывает. Другое дело, что я достаточно уверен в своей (по крайней мере был до этого момента)

[RPG]

Да, это не объясняет почему тогда только яндекс.

[fetis26]

а почтовым клиентом пользуетесь? у меня тоже есть Заходы по IMAP. Как с указанием IP так и без.

[iSage]

Для яндекса — нет

[UrbanRider]

Тоже попал под раздачу.

[akirsanov]

В файле 26 тыс. строк-дублей, имеющих разный регистр написания:
rjti45@yandex.ru => RJTI45@yandex.ru lana-bright@yandex.ru => Lana-bright@yandex.ru crazynickj@yandex.ru => CrazyNickJ@yandex.ru elen-link@yandex.ru => ELEN-LINK@yandex.ru ...

[NeoCode]

… что лишний раз подтверждает что таки кейлоггер.

[akirsanov]

и фишинг тоже… но уж точно не утечку из Яндекса.

[NeoCode]

… Вообще странно. Как объяснить что утекли пароли людей которые годами их нигде не вводили? И не брутфорс (ибо там есть сложные пароли), и не фишинг (не вводили), и не кейлоггер (опять-таки не вводили), и не яндекс (все-таки не шарашкина контора чтобы пароли в открытом виде хранить)?
Или применяли несколько методов сразу. Или что-то еще?..

[Shultc]

— А теперь финал шоу «Битва Экстрасенсов». Участвуют 1'261'809 финалистов. Перед каждым из них лежит по запечатанному конверту, и по листу бумаги. Через 15 минут на листе бумаги должен быть написан пароль к учётной записи yandex.ru логин к которой написан в конверте. Конверт открывать нельзя. Время пошло.

[serg_smirnoff]

Ну, может они хранили их где-то. В браузере например.

[iSage]

Не скажу за всех, но я — нет.

[akirsanov]

Объяснить очень просто — не надо верить людям, когда они говорят, что читают почту только из специального бункера, убедившись в полной безопасности соединения.

[alcr]

Ну вы то можете не верить, но мне нет никакого резона шариться по всяким вебмордам, если у меня почтовик давно настроен. Кстати, второй аккаунт тоже утёк, а я им не пользуюсь с конца 2006 года, так что или слив яндекса, или брутфорс, или действительно фишили/кейлоггили много лет.

[dimonb]

или утекли хэши, а дальше брутфорс, например

[Kcop]

Еще вариант — база с каких-либо «зараженных» сайтов/форумов, где пароли совпадают с почтой. Просто проверили соответствие, все что совпало — вывалили.

[veam]

А как вам вариант, что пароли таки хранятся в открытом виде, и кто-то (например, сотрудники или ФСБ, которому недавно дали доступ к серверам) их слил?
habrahabr.ru/post/82317/
habrahabr.ru/post/82880/

[iSage]

Пара логин/пароль совпадает только с хабром. При этом на хабре указана другая почта (почта на яндексе не указана вообще нигде, я ей не пользуюсь)

[Iv38]

Никто же не говорит, что это свежая актуальная база. Мне кажется, этот файл собирался долгое время из разнообразных источников. Ну или не долгое время, а сейчас, но некоторые источники уже были старыми. Это могли быть результаты различных фишингов, брутфорсов, попытка подбора паролей по слитым базам форумов, результаты работы кейлогеров и т.д., собранные неким хацкером для неких целей. В этих источниках могли бы быть данные и о других учетках других сайтов, но в этот файл собрали только яндекс.

[zerkms]

Ох, а при смене ещё и не все ASCII-safe символы разрешают использовать :-S

[serg_smirnoff]

На некоторых аккаунтах сейчас пишет вот это. Видимо в компании Яндекс таки отреагировали как надо.

Change password

Your account has been temporarily blocked. We are assuming it has been hacked. This may have happened because you have entered your password on a fraudulent website or your computer is infected.

First, check your computer for viruses (here's how). Then, create a new password, as well as providing your telephone number and clicking «Get Code». An SMS with a confirmation code will be sent to your phone. Your password will change and your account will be unblocked after entering it.

Also check your registration information (in the «Personal Info» and «Email Addresses» sections) as hackers may have successfully changed it.

If the account was not unblocked successfully, please contact the support service.

[avz]

Свой ящик не нашел. Нашел ящик жены. Уже был заход с левого IP 5.164.131.51 7го утром по IMAP.
Господа. обнаружившие себя в базе, вы какими браузерами пользуетесь? Жена у меня, например, — FireFox и IE раньше.

[stan_jeremy]

у моей был хром, в основном последний.

[SHVV]

Опера 12

[iSage]

Хромиум и 12я опера

[Pasha4ur]

Яндекс держу только для метрики, но при входе выдала, что почта взломана.
Пора для русскоязычных ресурсов заводить отдельный пароль. Одноклассниками не пользуюсь, но зарегистрирован. Какой пароль не поставишь — все равно ломают

Вы все еще доверяете Яндексу? Тогда мы идем к вам!

[lanseg]

Нашёл свой емейл, но пароля не нашёл.

[NeoCode]

Это как? Пароль не ваш, или вообще email без пароля? Там вроде все с паролями

[lanseg]

Было моё имя пользователя, а рядом с ним какой-то совершенно левый пароль. Делал поиск уже по паролю и не нашёл вообще ничего.

[bmforce]

А вводить его пытались? Вдруг хеши совпадают :)

[stan_jeremy]

пароли там есть для всех отмеченных ящиков, просто в разных базах — разные варианты (в одних есть пароли, в других нет)

[Core2Duo]

Мне кажется, что стоит рассмотреть еще один вариант — троян + утечка пароля из базы запомненных паролей в браузере. Тот же хром хранит все запомненные пароли в SQLlite, и выцепить его оттуда по нужному адресу не составляет труда. Это может объяснять и то, почему забирали одноразовые ящики — я на таких всегда «запоминаю» пароль, потому что воспользуюсь им один раз и забуду.

[RPG]

Но тогда утекли бы пароли гугла да и вообще чего угодно. Почему только Яндекс?

[lvx]

А кто, собственно, утверждает, что только Яндекс? Просто в этом файлике собраны учётки Яндекса. Кто знает сколько и от каких сервисов ещё паролей осталось неопубликованными?

[Core2Duo]

Ага, вот, например, и мейл.ру подтянулись.

[brokenmind]

Нашел в списке свой email, актуальный, пароль верный, но под ним не зайти — заблочен. Стал копаться в ящике среди спама и рассылок:

История такая: пользуюсь ящиком регулярно через почтового клиента. 14 августа отправлял письма — работало (Авторизация по TLS 465/995).

С 14 по 18 пришло несколько писем с просьбой подтвердить восстановление платежного пароля. Потом (15го числа точно) Яндекс заблокировал авторизацию через web и на smtp — требовал привязать к мобильнику. Почту по pop3 почтовый клиент забирал, по smtp не отдавал. Я тогда этим заниматься не стал, на прием работает и ладно. Кстати, примерно в это же время пришла знаменитая рассылка про списание остатков со счетов Яндекс.Денег.

Сегодня после прочтения этой новости сменил основной пароль и попытался вспомнить свой платежный пароль — в счетчике попыток оставалась одна из 5. Неудачно, теперь с паспортом в офис.

Так что фразу пресс-службы Яндекс о "… пока нет оснований считать, что среди опубликованных аккаунтов есть те, что принадлежат «живым» пользователям (тем, кто бы заходил на наши сервисы, в «Почту», и совершал какие-либо действия" можно смело корректировать.

[3au4er]

Я пол года назад забыл платежный пароль.
После истечения попыток, просто привязал номер телефона к аккаунту и сменил способ подтверждения платежей.

[movb]

Решето

[benzino]

Более 4 миллионов почтовых ящиков Mail.ru с паролями утекли так же.

133.47 MB
Формат: txt
Количество записей: 4664478
Актуализация: 2014

[Pasha4ur]

спасибо за предупреждение.

пошел я пароли менять везде.

[vlivyur]

А есть подробности? А то не получается гугл натравить.

[veam]

Плохо пробовали.
www.google.ru/search?q=WexYrekAhan679

[vlivyur]

У меня так хитровсунутая картинка не отображается, поэтому и информация из неё недоступна.

[lvx]

на картинке Akelpad с частично замазанными мылами, паролями, видно нумерацию строк 3м+.

[veam]

У меня тоже не отображается, выдрал эту картинку из исходного кода страницы.

[vlivyur]

Да, я уже так же сделал, посмотрел. Спасибо, lvx.

[Voenniy]

«Так же» — это как? Всё же фишинг?

А есть сайт, чтобы проверить попал ли свой емаил в эту базу?

[benzino]

Раздают на приват рубоарде.

[Voenniy]

Круто
А вы не могли бы выложить эту базу в паблик без паролей.
Чтобы можно было проверить емаилы

[merlin-vrn]

Не стоит. Никто не гаратирует, что в базе ВСЕ пары. Могут быть те, которые утекли, но в базе их нет.

Лучше просто сменить, не проверяя.

[Voenniy]

Сменить — это само собой.
Но, проверить тоже хочется.
Да, выкладывать в паблик тоже плохо — дополнительная база для спамеров.

Оптимально — сайт для проверки емаил, как выше сделали для яндекса.

[benzino]

app.box.com/s/rgymq5iu7oim7jb4byks

[Voenniy]

Огромное спасибо!

[quirischa]

А вы не могли бы ещё раз куда-нибудь выложить базу логинов? Буду вам очень признателен.

[quirischa]

Уже нашёл, спасибо.

[Kudesnick]

Возможно это хабраэффект, но не качает что-то.
upd Посмотрел состояние запроса, сервер 403 возвращает.

[vlivyur]

У пользователя, разместившего это содержимое, исчерпана полоса пропускания.
Если это Ваш файл, приобретите трафик для своей учетной записи

[benzino]

76 загрузок совершено. Трафик исчерпан. Все что смог. Делаю 5 проходов формата ;)

[Kind]

Почему никто не делится?.. Хотя бы логинами.

[dasty]

Нет файла

[benzino]

Удалено уже.

[Voenniy]

жестокая база. Наугад попробовал несколько 2х и 3х символьных почт — все подошли :(

[NeoCode]

Это когда? Тоже сегодня? Давайте подробности плиз:)

[Haoose]

Это еще под новый год было (9 месяцев назад как минимум). Проверить мыло можно тут: games-gen.com/mails/check.html
Своих я там не находил, но зато есть несколько знакомых, которые нашли свои почты в базе.
Приведу пару цитат от очевидцев:

Один знакомый щас проверил, нашел одну из своих почт. Говорит, что там пароль самый первый на почте, который давно поменял. НО пароль валидный был когда-то…

По сообщения нашедшего в базе старый пароль от мыла. Ее ломали когда-то и рассылали спам.
Значит в базе могут быть валидные почты, владельцы которых еще спят и не сменили пароль.

[Suvitruf]

<irony>Это по-любому Rambler конкурентов компрометирует</irony>

[Haoose]

Там в базе 3737 доменов почт и рамблер среди них.

[EvgeniyKirov]

Вы смеётесь, а на самом деле Рамблер это популярный сайт.

[Haoose]

Более 4 миллионов почтовых ящиков Mail.ru с паролями утекли так же.

Актуализация: 2014

Вот она, дезинформация =) Во-первых, актуализация не 2014 год, а максимум 2013. Во-вторых, там не только mail.ru, но и полным полно других доменов. Как российских, так и зарубежных.

[Voenniy]

Похоже это другая база. Там только mail.ru -шные домены (bk.ru например)

[Haoose]

Вы правы. В декабре утекала примерно такая же по объему база паролей. Подумал, что это она и есть.

[polym0rph]

В сеть попала база 4,5 млн паролей от почтовых ящиков Mail.Ru

[ilyachase]

Помимо всего прочего, это ещё и база валидных сотовых номеров. При попытке войти на большинство аккаунтов, предлагает подтвердить смену пароля на новый, при этом указывается в открытом виде привязанный к почте номер.

[Kcop]

Таки правда. И если пара почта-пароль совпадают с «вконтактом», то вполне имеются все данные для ввода недостающих (закрытых звездочками) цифер телефона. Надеюсь представители Яндекса читают эту ветку, и прикроют потенциальную дыру.

[prcompany]

Ходят слухи, что это сделал проект SocWar.
Социальная инженерия и фишинг… вряд ли такие пароли сбрутили )))

[Pasha4ur]

тем временем те, у кого iphone icloud locked, отыскивают в этих списках нужный емейл и отвязывают устройство :)

Даже, если при входе Яндекс выдает сообщение о смене пароля, то все равно и это уже обычные юзеры нашли, как обойти. Яндекс он такой Яндекс

[mitaichik]

В жизни не поверю, что яндекс хранит пароли в открытом виде. Не может такого быть.

[veam]

habrahabr.ru/post/82317/
habrahabr.ru/post/82880/

[veam]

Ага, я читал. Проблема была в том, что ранее введенные пароли открыто выдавались в меню администрирования пересылки + http.

Ну, а как хранятся обычные пароли, никто кроме сотрудников не знает, исходники закрыты.

[Haoose]

lifenews.ru/news/140024 Anonymous утверждают, что база была слита еще 15 августа. Я правда пока не нашел подтверждение этому. Ищу. Может кто уже видел пруф. Понятно что lifenews верить на слово не стоит.

[RPG]

Данное издание даже не читает то, о чём пишет. И что за источники у них? Анонимные аналитики с ЛОРа?:)

выложили в открытый доступ 15 августа

… огромной базы данных Яндекса с почтовыми ящиками и паролями произошел не вчера, 7 авугста, как сообщают СМИ, а почти месяц назад

13:25 / 08.09.2014

Пруфов не нашёл.

[brokenmind]

Я писал выше, что мой платежный пароль подбирали именно с 15 до 18 августа. Именно тогда Яндекс и заблокировал аккаунт из-за подозрительной активности.

[Lilumi]

Команда Яндекса уже прокомментировала это событие, правда, пока только на украиноязычном официальном блоге blog.yandex.ua/post/2804/ (гуглоперевод новости: translate.google.com/translate?hl=uk&sl=uk&tl=ru&u=http%3A%2F%2Fblog.yandex.ua%2Fpost%2F2804)

[anton]

Собственно, вот ответ на Хабре: habrahabr.ru/company/yandex/blog/236007/

[anton]

Подробный разбор, что и как, от безопасности Яндекса: habrahabr.ru/company/yandex/blog/236007/

[Haoose]

twitter.com/lobushkin/status/508928802294988800

В целях безопасности ВКонтакте заморозили все аккаунты, зарегистрированные на скомпрометированные адреса Яндекса, пока их владельцы не поменяют пароли

[fetis26]

Сентябрь 2014 историки назовут «Месяцем Великих сливов»

[vlivyur]

Жаль к ящику, заброшенному 10 лет назад, не выложили пароля.

[NSA]

$ echo "$( grep -P ':1234(?:5(?:6(?:7(?:8(?:9)?)?)?)?)?\s' ./1000000\ yandex\ accounts.txt | wc -l ) $(cat ./1000000\ yandex\ accounts.txt | wc -l) " | awk '{printf("%2.2f%%\n", $1 / $2 * 100)}'
4.91%

А это же почта, которую люди должны хранить как зеницу ока…

[merlin-vrn]

Кому должны? Людям почта, вообще говоря, нахрен не нужна. Они ей пользуются один раз в жизни — чтобы вконтактик зарегать. И всё на этом.

[NSA]

Вконтакт, вроде, просит только номер телефона. Я думаю, что даже те, кто не пишет письма, те используют почту для регистраций. А в этом случае легко можно скомпрометировать какие-то личные данные. Только не все это понимают.

[merlin-vrn]

ну вконтактик здесь было нарицательное, собирательно обозначающее все сервисы, требующие указания емейла

Да, почта большинству не нужна фактически больше ни для чего, кроме регистраций — вконтактики и прочие твиттеры её функционально заменили.

[YaQ]

Мой угнали. На ящик последние 2-3 года ходил только с мака. По ссылкам из почты для смены пароля никогда не переходил. Ящик был старым: более 5 лет, использовался как временный, в основном. Проверялся регулярно через сборщик другого почтового сервера. Пароль был не сложный, но и не простой.

Есть подозрение, что имэил угнали с какого-то популярного сайта. Грешу на rutracker — там пароль совпадал с паролем к яндексовой почты и емэил тоже соответствующий, только тогда вопрос почему именно Яндексовые?

[Ivanhoe]

только тогда вопрос почему именно Яндексовые?

Да вот не только.

[YaQ]

Это только ящики, паролей меньше и качество аккаунтов ниже. В списках нету ни одного gmail

[Haoose]

В списках нету ни одного gmail

Уже есть…

[Bagow]

Промазал…