Comments 46
Возможно один из источников паролей — локальная подмена днс. Посмотреть бы распределение по территории скомпрометированных ящиков.
UFO just landed and posted this here
Я с самого начала думал именно о подмене DNS, т.к. взлом роутеров и изменение DNS — явление чуть ли не повсеместное. Однако, насколько я знаю, все сервисы Яндекса аутентифицируются по https, и, как заявляли представители Яндекса, в браузер вшит HSTS на их домены, так что я не думаю, что это подмена DNS.
У меня гуглоднс прописаны и на роутере и на локальной тачке и у них приоритет над тем, что выдает роутер и провайдер, Ну и проверка показала, что там все хорошо
UFO just landed and posted this here
Ваш случай и правда непонятный. Если у вас не windows, то это сильно снижает вероятность кражи пароля из системы, но не исключает. Вы уверены, что не светили ящик нигде, даже вот таким образом?
Я не очень компетентен в веб-разработке, но если Яндекс или Хабр хранят хэш пароля в куках, то могли угнать куки и сбрутить хэш(вы говорили что в пароле два словарных слова и цифры). Даже если от хабра были логин и пароль, то могли пару логин/пароль попробовать к Яндексу.
Я не очень компетентен в веб-разработке, но если Яндекс или Хабр хранят хэш пароля в куках, то могли угнать куки и сбрутить хэш(вы говорили что в пароле два словарных слова и цифры). Даже если от хабра были логин и пароль, то могли пару логин/пароль попробовать к Яндексу.
Сбрутить могли банально через IMAP (и так, скорее всего и было), насколько я понимаю (поправьте, если не так) Яндекс от этого никак не защищается.
Я не работаю в Яндексе) По личной инициативе топик написал, т.к. самому интересно было разобраться. Да, скорее всего сбрутили пароль ваш. Ниже подробнее.
Даже если есть защита от количества попыток ввода пароля с одного ip адреса, то для этого есть прокси-сервера. Если защита от количества попыток ввода пароля для одного логина в течении определенного промежутка времени, то при массовом взломе паролей используют сразу много логинов и делают на каждый логин по одной попытке ввода пароля. Даже если к IMAP доступ закрыт, то маловероятно что веб-интерфейс как-то помешает подбирать по такой схеме. Конечно, может быть защита, которая будет это все отслеживать и блокировать прокси-сервера, но конкретно в данной ситуации я не знаю как у них устроено.
Посмотрел ваш пароль, по-моему он не очень сложный. Два раза используется одно и то же популярное слово в нижнем регистре и 3 цифры. Это слово в английской версии по отдельности вообще в топы паролей попадает. Думаю, что маска пароля %Word%Number%Word(где %Word — популярное слово из словаря, %Number — 1-4 одинаковых цифр) достаточно популярна у взломщиков и вообще среди всех паролей. Вполне могли сбрутить. Даже если ваша почта нигде не светилась, то могли путем перебора определить какие почты заняты(логин всего 5 символов английского алфавита), а потом по этому списку пробовать простые пароли и разные популярные маски из словаря с популярными словами.
UFO just landed and posted this here
Был у меня случай, турки убивали сессию IMAP как только видели STARTTLS.
А вообще, есть такая штука — ssf (security strength factor), который задаётся образно говоря в виде длины ключа симметричного шифра, в битах. Для DES ssf=56, для AES128 — 128 и тому подобное. В SASL (слой аутентификации и безопасности) есть опции, которые разрешают авторизовывать пользователя, только если соедиенение имеет фактор защиты не менее заданного. Проще говоря, без STARTTLS просто не залогинится.
А вообще, есть такая штука — ssf (security strength factor), который задаётся образно говоря в виде длины ключа симметричного шифра, в битах. Для DES ssf=56, для AES128 — 128 и тому подобное. В SASL (слой аутентификации и безопасности) есть опции, которые разрешают авторизовывать пользователя, только если соедиенение имеет фактор защиты не менее заданного. Проще говоря, без STARTTLS просто не залогинится.
UFO just landed and posted this here
«Слив» для того чтобы поставить вопрос о вмешательстве государства для увеличения безопасности пользователей?
Либо понизить уровень доверия к популярным почтовым сервисам?
Либо понизить уровень доверия к популярным почтовым сервисам?
Я думаю, что «слив» БД яндекса был навеян сливом фотографий знаменитостей iCloud. Apple так же опровергает взлом самого сервиса. Если бы не эта закономерность с аккаунтами, которые равномерно по всей базе раскиданы, то можно было бы исключить вариант «слива» с целью насолить Яндексу. С другой стороны, если это был целенаправленный «слив», то могли бы и побольше аккаунтов насобирать. Как утверждают посвященные люди: миллион ящиков это ничто. Хотя, может они спешили поскорее «слить» и решили что этого будет достаточно для «громкой» новости.
Полностью согласен. Наличие в списке довольно странных записей — косвенное подтверждение этому.
Я вечером попробую сам пересмотреть список и найти закономерности в списке mail.ru. Можете дать наводку на файл с паролями (в личку, конечно же)
Я вечером попробую сам пересмотреть список и найти закономерности в списке mail.ru. Можете дать наводку на файл с паролями (в личку, конечно же)
У меня в этот слив попало два ящика.
Один с mailru другой с яндекса, которые были созданы давно и с единственной целью — проверить новомодную на тот момент технологию «забора писем по POP3»;
Могу предположить, что для этих целей пароль действительно хранится плеинтекстово.
Но они были созданы одновременно и я не помню с какого компьютера, возможно, на нём как раз и был кейлоггер.
Один с mailru другой с яндекса, которые были созданы давно и с единственной целью — проверить новомодную на тот момент технологию «забора писем по POP3»;
Могу предположить, что для этих целей пароль действительно хранится плеинтекстово.
Но они были созданы одновременно и я не помню с какого компьютера, возможно, на нём как раз и был кейлоггер.
Ну если в слив попал майл.ру значит все таки базу яндекса слили.
А то что целенаправленно кейлогеры стояли и снимали пароли, маловероятно.
Разве только для спецслужб это имеет вес.
А то что целенаправленно кейлогеры стояли и снимали пароли, маловероятно.
Разве только для спецслужб это имеет вес.
То, что кейлогеры сливают всё, что видят, это их основная задача в общем-то. Они для этого и нужны.
И продают этот товар, как уже сказали, десятками тысяч.
То, что слиты были оба ящика, делает версию с кейлогерами более вероятной.
>> Ну если в слив попал майл.ру значит все таки базу яндекса слили.
То, что в слив попали оба ящика делает и обратную ситуацию настолько же вероятной.
Пароли там были разные.
И продают этот товар, как уже сказали, десятками тысяч.
То, что слиты были оба ящика, делает версию с кейлогерами более вероятной.
>> Ну если в слив попал майл.ру значит все таки базу яндекса слили.
То, что в слив попали оба ящика делает и обратную ситуацию настолько же вероятной.
Пароли там были разные.
Ну у меня всего один ящик на яндексе попал в базу (и то далеко не основной). Почему же всех остальных ящиков нет в базах? не думаю что это кейлоггер, который был включен именно в момент регистрации мною ящика (сам ящик-то я не использовал и уже не помню с какой целью регистрировал).
Кстати да, интересная тема. Сейчас вспомнил, что мой найденный ящик mail.ru прописан в гугле как «собирать почту по POP3» с других серверов. Надо всем, кто нашел свои ящики в тех списках, вспомнить, прописывали ли они их так в гугле или где еще. А то сейчас окажется, что гугл взломали в конце концов.
Не стоит светить профили неизвестных вам людей. Тем более они ничего не подозревают, некрасиво.
Одним аккаунтом не пользуются и там 1 друг, который удален. Другой аккаунт имеет 2 друга, один из которых удален, а другой заблокирован за нарушение правил. На обеих страницах нет почти никакой информации. Третий аккаунт имеет 11 друзей, 3 из которых «заморожены», 1 удален, а ещё один заблокирован. Остальные друзья находятся в разных городах и некоторые страницы тоже похожи на ботов. На третей странице в «о себе» присутствует текст «Ах, да! ещё хотела сказать.Тем кто хочет попробовать заработать в сети», что говорит о том, что это бот) Я думаю, что этими страницами не пользуются реальные люди, а некоторые друзья у них такие же боты. Реальные страницы я бы не стал выкладывать.
del
Проверил свои ящики и ящики всех знакомых из адресной книги, с кем имел переписку, по обеим слитым базам (ya и mail) — ни одного не нашёл. Только почта одной знакомой оказалась в базе мэйла, но она недели 3 назад поменяла пароль, а в базе был её старый, т.е. на момент слива уже не работал.
Как вариант, база сервиса, который барыжит акками. Этим можно объяснить разношерстность базы — автореги, брут, фишинг и т.д.
Ваш комментарий натолкнул меня на мысль о том, что эти автоматически зарегистрированные аккануты были подмешаны с целью увеличения стоимости БД. Странно, что сразу не подумал об этом. Отсюда напрашивается вывод: никаких происков конкурентов(либо кого-то ещё) тут нет, база просто попала в открытый доступ без цели подпортить чью-то репутацию, а кто-то другой решил сделать из этого новость, вдохновленный новостью про iCloud. Были бы происки, то без труда составили бы базу побольше и убедительнее. По-моему очевидно, что база составлялась на протяжении долгого времени из разных источников и точно видно подмешанные аккаунты. Я думаю, на этих выводах можно остановиться, т.к. ничего более правдоподобного не напрашивается.
Было бы интересно собрать статистику по мобильным устройствам, провайдерам сотовой связи, и кабельным провайдерам у жертв. Возможно, это всё-таки результат перехвата трафика с открытыми паролями, либо баг в каких-то прошивках.
Ведь там все-таки https, плюс предварительный анализ показал, что pop3/imap протоколы не активированы для почтовых ящиков.
То о чём я написал, теоретически, может обеспечить массовость перехвата паролей. Восстановление данных с жёстких дисков, наоборот, не может.
https только теоретически надёжен — есть же известные прецеденты перехвата или выдачи сертификатов для имён типа gmail.com, предоставления корпорациям чёрных ящиков для просмотра https трафика. То, что на yandex не был разрешён pop3 ничего не значит — на любое имя пользователя он даёт ответ OK и обламывает только после ввода пароля, то есть возможность попадания пароля в незащищённый трафик есть.
~$ telnet pop.yandex.ru 110
Trying 87.250.251.37…
Connected to pop.yandex.ru.
Escape character is '^]'.
+OK POP Ya! na@8 MUYp521lbmI8
USER JiePhooghohVegha
+OK password, please.
PASS JiePhooghohVegha
-ERR [AUTH] login failure or POP3 disabled, try later. sc=MUYp521lbmI8
Connection closed by foreign host.
https только теоретически надёжен — есть же известные прецеденты перехвата или выдачи сертификатов для имён типа gmail.com, предоставления корпорациям чёрных ящиков для просмотра https трафика. То, что на yandex не был разрешён pop3 ничего не значит — на любое имя пользователя он даёт ответ OK и обламывает только после ввода пароля, то есть возможность попадания пароля в незащищённый трафик есть.
~$ telnet pop.yandex.ru 110
Trying 87.250.251.37…
Connected to pop.yandex.ru.
Escape character is '^]'.
+OK POP Ya! na@8 MUYp521lbmI8
USER JiePhooghohVegha
+OK password, please.
PASS JiePhooghohVegha
-ERR [AUTH] login failure or POP3 disabled, try later. sc=MUYp521lbmI8
Connection closed by foreign host.
Как два варианта еще, откуда могут ноги расти: восстановленные данные со списанных жестких дисков (вероятность небольшая); встроенные закладки в сам сервис (человеческий фактор).
Недавно жена пожаловалась, что на однокамерников попасть не может. Оказалось, какой-то зловред сделал нехорошее в hosts. Записи были для однокамерников, фконтактик, мэйлру и еще куча (яндекса не было :) ) — все на один айпи. Если открывать напрямую по айпи — браузер заглушку выдает, если по имени — фишинговая страничка. На мылору также заходили, так что и этот пароль мог утечь. Пароли то поменяли, но осадочек остался.
Затаив обиду на антивирь, накатал утилитку, в частности проверяющую hosts на наличие неразрешенных модификаций. Теперь сижу, бью в бубен и жду утечки баз на однофконтактики.
Затаив обиду на антивирь, накатал утилитку, в частности проверяющую hosts на наличие неразрешенных модификаций. Теперь сижу, бью в бубен и жду утечки баз на однофконтактики.
В копилку знагий: 2 года, как пользуюсь только Федорой и уже года 3, как полностью отказался от хрома для приватного чего-либо. Пароли от mail, yandex, google не утекли ни один. могу в личке дать «префиксы». Мыловским пользуюсь редко, но раз в месяц захожу, а яндексовской почтой пльзовался входя через «деньги» и как narod. Гугловой пользуюсь регулярно. Замечу так же, что почтовиков на планшете не держу ( в виду скомпроментированности всех хоть сколько-то пригодных).
Если бы пароли утекали напрямую из Я, М, то мои бы попали. Значит что-то интереснее)
Если бы пароли утекали напрямую из Я, М, то мои бы попали. Значит что-то интереснее)
Ну, у меня линупс тоже, Хромом пользуюсь. У жены Вын8.1 и тоже хром. Нет в списках ни её ящиков, ни моих. Похоже дело не в ОС, в пользователях.
Посмотрел базы яндекса, мейла и гугла.
Очевидно, что аккаунты собирались из разных источников и в разное время. Много признаков:
1) Наличие несуществующих логинов. Маловероятно при сливе базы с самого почтового сервиса.
2) Логины, написанные буквами разного регистра. Признаки кейлоггеров и фишинга.
3) Одинаковые пары логин: пароль проверялись на разных сайтах. На это указывает указывает брут яндекса по дате рождения. Такой тип массового взлома характерен для мейлру, благодаря их сервису МойМир, в котором адрес страницы (с указанной датой рождения) соответствует логину в системе — my.mail.ru/DOMAIN/LOGIN
Аккаунты вида НОМЕРТЕЛЕФОНА(а)yandex.ru: ПАРОЛЬ скорее всего были аккаунтами ВКонтакте, собранными с фейка.
4) Процент авторега и брутфорса в базах яндекса и мылру выше, чем у гугла. Связано с техническими особенностями данных сервисов.
Как они попали в паблик? Все просто. У %username1% были базы, но не был денег. У %username2% был должник. Принять базы в счет долга %username2% согласился, но использовать их в корыстных целях не захотел и поделился со всеми.
Насчет объемов утечки согласен с этим комментом. На черном рынке за относительно небольшую сумму денег можно базу значительно больше.
Особой опасности для пользователей такие базы не представляют, используясь в основном для массовых рассылок. Но при утечке в паблик вероятность целевых атак на конкретных людей и их личные данные очень велика.
Очевидно, что аккаунты собирались из разных источников и в разное время. Много признаков:
1) Наличие несуществующих логинов. Маловероятно при сливе базы с самого почтового сервиса.
2) Логины, написанные буквами разного регистра. Признаки кейлоггеров и фишинга.
3) Одинаковые пары логин: пароль проверялись на разных сайтах. На это указывает указывает брут яндекса по дате рождения. Такой тип массового взлома характерен для мейлру, благодаря их сервису МойМир, в котором адрес страницы (с указанной датой рождения) соответствует логину в системе — my.mail.ru/DOMAIN/LOGIN
Аккаунты вида НОМЕРТЕЛЕФОНА(а)yandex.ru: ПАРОЛЬ скорее всего были аккаунтами ВКонтакте, собранными с фейка.
4) Процент авторега и брутфорса в базах яндекса и мылру выше, чем у гугла. Связано с техническими особенностями данных сервисов.
Как они попали в паблик? Все просто. У %username1% были базы, но не был денег. У %username2% был должник. Принять базы в счет долга %username2% согласился, но использовать их в корыстных целях не захотел и поделился со всеми.
Насчет объемов утечки согласен с этим комментом. На черном рынке за относительно небольшую сумму денег можно базу значительно больше.
Особой опасности для пользователей такие базы не представляют, используясь в основном для массовых рассылок. Но при утечке в паблик вероятность целевых атак на конкретных людей и их личные данные очень велика.
Sign up to leave a comment.
Коллективное расследование: как появилась база данных с паролями аккаунтов «Яндекса»?