Pull to refresh

Comments 592

Только что столкнулся с тем же! Пароль поменял но уверенности нет.
Мобильное устройство Португалия (81.193.41.161)
Проверяете почту только через веб-интерфейс? По SSL? Включён ли POP3/IMAP в настройках?
Только через веб-интерфейс. IMAP включен.
Может кейлоггер поселился в вашем уютном ПК?
На службах гугла, привинченных к домену, пока все нормально.
UFO just landed and posted this here
Если пользуетесь оперой мини — обязательно жмите выход в почте! Заходишь оперой мини на mail.ru и хоп, ты залогинен под чужим мылом. Такое случалось, по крайней мере раньше, постоянно. Особенно в Opera Mini Mod, т.к. там можно изменять хэш пользователя.
криво сделанный кеш в опера-турбо?
Нет, Ubuntu 10.04 Lucid Lynx только что проверил почту, тоже саме присходит и у меня. Отправил всем письмо с предупреждением, это единственное что я пока могу сделать…
А мне пришло от знакомого три письма без темы со ссылками ShilaTimpson8668.co.cc, JaylaPeers4802.co.cc и CullenSenn9199.co.cc (настоятельно не рекомендую туда переходить).

Из интересных моментов — в каждом письме внизу есть подпись, которая задается через интерфейс Gmail, т. е. такое впечатление, что отправлялось скриптом, эмулирующим браузер.
Вау, на второй странице со входящими нашел еще два письма от других людей с аналогичными ссылками. Похоже, это массово.
зашел по последней, перекинуло на mrapgyan.net
и пишет:

The requested URL could not be retrieved
While trying to retrieve the URL: mrapgyan.net/
The following error was encountered:
Access Denied.
Не подгрузился ли в этот момент микро-флеш размером 1x1 пиксель и не использовал ли он уязвимость флеш плеера? Никогда не стоит переходить по таким ссылкам.
1. не подгрузился
2. flash bllock стоит и блокирует весь флеш
3. ОС — Linux
4. Юзер от которого запущен был браузер — тестовый (это уже опционально ))
UFO just landed and posted this here
у флеш-плеера под Linux уязвимости примерно те же, что и под другие системы.
У FF могут быть уязвимости в javascript,
В браузере даже тестового юзера могут быть сохранены полезные куки и даже пароли.
По таким ссылкам — разве что wget'ом :)
На этом домене даже NS-сервера не заполнены
И так господа то что приходит реально в голову как это работает…

в почту приходит ссылка с коротким «урл» человек нажимает на ссылку в сайте содержится
вредноносный ява-скрипт, который делает черную работу…

на линуксе вроде не заболел… пример такого сайта

paste-it.net/public/d5bdbb3/ пример сайта который приходит почтой…

Для этого гугл должен пропускать такие ссылки. Только что проверил, ссылка в письме вида <a href="javascript:alert(1)"> не работает.
потому что код на сайте, на который ведёт ссылка.
Я не думаю что у гугла пройдет межсайтовый скриптинг, от него довольно легко защититься, есть как минимум два надежных метода.
Я не думаю что вы понимаете о чем пишите.
Жертве посылается ссылка, самая простая ссылка, а перейдя по ней, не на сервере гугла, а на сервере злоумышленника, находится набор эксплоитов под браузеры и плагины.
Я пишу совершенно о другом, и понимаю о чем. Ну может быть и так, хотя люди пишут что пользуются надежными обновленными браузерами. Если бы так было просто, то вообще заходить на не проверенные сайты было бы очень опасно.
В сети периодически всплывают 0day уязвимости не только в браузерах, но и в различных плагинах — acrobat reader, java, qucktime, realplayer — это наиболее популярные что были в последнее время. Живут они мало, но в период отсутствия патча (от неск. дней до месяца обычно) в сети действительно опасно ходить на непроверенные сайты. Да и на проверенные опасно, поэтому на сайтах, посвященных сетевой безопасности выкладываются экстренные рекомендации по «патчу» уязвимости, зачастую простым отключением этого компонента.
А люди всегда пишут «у меня самый защищенный компьютер, самая защищенная ось, обновленный антивирус, да я как в танке». Но в разных странах от 5 до 30% траффика уязвимы, а это те же самые люди.
На этом сайте единственная подозрительная вещь — скрипт от http s7.addthis.com /js/250/addthis_widget.js#pub=karttofel — скрипт мало того, что сжат, так и содержит странные вызовы типа postMessage() — возможно какой то новый експлойт.
В смысле, експлойт, использующий уязвимость в плагинах к Хрому, насколько я знаю, именно там используется postMessage(). Очевидно, взламывается какой то плагин к браузеру и он ворует куки/access token на gmail. Возможно, плагин для проверки почты?

UFO just landed and posted this here
А от какого слова слово «Пароли»?
UFO just landed and posted this here
«Будешь себя плохо вести — отдам третьим лицам, чтобы пороли подбором!»
UFO just landed and posted this here
Третьи лица берут пороли и идут грабить корованы.
Gmail больше всех почтовиков доверяю, за всё время использования (1,5 года) не разу не ломали. Может троян Вам кинули?
Вы не представляете как я доверяю Gmail и Google в целом. С удовольствием пользуюсь их сервисами.
И да — за 5 лет пользования Gmail'ом меня тоже ни разу не ломали. Поэтому я в легком шоке и пишу здесь.
а не может быть связано с использованием Wave?

У кого обнаружены левые входы, все юзают Google Wave?
Я как только зашел в аккаунт wave сразу получил такое письмо
отвечу за себя:

не использую, левых заходов не обнаружено.
использую Google Wave, левых заходов ни разу не заметил
Мне пришла пара таких писем от людей, с чьими гуглоаккаунтами контактировал только по вейву.
UFO just landed and posted this here
Хорошая идея :) только вот фемИнистический
Клевета. Сама пострадала от фактически иидентичного взлома несколько дней назад. Теперь уж не знаю, положено ли по какому-то негласному этикету извиниться (за недосмотр) и объясниться перед важными контактами, которым ссылка успела быть отослана…
может, лучше написать в google?
UFO just landed and posted this here
Меня тоже за 5 лет не ломали. Вот первый раз…
UFO just landed and posted this here
Смотря что доверять. Личные и корпоративные данные — пожалуй не стоит.
А вот доверять качеству предоставленной услуги, шифрованию, до этого случая сомневаться не приходилось.

Это как с зарплатой, ее можно доверить постороннему (банку), но редко кто хочет доверить жене :)
UFO just landed and posted this here
ох, забыл поставить <юмор></юмор>, теперь заклюют. :)
UFO just landed and posted this here
пять сумок это совсем немного, как бы глупо это ни звучало.
Зато банки могут в одностороннем порядке поменять условия договора в неприятную для клиента сторону (например ввести процент на пополнение счета) =)
Ерунда, не могут. Как прописывается в любом договоре любого солидного банка, в одностороннем порядке условия можно менять только в положительную для клиента сторону (увеличение процентов по депозиту и прочее). А если в договоре такое прописано, что могут менять в плохую сторону — так это не банк, а шаражка.

Имхо.

Да, и читаете договоры два раза, а мелкие шрифт и примечания к ним — три ;)
UFO just landed and posted this here
Первобанк, например. Поймите, это — норма. А вот изменение условий без уведомления — это лохотрон. Это то, за что можно получить иск в суд. А при большом количестве исков — проблемы с лицензией (ну дада, с поправкой на Эту Страну — можно потерять бабло на непредусмотренные вещи)
UFO just landed and posted this here
за все время использования gmail.com, yandex.ru и даже когда-то mail.ru и rambler.ru — ни разу не ломали )
все еще впереди)
Мне очень многие знакомые говорят мол «а я даже антивирусом не пользуюсь, и ничего, меня не ломают» до того, пока не взламают. А потом на форумы публикуют темы «Меня взломали, что я делал не так? Памагите плиииз»)

я тоже часто аккаунты не теряю, но никогда не стоит забывать о безопасности :)
А сколько мудил вокруг, которые пользуются антивирусом и при этом их имеют в хвост и в гриву, не обращали внимание? Антивирус сегодня это «пшык», не более. Пошарьтесь по андеграунд-форумам, полюбуйтесь, как каждый день сотни киддисов за бабосы ныкают свои нагенеренные поделки от 90% популярных АВ.

Есть у тебя АВ или нет — единственное что тебя спасает и будет спасать — твоя голова.
я не на винде
в линуксе не такая необходимость иметь антивирус, как в винде
Пользуюсь обеими ОС, сижу без АВ вообще. Лет 12 уже. Ни одного инцидента при достаточно активное e-жизни. Относительно nix согласен.
я не отрацаю факта, что если антивирус есть — вы безопасны, но всему свое время
может мне с продуктами от microsoft не везет, но вот только недавно поставил винду чтобы сделать лабы, где без windows не обойтись, зашел в инет глянуть мануал — уже все виснет, ничего не работает
мне спокойней на nix, без глубоких знаний в области информационной безопасности
Наоборот, стоит начать отрицать тот факт, что есть антивирус есть — вы безопасны. Вы ни хрена не безопасны :)

А глубоких знаний и не надо. Что если мы речь заведем не о малваре в формате standalone application, а о различных триках, которые проворачивают не дропаясь в систему вообще? Тут и nix и win пользователи абсолютно равны.

Тот факт, что вы при первом же выходе подхватили заразу (вероятно) не делает вам чести. Без обид. Уровень необходимых базовых навыков для выживание на e-просторах значительно вырос за последние годы и если вы хотите двигаться в IT-плоскости, вам стоит поднять свой skill.
спасибо, буду всем говорить чтобы не ставили себе на винду антивирусы, от них они станут не такими уязвимыми)

кто б мог подумать, что у винды, при первом же выходе в интернет все настолько запущено, что из коробки можно сразу подхватить заразу)
Брррх. Вы выбрали не джедайские способы холивара. Да, дела обстоят не самым лучшим образом в силу многих причин. Да, на данный момент вероятность словить вредоносный код из-под «винды» значительно выше. Да, «в коробке» тоже не все так гладко и на это тоже достаточно много причин.

Установив Windows Vista/7, обновив систему и установленное ПО (тот же reader, java & etc), не вырубая UAC, даже оставаясь на IE8 — не попадете в беду, находясь в Интернете, достаточно долго, если за машиной не полный идиот, конечно. Да, я так считаю.

Но ведь если вы себя как обезьяна с гранатой будете себя вести из-под nix, будет аналогично достаточно плачевный результат, согласитесь?
Это способ закончить то, что нельзя закончить. В любом случае решить какая ОС лучше, не удасться. И тем более, я не ставил себе задачу сделать это. Я пользуюсь тем, что мне удобно, и тем, что доставляет мне гораздо меньше проблем. Я не агетирую вас доказывать какая винда хорошая с точки зрения безопасности, мне это не нужно. Я привел лишь небольшой пример, что, видимо, вас задело.
Я остаюсь сидеть под линуксом, вы под обеими ОС и не будем холиварить не по теме.
Мну и так старался избежать сравнения ОСей, разговор то совершенно о другом. Если вы адекват — то все будет нормально, в не зависимости от того какая у вас ОС, какой антивирус и какая стенка (в большинстве случаев). Если же вы не контролите себя в простейших моментов — все будет хреново, опять же в независимости от окружающей среды.
Периодически появляются замеры времени жизни непатченной Windows. Речь идет о минутах — 10-30, в разное время у разных версий. Неутешительные результаты.
Если компьютер [с windows] подключен к интернету, он должен быть обновлён. Смысл разбирать «непатченный windows»?
Должен обновляться*, не так выразился.
Проверяется решение «из коробки». Вполне возможно, таким нехитрым образом тестировщики намекают пользователям, что, мол, нелегальные версии Windows, отлучённые от Святой Церкви update.microsoft.com недолго протянут в онлайне.

За прошлое высказывание у меня уже "—1". Кому-то не понравилось. :)
И это нормально. Потому что обнаруживается дыры, на них выпускают хотфиксы, которые надо скачать (имхо все же не самому первому, но побыстрее).

К слову, в линукс так же. Любой завзятый сторонник линукса скажет вам, что сила, которую дают огромное комьюнити и открытый код — как раз очень быстрая разработка заплаток. Но если вы не обновляете критические патчи (не проверяете их наличие) хотя бы раз в 2-3 дня, они вас могут не спасти.
К слову, я не имею ничего против обновлений операционной системы семейства Windows.
До этого места всё равно никто не дочитает: но, «взломали» вас или нет, сейчас же зайдите в гуглопочту, снизу «дополнительная информация» — сбросьте авторизацию на всех компьютерах и смените пароль.
Всегда ваш, Здравый Смысл.
В том и дело, что каналы у всех разные, и поставив винду обновляться, можно и не успеть это сделать за отмеренные ботами 10 минут…

Несколько раз так уже было — запускаешь Windows Update на только что поставленной системе — и к концу уже 3-4 свежих червя копошится.
Как человеку, пытающему во всём найти рациональное зерно, дико звучит самозаражение машины без внешнего айпи. Разве что по локалке, да и то непонятно, как это делается без действий пользователя. Опыт использования 7 вообще развращает донельзя.
А человеку же, которого, как первого кампутерщика на деревне, зовут посмотреть любую поломку компьютера или кофемолки, и видевшему немало убитых в ноль XP и вист, уже ничего, связанное с windows и червями, диким не кажется.
Кажется, я переборщил со сложностью предложений.
UFO just landed and posted this here
UFO just landed and posted this here
Разве при установке по умолчанию не предлагается сразу включить фаервол?
Не предлагают — он просто включен по умолчанию. =)
Даже не знаю =)
Как раз недавно купил новый ноут — и брандмауэр в Висте был включен «искаропки».
Проблемы с заражением системы просто из сети давно не видел, но во времена Windows XP SP1 достаточно было подключиться к сети (настроить сеть) и через несколько минут появлялось окошко о том, что компьютер будет выключен и начинался обратный отсчёт времени (название вируса не помню), на обновление системы времени не хватало (потом с другого не заражённого компа пришлось нести патч).
UFO just landed and posted this here
Поднять свой скилл. Ага. Можно подумать, что под виндой есть способ 100% избежать заражения, исключая способы вроде «запретить доступ ко всем сайтам кроме 5 доверенных» или автоматический сброс системы к стартовому без перезагрузки :).
Будет интересно ваше мнение, как можно защитится.
Однозначно знаю, что (под виндой), пользуюясь популярным файрволом и каким нибудь антивирусником, с браузером не ИЕ, со всеми обновлениями на все, ходя по доверенным сайтам можно все равно получить вирусняк на комп. И ладно бы он засветится, а может быть просто тихим троем :(
захотят — сломают, и антивирусы не помогут… тут вопрос — а надо ли?
раз это массово и недавно — вряд ли это связано с вирусами, имхо, это действительно какая-то недавно обнаруженная дырка гмейла… хотя, всё возможно.

p.s. у меня нет подобных писем, и wave'ом не пользуюсь
Почти на всех порталах, которые вы перечислили, есть критические уязвимости. Просто не все о них знают…
Какая уязвимость gmail.com могла стать причиной произошедшего?
вы так говорите как будто я их сотню перечислил
Вы перечислили 4. На 3 из них существуют серьезные уязвимости.
На которых трёх, если не секрет?
Мне как раз пришло письмо от человека из контактов со ссылкой на ***.co.cc
Да, я тоже. Похоже проблема носит массовый характер.
И мне пришло. Причем массовой рассылкой с мыла хорошего знакомого, кроме меня еще человек 10 получило
Дык, мало того что пришла такая ссылка. Так еще и рейтинг WOT (Web of Trust) у нее очень высокий, поэтому я перешел, хотя редирект произошел на неработающую веб-страницу…
100% Пользователей пользуются интернетом. Опрос проводился в интернете. Вот знать бы сколько от всех пользователей попало на эту штуку, тогда вернее можно было бы сказать о массовости. Например у меня пока что всё ровно. Посмотрим что будет дальше.
Что то тут не ладное! Мне тоже только что пришло.
и мне пришло от хорошего знакомого
Аналогично, пришло письмо от человека, который не станет лазить по порносайтам, запуская «большие сиськи.ехе». Не знаю что и думать.
UFO just landed and posted this here
Аналогично. Поставил новый пароль. Странно это все.
Mobile Portugal (41.221.202.5) 1:10 pm (16 minutes ago)
Хром используете с плагинами? Плагин для проверки Gmail?
Использую ФФ. Почту проверяю через: веб интерфейс с домашнего, громоптицей через имап на работе и через андроид встроенной возможностью.
Я тоже сменил пароль сразу. Но чувствую, что нашли какую-то неизвестную уязвимость.
Т.к. один знакомый-адресат которому ушло одно из писем, сообщил мне, что получил ещё два похожих письма от других gmail-аккаунтов.
У них же стремный саппорт, напрямую не достучишься. Форумы все какие-то и справочный центр
вопрос к тем, у кого залезли в акк, а вы часто пользуетесь веб-интерфейсом? Или же все время по поп3 берете почту?
Я только веб-интерфейсом и imap (iPod Touch). Никогда POP3.
Пару дней назад поставил Opera на айпод и зашел с не, через веб-интерфейс.
Может быть это и был этот вход с оперы мини через её сервера?
Письмо отправлено в 7:33, а вход с неизвестного ip был в 7:34.
С другой стороны письмо отправлено 4 часа назад, по данным гмейла, в вход был 2,5 назад. Но это можно объяснить тем, что автор делал скриншоты в разное время
Да, смотрите коммент выше, наверняка из-за оперы. Ничего против оперы не имею, но сам логинился на mail.ru под чужим акком
Проблема не в веб-интерфейсе. Я им не пользуюсь вообще (только The Bat) и у меня тоже сегодня утром пришло штук 15 вернувшихся писем.
Почту проверяете только через веб-интерфейс? Никакими приблудами не пользуетесь? Ну и не забывайте про бэкдор.
UFO just landed and posted this here
UFO just landed and posted this here
Великобритания, мобильный телефон, 9 часов назад.
чем это выкурить?
Почту проверяете только через веб-интерфейс? Никакими приблудами не пользуетесь?
вебморда, не релогаюсь неделями (до ребута)
1. Состояние: POP включен
1. Состояние: IMAP включен
Надо было полгода назад и чёт влом было выключить…
В отправленных откройте спамерское письмо, «Показать подробные сведения», заголовок «отправлено через».
Безопасность соединения: Использовать только https
FF последний.
Вкладка всегда открыта. Сейчас на WIN XP SP3 со всеми доступными обновлениями был, файрвол (KIS) ни слова не сказал, сканеры на вирусы бесплатные ничего не нашли
хм… у себя тоже обнаружил о_О:
Мобильное устройство Сербия (188.2.236.108) 14 апр. (3 дн. назад)

пароль не из легких, нигде не светил, в соц сетях не состою, ни с кем не общался ни на что подобное, контрольные вопросы всегда левые с чертзнает чем внутри, троянов нету, да и вообще и дома и на работе Linux, все чисто репозитарное, ничего левого не запускалось.

это у гугла походу есть дыра где-то.
и да, почту только через вебфейс проверяю, ничем другим не пользуюсь
вебфейс через HTTPS онли настроен в опциях гугла.
UFO just landed and posted this here
поп был включен, он по дефолту такой просто походу, я его не менял. Все точки были не активированы и только подпись «поп включен», вырубил его на всякий.

но опять же по pop/smtp нужна же аутентификация, а я их не использую очень давно и явно не сниффером ее с меня снимали.
UFO just landed and posted this here
Скорее всего так и есть — у меня сломали аккаунт с включёнными IMAP и POP, со сложным паролем. На аккаунте, который светился гораздо более, но с отключённым POP/IMAP — никаких признаков активности.
тогда через поп, имап отрублен был
У меня тоже был включен POP как оказалось (для телефона)
POP3, вебморда крайне редко. Аккаунт чист.
Jea***Revoir5215.co.cc — от знакомого администратора… что-то творится…
UFO just landed and posted this here
Да это же обосцацца прикол. Все бегом плюсовать, чтобы не показаться тупыми.
Я не буду минусовать, но расскажите, в чём прикол? А то я тоже не понял.
UFO just landed and posted this here
Стоило добавить, что это реклама от Яндекса.
UFO just landed and posted this here
Реклама рамблера, от яндекса в теме про gmail. Наверное у меня сегодня просто настроение хорошее, отличии от других людей :)
А вообще, если честно, я удивлён. Конечно у гугла не всегда всё было гладко, но с gmailом (на моей памяти) такое впервые. С моим аккаунтом, славу богу, ничего, но 3 письма мне пришло.
А точно ли виноват gmail? может где-то в других сервисах гугла авторизация без Https проходит?
Самое забавное, хоть 14 числа и есть этот доступ, но отправки писем не было, нету деливери мессаджей и в отправленных тоже пусто за этот день, кроме моей переписки.

Возможно дело в том, что у меня гмейл 24/7 почти онлайн?
UFO just landed and posted this here
Было или нет, тут никак не улавливается связь с оперой.
хех… только если «Opera mini — официальная крякалка гмейла», так как взламывают тех, кто ею не пользовался и не пользуется. Если б наоборот — вопрос можно было б рассмотреть, а в таком направлении уязвимость у гмейла получается и чем ее эксплуатируют уже не важно.
UFO just landed and posted this here
UFO just landed and posted this here
<irony>
а тут недавно и opera под ифон зарелизилась, и куча скачиваний было
не связано ли? :)
</irony>
Я примерно помню, в чем там суть была. Это была опера мобайл, когда она еще была платной. И, как я понял, при покупке там в ней генерируется какой-то особый ключ авторизации. Но если этот человек где-то выкладывал ее, то с точки зрения сервера оперы мобайл все заходящие с этим ключом — один и тот же человек, и соответственно кукисы делились одни на всех.
только что отключил поп и имап, но никакой активности странной небыло.
Получил письмо такое от друга, но мой не ломали, хоть и POP и IMAP были включены.
Я все же склоняюсь мысли о трояне.
*На всякий случай обновил антивирусные базы
Отключите ещё POP и IMAP, на всякий случай.
Вы считаете, что актуальные антивирусные базы — это признак паранои?
А я считаю, что актуальные антивирусные базы — это миф. И вообще, антивирусные базы сигнатур — пережиток прошлого.
Отнюдь. А отключить POP и IMAP я рекомендую всем — опрос показал, что у всех взломанных было включено либо первое, либо второе. Почитайте коментарии в этом топике.
POP выключен. IMAP включен (пользуюсь с мобильного). Оперой мини пользуюсь, но не для почты. https включен. пароль сгенерированый, 14 символов. Пока всё чисто. Может POP|IMAP в связке с чем-то?
полезная цитата из вашей ссылки

There's no reason to assume the compromise is anything other than at the account level.

If your account has been compromised/hacked/stolen you will need to check and fix at least all of the following settings.

But first you need to check the bottom of the Inbox and make sure your account is not open at any other locations. If it shows additional locations, open the Details window and «Sign out all other sessions».

Account Security:
Settings -> Accounts and Import -> Google Account Settings -> Change Password [pick a new secure password]
Settings -> Accounts and Import -> Google Account Settings -> Change Password Recovery Options [verify secret question, SMS and recovery e-mail address]

Potential Spam:
Settings -> General -> Signature [make sure nothing as been added]
Settings -> General -> Vacation Responder [make sure it's disabled and empty]

E-mail Theft
Settings -> Accounts and Import -> Send Mail As [make sure it is using your correct e-mail address]
Settings -> Filters [no filters that forward or delete e-mail]
Settings -> Forwarding and POP/IMAP -> Forwarding [disabled or correct address]
Settings -> Forwarding and POP/IMAP -> POP Download [disabled]
Settings -> Forwarding and POP/IMAP -> IMAP Access [disabled]

Additional Information
Keeping account secure: https://mail.google.com/support/bin/answer.py?hl=en&answer=46526
Protecting your account: https://mail.google.com/support/bin/answer.py?hl=en&answer=29407
More account security info: www.google.com/help/security/
If your account is compromised: mail.google.com/support/bin/answer.py?hl=en&answer=50270
Someone using your address: mail.google.com/support/bin/answer.py?hl=en&answer=50200
Google Employee comments: www.google.com/support/forum/p/gmail/thread?tid=560d53dee40be5e6&hl=en&start=70
… и у всех отписавшихся там — Firefox. Кого взломали, чем пользуетесь? У меня Хром, пользуюсь мобильным клиентом, веб интерфейсом и IMAP — на обоих аккаунтах всё ок.
Я пользуюсь Хромом (веб-интерфейс) + imap (моб. устройство)
Плагины к Хрому юзаете? Юзаете девелоперскую версию, включаете всякие расширения?
UFO just landed and posted this here
Это ничего не доказывает и не опровергает.
хром, linux, мобильным устройством не пользуюсь, pop был включен, imap — выключен
Хромиум, линукс, Opera Mini пользуюсь, имап и поп были включены, активности не было, но письмо пришло от друга. Подозреваю что виндузятнигов поломали????
Читайте внимательно. Поломали всех подряд.
POP и Imap включены. Firefox. Linux.
Ничего не приходило мне и от меня не уходило.
Как в гмыле, так и на домен привязанный к гмылу.
POP, IMAP отключены, пользуюсь только вебмордой, Chrome 5.0.375.3 dev, Ubuntu — оба аккаунта (gmail и почта на домене в службах) чистые. Мобильных устройств у меня нет.
И ссылки подобные пока ни от кого не приходили.
По идее, если хотите найти зависимость надо учитывать только софт тех кого взломали. Если у вас все в порядке — это не значит что у всех с этим софтом все в порядке, может просто до вас очередь еще не дошла. :)
Это если от софта вообще зависит что-то в данном случае…
Мне вот пришли письма от знакомого (но реально адрес другой), в которых была ссылка на LibbieThorngren0317.co.cc

свой аккаунт проверил, всё нормально вроде.
Тоже столкнулся с таким сегодня, только в роли получателя письма. весело
почта через GoogleApps, всё хорошо, поп3 кстати тоже был включен, хотя я его вроде не включал т.к. пользуюсь IMAP
дырка в мобильном интерфейсе похоже, у всех кого взломали взломщики заходили с мобильного устройства?
Нет, все отключено (IMAP и тд), заходил только с веб-морды, но все равно взломали. Уверен, что проблема с самим гуглом.
взломщики заходят с мобильного устройства
Это совсем не доказывает, что дырка в мобильном устройстве. Я больше поверю, что что-то не так с гуглом (хотя и верится в с трудом).
что-то не так с мобильным интерфейсом гугла
просто бот, который заходит на гугл использует мобильный интерфейс, не исключено, что там просто аутентификация для бота чуть проще была.
Пользуюсь штатным мобильным аутлуком win mobile 6, почта проверяется так же thunderbird'ом на компе, и через веб-интерфейс.
имап/поп включены, включена опция использовать хттп/хттпс.
Тем не менее, взлома нет. В списке только россия, никаких спаммерских писем не приходило и без меня не отправлялось.

Так что либо до меня тупо не добрались еще, либо дело ни в хттп/хттпс, ни в поп/имап, ни в почте на мобильных устройствах.
У меня Google Apps for Domain, force SSL, все заходы с моих IP. на всякий случай отключил POP — все равно же пользуюсь только IMAP.
Блин, Вы меня испугали. Проверил у себя — в списке оказалась Грузия. Уже хотел поменять пароль, решил перепроверить по GeoIP. Оказывается, Гугол Tele2 приписал Грузии. Так что надо вручную просматривать.
Хм. Проблемы (пока?) нет. Всегда HTTPS, веб-интерфейс. Либо из Firefox, либо из Opera Mini. POP — включен, IMAP — выключен (дефолтные настройки).
На днях, 15 апреля Google обновил веб-морду для Iphone, возможно при этом задели какую-то security фичу и дырочкой начали пользоваться любители члено-увеличения.
Кстати да, имею привязанную почту, взлома нет.
Мобильным устройством, как я понял, gmail называет любое обращение через API. Потому как вход через гаджет Google Desktop или аддон браузера именуется именно так.
За последние два дня нет ничего подозрительного, а ранее Google истории IP адресов не показывает. Как посмотреть всю историю я не нашел. Может быть кто-нибудь знает как это сделать?
скачал qip2010, при регистрации гтока, он без моего ведома создал аналогичный аккаунт на qip.ru с тем же самым паролем!!!

от греха подальше сразу поменял пароль.
врядли ваш случай, но все же мало ли что
Я вам еще секрет расскажу, они все пароли на серверах хранят у себя ;)
Вчера купил Запорожец, проехал на нем 200 метров, он сломался…
От греха подальше сразу вернул его владельцу и попросил свою тысячу рублей назад.
Вряд ли ваш случай, но мало ли это случится с вашим Мерседесом… :)
Проверил все ящики. На одном в списке оказалось:

Мобильное устройство Сша (68.199.130.213) 8 апр.

Но левых писем вроде не уходило.
У меня pop3 и imap были включены, странной активности небыло, решил перестраховаться и выключил на время.
Когда уже наконец сделают персональную привязку е-мейла, чтоб уж наверняка не увели?
UFO just landed and posted this here
Пароль уникальный, 25 символов, генерированный. POP и IMAP был включен, SSL отключен (странно, включал вроде же). Никаких заходов с чужого IP.
Раньше пользовался еще мобильным клиентом и чем-то, что забирало почту по IMAP, сейчас все только через вебморду. Chome/Firefox, Linux.
Хм, перестало работать расширение нотификатор почты.



Pop и Imap ещё не отключал. Интересно, связано ли это с происходящим?
А, сессии действительно завершил.
Подозрение снимается :)
Писем таких не получал, в истории левых входов не обнаружил.

linux, сижу только через веб-интерфейс, «только https» не стояло, поп и имап были включены. щас отключил, на всякий пожарный)

Пока не улавливаю никаких закономерностей, судя по комментам, ломали и юзеров на линухах оО
подскажите, а где можно глянуть историю и сделать настройки? А то видно где-то я туплю и не вижу.
Снизу ссылка «Дополнительная информация».
У кого не видно этой ссылки, перезайдите в аккаунт, появится.
Опа, прямо массовый взлом, у меня все чисто, pop выключен, ssl включен, imap часто с айфона пользую.
Со времен прошлого топика начал использовать гугл ридер через SSL тоже.

Ждем официальных комментов гугла.
не вижу нигде в настройках как поставть ридер на ssl, подскажи пожалуйста.
все ленты с него читаю и только сейчас увидел что идет по http
такой настройки нет, просто внес в закладки https://www.google.ru/reader
на сертификат правда ругается
вы не тот указали, надо этот https://www.google.com/reader/view
да, спасибо, если .com — не ругается на сертификат
Ругается не на сертификат, а на то, что страницы, которые вы грузите содержат элементы, загруженные не с HTTPS. Это, к примеру, картинки из постов! ;)
Ещё например в плагине One number есть такая настройка — использовать HTTPS.
Со мной то же самое произошло, проснулся от смс-ок «твою почту взломали».
Mac OS 10.5, веб-интерфейс и имап, секьюрный пароль. Так что явно через какую-то дыру (в мобильном веб-интерфефйсе?) эккаунты заполучили.

У меня, кстати, из Польши:

Mobile Poland (89.74.141.89) 11:00 am (3 hours ago)
Хром юзаете? Плагины к Хрому/программы для проверки почты?
Хром юзаю, но в почту через него захожу где-то раз в месяц… Почту читаю через MailPlane и mail.app на айфоне.
pop3+imap отключены, только веб-интерфейс. Состояние: не взломан (пока что?)
Да что ж такое?!?! Я простой, никому не нужный юзер. Я понимаю, что это все ооочень плохо, но БЛИН!!! У меня же стресс! Перепроверил 4,5 гуглоящика, все поотключал (если раньше не было). Я ж теперь спать не буду! То самолеты падают, то вулканы, теперь еще и гугол взломали! Это что, так конец света начинается??
Я так тоже думал, но решил перепроверить )
Я тоже давно думаю, как заставить СТРИМ убрать эти разрывы :) И тут такая возможность подворачивается.
кстати, а скажите, что такое «4,5 гуглоящика»? гугл настолько суров, что позволяет открыть половину аккаунта =)
это означает 2 своих и 3 чужих проверил и поотключал всякие POP3 и IMAP, в некоторых и https поставил. вот.
это означает 2 своих и 3 чужих проверил и поотключал всякие POP3 и IMAP, в некоторых и https поставил. вот.
Внимание, внимание, владельцы взломанных аккаунтов. Пользовались лы вы любой Оперой с включенной фичей Opera Turbo?
Firefox. Следов взлома не вижу, хабровчане, какой у вас браузер? :)
UFO just landed and posted this here
Оперой не пользуюсь совсем
Но! Пользуюсь meebo для чата через гугловский джаббер, а так же ещё парой программ: fring и nimbuzz — они все знают пароль от гуглопочты :(
вполне реальный косяк, который уже всплывал — кэш браузера попадает к другим пользователям Opera Turbo…
Пользовался, с мобильного телефона, при этом был залогинен в почте, но не входил в нее.
Однако, не взломали. Правда пришла ссылка от знакомого, с высоким рейтингом WOT, по которой я легкомысленно перешел, но был сделан редирект на несуществующую страницу, поэтому вроде пока все в порядке. :)
Опера на компе есть, но гуглопочту через нее никогда не открываю. Это имеет значение?
Судя по всему — браузер не имеет значения. У всех взломанных аккаунтов был включён доступ по POP или IMAP.
Судя по отзывам, к данному конкретному инциденту Опера отношения не имеет.
OMG. Ну, конечно, вот и разгадка! У вас на компе была установлена Опера, которую вы ни разу не запускали. Именно она и взломала ваш ящик.
У меня ничего не взломали, представляете? Я об этом уже дважды написала в разных комментах.
Оперу не люблю, и если выяснится, что в ней есть дыры — снесу не задумываясь, для тестирования сайтов можно и browsershots использовать.
«Внимание, внимание, владельцы взломанных аккаунтов», написано жирным шрифтом в комментарии, на который вы дали ответ.
IE 6. Следов взлома не вижу, хабровчане, какой у вас браузер? :)
Закройте окна, двери, отключите компьютер от сети, проверьте чулан, опустите крышку унитаза и ждите комментариев гугла.
… удалите Оперу, с которой вы ни разу не заходили на Gmail
(продолжая список нелепых вещей, которые можно сделать в данной ситуации)
Пользуюсь и веб мордой и автосборщиком писем и pop imap. пароль 14 символов где то. никаких следов взлома не вижу, только мои адреса и только я :)
UFO just landed and posted this here
возможно баг с сессиями, поскольку весь траф идет через их «сжимающие» сервера
А ведь когда-то уже было такое. Когда люди массово качали модификацию оперы-мини с неофициальных серверов.
Не похоже на взлом. Больше выглядит как «лазейка».

У самого чисто (https only, привязка к мобильнику, секурный пасс, ff 3.6 [win])
А как можно «привязать к мобильнику»?
UFO just landed and posted this here
Спасибо.
Но чем это поможет? Я так понимаю лишь усложнит (для взломщика) процесс смены пароля.
ну я даже не знаю… видимо, вся соль защиты в том, чтобы усложнить именно взломщику жизнь процесс смены пароля — чем не помощь?
мне кажется чтоб как то разобраться в том что происходит и где зарыта собака, было бы не плохо чтоб писали кто чем пользуется (браузеры) и что у кого включено. может по этой статистике будет что то ясно.
windows 7
ff 3.6.3 (noscript)
gmail webinterface ssl
imap iphone
pop3 был включен
Debian SID
FF 3.5.8 (хотя не помню когда им ходил последний раз) / Chrome 5.0.307.11
gmail webinterface ssl
больше никак
pop3 был включен
Напишите тогда список расширений, особенно если это Gmail check plugin.
Проверил ящики все чисто. Ящики на GApps тоже. POP отключен, IMAP включен.
В пределах 3,5 часов подозрительных логинов нет. Раньше посмотреть не могу, т.к. показываются только 5 последних действий. Подозрительных писем в отправленных нету. Пользуюсь только IMAP.
так а что спамят-то?

какие письма приходят? какая цель рассылок?
ссылка на заабуженный сайт с фармой
Чёрт, по-моему я лох, раз не взломали мой гмейл акк :(
аналогично
на Google Apps все тихо, хотя и спамят в папочку Spam
Я так вообще лакомый кусочек должен быть: винда, гмэил нотифер на лисе, поп был давно и по дефолту включен (сейчас вырубил).
Но ни от меня спама, ни ко мне (если не считать обычного старого-доброго «Прочтите, это не спам!»).
«Тебя не взломали? Просто ты никому не нужен; даже они тебя игнорируют.»
Посмотрел сейчас — ничего не было. Сам пользуюсь многими плюшками от гугла. Входил с оперы-мини в том числе пару дней назад. Но в системе гымэйла был только я :)
Так зарегистрирован заход в экканут с неизвестного IP-адреса пару дней назад. Простое совпадение? Пароль, как мне казалось, у меня очень мудреный.
Захожу тока через Firefox и десктоп гаджет, и ничего вроде такого!
1) в гмыле есть незакрытая бага, но для таких мелочей ее не используют.
2) 100% тупо затроянили машину и сграбили пароль.
2) Я проверил всю машину, перерыл все процессы, компьютер чист, такое со мной впервые, взломали довольно много людей, скорее всего как-то через открытые pop3 и imap, советую всем отключить их пока.
баг именно в веб-интерфейсе, как я слышал.
ручная проверка машины вам ничего не даст, посмотрите лучше, нет ли перехатов в SDT с помощью какого-нибудь руткит-хантера
проверил, результат нулевой.
судя по комментам ниже — похоже все-таки всплывает какая-то уязвимость в сервисе.
крайне распостраненное заблуждение продвинутых пользоватеоей, что они способны обнаружить любое вредоносное ПО «вручную» «перерыв процессы», «просмотрев реестр» и прочее-прочее.
2 исключено, Debian, софт из репозиториев, ничего антрастед не ставилось и не запускалось. Судя по ветке на форуме гугла, клиент тут ни при чем, где-то у них в АПИ дыра или еще где.
посмотреть бы еще на сорец письма.
какого? у меня не было писем и спама, деливери тоже, у меня только запись мобильного входа в логе.
интересно, почему у некоторых были письма, у некоторых не было.
у вас список контактов не пустой, случаем?)
Да нет, «Мои контакты — 18», «все контакты 236», 20 самых популярных, правда всякие группы «друзья»,«семья» и т.д. пустые, все в общих.
MIME-Version: 1.0
Received: by 10.239.143.141 with HTTP; Fri, 16 Apr 2010 21:33:18 -0700 (PDT)
Date: Sat, 17 Apr 2010 07:33:18 +0300
Delivered-To: mihail.b@gmail.com
Message-ID: <y2ld51bfe5d1004162133xc821ad71w6cd942a1077643b9@mail.gmail.com>
Subject: 
From: =?UTF-8?B?0JzQuNGF0LDQuNC7INCRLg==?= <mihail.b@gmail.com>
To: ***@inbox.lv, ***@gmail.com, 
	***@unsub.dotnews.ru, ***@macrohosting.ru, 
	***@lage.lv, ***@nic.lv, ***@yandex.ru, 
	***@apollo.lv, ***@linstow.lv
Content-Type: text/plain; charset=UTF-8

http://ShanellTotman4011.co.cc
да, вот и думай тут.
ссылка, как я понял — редирект на какой-то заабуженный сайт. что-нибудь вроде фарма-партнерки.
MIME-Version: 1.0
Received: by 10.204.121.72 with HTTP; Fri, 16 Apr 2010 23:44:11 -0700 (PDT)
Date: Sat, 17 Apr 2010 10:44:11 +0400
Delivered-To: pavel.finkelshtein@gmail.com
Message-ID: <h2xb4280be51004162344v11a63570iae61f9df7bdb0c74@mail.gmail.com>
Subject:
From: =?KOI8-R?B?8MHbwQ==?= <pavel.finkelshtein@gmail.com>
To: misterfix@ail.ru, tsd@asus.com.tw, vovic@formatek.ru, vlublenkaus@mail.ru,
vshe2007@yandex.ru, web.master@gask.ru, web.tyoma@gmail.com,
webmaster@yandex.ru, xen.email@gmail.com, support@maps.yandex.ru
Content-Type: text/plain; charset=KOI8-R
Content-Transfer-Encoding: base64

aHR0cDovL0NhcnNvbldlbGNvbWUzMDQ5LmNvLmNjCgotLSAK6dPL0sXOzsUg18HbLgo=
Я стараюсь после использования внешних сервисов а-ля Вкантактэ, где просят ввести пароль и обещают, что не будут его использовать — всегда поменять пароль на аккаунт…
Себе дешевле!
Китайские правительственные хакеры мстят гуглу )
Интересно. Проверил активность за последнее время, ко мне не через мобильное устройство ходили со Швейцарии, а через «Канал Atom» как говорил гугл. Просто замечательно.
Никто не в курсе как можно через «Канал Atom» проверять почту?
https://USERNAME:PASSWORD@gmail.google.com/gmail/feed/atom
Это вход в Google Reader показывается.
Тоже заметил активность в Атоме.
У меня через него работает гаджет для рабочего стола windows 7
193.189.143.*?
Все нормально, у меня так netvibes конектится в гмейл.
помню, у меня когда-то машину угнали с документами и чемоданом денег
да фигня, купил новую и забыл
Да при чем тут угнали? Мне пришел спам я его пометил как спам и все. Разве вы не так поступаете?

После заглянул в Activity и Sent Mail, ничего подозрительного не заметил. И да, да я забыл!
У меня произошло тоже самое вчера, мобильно устройство США, сменил пароль, отключил pop и imap, утром пришли письма со спамом от еще пары знакомых.
Понимаю, что один я не показатель для статистики, но учитывая общую тенденцию отпишусь:
Браузер Firefox захожу по https, а так же через OperaMini. Полет нормальный, все чисто.
Кто-то из взломанных sync'ает контакты мобильного с гугло-акком?
Судя по комментариям большинство не синхронизирует контакты с мобильным, поэтому вряд ли в этом дело.
интересненько.
Итак, промежуточные выводы:
— чаще (всегда?) ломали тех, кто заходит в Гугл через мобильные устройства;
— совсем недавно Гугл сделать XOauth-аутентификацию при отправке почты через SMTP;
— скорее всего, это не баг в настольном браузере;
— вероятно, уязвимость даёт возможность только отправлять почту от имени других пользователей, и больше ничего.
Я всё-же подозреваю, что это какой-то баг. Возможно, в сервисе, в котором вы через Гугл авторизовались.
а как же рассылка на реальные имэйлы, которые были в контактах или на которые уже отправлялась почта?
я этот момент упустил. Ну тогда да, есть также доступ к контактам. Но нет доказательств, что пароль стал известен злоумышленникам. Это всё-таки может быть доступ через API
Первое — не всегда. У меня взломали аккаунт, на который никогда не ходили Оперой или мобильными устройствами.

Почту отправляли, судя по всему, ботом через мобильный интерфейс, а не по SMTP.

К промежуточным выводам надо добавить, что у всех взломанных был включён POP или IMAP.
Было включено и то и другое, после пары упоминаний в твиттере выключил оба сервиса. До этого получил письмо такое же как и все от друга.
Перепроверил комментарии, и увидел, что ошибся:
> у всех взломанных был включён POP или IMAP
Так и есть.
> ботом через мобильный интерфейс
Точнее, пишут, что просто через API скорее всего.
Хабраглюк, там выше выложили исходник письма:
MIME-Version: 1.0
Received: by 10.239.143.141 with HTTP; Fri, 16 Apr 2010 21:33:18 -0700 (PDT)


Таки HTTP, SMTP ни при чём.
Пока версия с багом в OAuth выглядит наиболее правдоподобно. Ещё на гугловском форуме написано о возможной предсказуемости идентификатора сессии:

My assumption is that session id became predictable. In this case it's possible to generate random session ids until google lets you to go without password. That means it's possible to get control over a random account, and not possible to hack into a given mailbox.
The cure is to log out of all your sessions (at the bottom of gmail page there is a link: Last account activity… *Details*) and log out explicitly when you're finished with your session.

Вопрос к пострадавшим: после использования веб-морды GMail вы всегда разлогиниваетесь?
я уже успел везде пароли поменять и антивирусником весь комп проверить

Мобильное устройство Румыния (78.96.92.28) 9:59 (5 час. назад)
Firefox, Windows 7
Windows Vista. Вхожу из разных мест под разными браузерами и разные почтовики и imap и pop3. Пароль средней сложности. Все нормально, признаков вмешательства нет. Ящику больше трех лет.
Может это с google wave связанно? У тех кто как то связан с мылом .co.cc нет случайно акка на wave?
У меня аккаунт в wave есть и в бузе есть, а проблем нет. Да хватит пароноить уже:) Проблема скорее всего у самого google.
Нееее, я не паранойю. :) Просто возникло соображение. Вот и спросил.
Прикольная проблема. А причём тут тогда ссылка .co.cc в тексте сообщения?
wave есть, бузов и прочего нету. Вход ко мне был 14 числа, но спама с меня не было.
Видимо, тут перехват авторизации. Ведь с Opera Mini вы отправляете пароли не напрямую, а через сервера Opera. Злоумышленники, видимо, нашли брешь и перехватили данные. Такая же история, думаю, будет в Opera (для компьютера), если там включен режим Turbo. В данном случае активируется прокси-сервер Opera, на котором тоже может остаться залогиненым ваш аккаунт.
проблема только в то, что оперой тут и рядом не пахнет. Хром и ФФ, линукс, никаких мобайл входов или других клиентов, онли веб через указанное ранее.
Заходил в почту через веб-интерфейс, отслеживал активность фаерволла, пока ходил по ящику. Ничего постороннего нет. В списке — только мои IP. С Opera Mini не заходил.
Я пустил по ссылке веб-скриншотер и вот что он мне выдал:

Как думаете, к чему это?
Мде, паника отрицательно влияет на мой мозг :-) Я не догадался.
Волнуюсь, проверяю, но пока все чисто. Opera 10.51(win), турбо выкл., в основном pop3, изредка https. Совсем недавно заходил через Opera mobile, тестил интернет на телефоне.
Есть Wave, Buz, IMAP включен. На двух ящиках всё чисто, спам в пределах нормы. Залогинен с двух машин — под Debian (FF 3.5.8) и Win XP (Chrome). С мобильных не ходил, Оперой в аккаунт не заходил уже давно.
Вы из LV? Не так давно, такая же ерунда случилось и с моим аккаунтом ;) пароль тоже не простой был, вот я теперь и не знаю о чем даже думать. Аккаунт кстати очень давно не использовал.