Комментарии 56
Где-то я такое читал. Ах да, объяснение Яндекса habrahabr.ru/company/yandex/blog/236007/
Абсолютно согласен. Та же вода. Из трех ящиков (2 мейла и 1 яндекса) один мейловский, которым пользуюсь уже с 10 лет, оказался в базе. Пароль менял пол года назад, даже может и раньше — и isleaked.com/ выдал верную инфу. Письма о необходимости смены пароля не получал, стоит полная переадресация на Gmail. Что интересно, второй ящик мейла старее на год и с тем же паролем — в базе не обнаружен. На адрес, что был «слит» (или как этот процесс правильно назвать?!), был зарегистрирован аккаунт в одноклассниках, который я закрыл пару месяцев назад… И тут Остапа понесло...
ЗЫ: Пароли, конечно, поменял.
ЗЫ: Пароли, конечно, поменял.
А я вот где это слышал: «Apple: iCloud ни при чем, знаменитости пали жертвой направленных атак „
http://habrahabr.ru/company/eset/blog/235539/
http://habrahabr.ru/company/eset/blog/235539/
Все же есть в этом сливе что-то полезное. Мой пароль вчера тоже оказался в списке слитых. Раньше везде один пароль использовал, когда вечером о сливе стало известно — поменял абсолютно везде на уникальные. С изрядной долей скептицизма отношусь к столь массовому сливу, да и вообще немало был удивлен увидев свой пароль (у меня OSX, да и нигде кроме вашего сайта пароль не вводил), но уж что есть… И да, вы бы аккаунты все же блокировали полностью, а не просто писали рекомендательную табличку о смене пароля и блокировке отправки (!) писем. У меня кроме спама ничего в ящике не было, но обычно ценность во входящей почте, а не исходящей.
Гляжу все же заблокировали все аккаунты, да еще и номер мобильного вводить заставили. Вот только новый пароль, заданный еще вчера, снова заставили менять — якобы он «попал в список скомпрометированных». Спасибо за такую заботу о безопасности, но право не стоило.
Мир сошел с ума! Во всех новостях трубят: Утечка! Взломали! и тд.
Господа, какая утечка, 4.5 кк аккаунтов, объем для школьников.
В продаже всегда крутятся данные того же mail в размере 30-50кк.
ПОСТОЯННО продаются, покупаются, обновляются.
Это никого не волнует и не беспокоит. А вот выложенные в свободный доступ 4.5 кк отработанных(100% прочеканые на всё, к тому же прошлогодние) привели массы в ужас)
Учитесь элементарным методам предохранения в сети, и будет вам счастье вместо головных болей!
Господа, какая утечка, 4.5 кк аккаунтов, объем для школьников.
В продаже всегда крутятся данные того же mail в размере 30-50кк.
ПОСТОЯННО продаются, покупаются, обновляются.
Это никого не волнует и не беспокоит. А вот выложенные в свободный доступ 4.5 кк отработанных(100% прочеканые на всё, к тому же прошлогодние) привели массы в ужас)
Учитесь элементарным методам предохранения в сети, и будет вам счастье вместо головных болей!
База определенно не прошлогодняя. Аккаунты с указанными паролями все были действующие, мой в том числе, на котором пароль не так и давно менялся.
Там было около 50 двухсимвольных и 2500 трех символьных.
Всё же, то что продается — это специально нагенерированные емаилы. А тут, часть, — это живые люди.
Всё же, то что продается — это специально нагенерированные емаилы. А тут, часть, — это живые люди.
М да, наверно я вам открою «Америку», продаются как автореги(зарегистрированные мейлы специально для продажи) так и аккаунты живых пользователей.
Причем в продаже 1-3кк авторегов и более 30кк данных пользователей(это то сколько я знаю и вижу, возможно больше).
Постоянно пополняются данные, продаются, обмениваются и тд.
И тут не вина почтовика, все дело в отсутствии понимания простейших правил безопасности у пользователей.
Причем в продаже 1-3кк авторегов и более 30кк данных пользователей(это то сколько я знаю и вижу, возможно больше).
Постоянно пополняются данные, продаются, обмениваются и тд.
И тут не вина почтовика, все дело в отсутствии понимания простейших правил безопасности у пользователей.
NSA тоже имеет много инструментов (да и вообще многие спецслужбы), но они не попадают в паблик. А когда попадает в паблик информация о них (даже просто информация), то начинается скандал (привет Сноуден). Так и тут, когда обычные юзеры видят новость что украли столько то паролей, то для них это повод нервничать (при этом это не просто информация, а уже довольно актуальные данные).
И да, почем нынче на рынке база из 4.5 миллионов аккаунтов? Вы так говорите для школьников, будто она копейки стоит.
И да, почем нынче на рынке база из 4.5 миллионов аккаунтов? Вы так говорите для школьников, будто она копейки стоит.
4.5кк свежих данных 20-30к.р., но свежих, не паханных аккаунтов практически нет в продаже, только у первоисточника и только большими объемами.
Соответственно сейлеры комментируют то на что аккаунты были проверены (платежные сервисы, игровые, социалки и тд.), чем больше «вспаханы» аккаунты тем они дешевле.
Надеюсь вы понимаете, что аккаунт можно проверить на вообще всё на свете и он после будет рабочим!? )
Те которые выложили, большой ценности скорее всего не имели.
Соответственно их максимум можно было отдать под спам 5к.руб. может дороже если есть предпринимательская жилка.
Выводы делайте сами, на сколько эта «утечка» 4.5 кк является утечкой.
Как по мне кто то выкинул мусор, так сказать «паржать»
Соответственно сейлеры комментируют то на что аккаунты были проверены (платежные сервисы, игровые, социалки и тд.), чем больше «вспаханы» аккаунты тем они дешевле.
Надеюсь вы понимаете, что аккаунт можно проверить на вообще всё на свете и он после будет рабочим!? )
Те которые выложили, большой ценности скорее всего не имели.
Соответственно их максимум можно было отдать под спам 5к.руб. может дороже если есть предпринимательская жилка.
Выводы делайте сами, на сколько эта «утечка» 4.5 кк является утечкой.
Как по мне кто то выкинул мусор, так сказать «паржать»
Я как-то делал эксперимент с MITMом и IMAPS/POP3S. Процентов 20% пользователей неглядя подтверждают фейковые сертификаты, которые им предлагаются при соединении.
Ещё 10-15% можно заМИТМить, если фейковые сертификаты имеют поля (CN, OU, O etc) идентичные с полями что и в оригинальных сертификатах.
Ещё 10-15% можно заМИТМить, если фейковые сертификаты имеют поля (CN, OU, O etc) идентичные с полями что и в оригинальных сертификатах.
кому интересно, свободно гуглятся и базы gmail.com… Может кто статью напишет на хабре)
Документы вк, могут помочь тем, кто не желает сильно заморачиваться с поиском.
Остальные базы из прошлых постов там тоже есть.
Кстати, учётки базы маил ру — рабочие… Я зашёл в одну, сменил пароль, отказался от ввода номера телефона и попал в почту человека. Почта активная. Вы бы как-нибудь прокачали алгоритм, я хз.
*Пароль, естественно, обратно сменил на какой был.
Документы вк, могут помочь тем, кто не желает сильно заморачиваться с поиском.
Остальные базы из прошлых постов там тоже есть.
Кстати, учётки базы маил ру — рабочие… Я зашёл в одну, сменил пароль, отказался от ввода номера телефона и попал в почту человека. Почта активная. Вы бы как-нибудь прокачали алгоритм, я хз.
*Пароль, естественно, обратно сменил на какой был.
Кто-то явно делится новыми словарями для брута.
Нашел в базе один из своих старых почтовых ящиков. Пароль там довольно надежный — 13 символов в двух регистрах со спецсимволами. На кросс чеке попался врятли, т.к. пароли от почтовых ящиков нигде не использую. Фишинг тоже сомнительно — когда ввожу пароль всегда проверяю наличие хттпс. В общем очень странно. Хотя почта старая, может когда-то давно не досмотрел…
Вы перемудрили с антиспамом. У меня и у коллеги ящики на mail.ru, мы уже 5 лет активно переписываемся, но при этом год назад его письма началаи падать мне в «спам», а недавно мои начали падать в «спам» у него. Вопрос: почему вы сделали такой странный алгоритм антиспам? Спасибо за внимание к этой проблеме!
Я тут недавно в исследовательских целях получил абсолютно валидный SSL-сертификат для my.com, даже два в двух разных Certification Authority, о чем сообщил уважаемым (есть тикет) при этом не взламывая совершенно ничего. Так что «пользователи принимают сертификат не глядя» — не самая страшная проблема…
Представим, какая-то неведомая хрень сделала приписки вам в /etc/hosts или подменила/сMITMила резолвер, вы, %username%, заходите на сайт, радостно видите https, и совпадающий домен. Какова вероятность, что вы заподозрите что-то неладное и на каком этапе? Сертификаты у всех самого начального уровня и «зелёной адресной строки» ни у mailru, ни у яндекса нет.
А в случае с мобильным приложением, вообще без шансов.
Поснифал протокол и склоняюсь к выводу, что кража токена (логика аналогична cookie) вполне возможна и таки приведёт к disclosure (однако не проверял, так как это не совсем законно, но смена IP и страны не заставила сделать переавторизацию);
FraudSSL + интервенции в работу DNS — полноценный MITM, который не так-то просто обнаружить.
Представим, какая-то неведомая хрень сделала приписки вам в /etc/hosts или подменила/сMITMила резолвер, вы, %username%, заходите на сайт, радостно видите https, и совпадающий домен. Какова вероятность, что вы заподозрите что-то неладное и на каком этапе? Сертификаты у всех самого начального уровня и «зелёной адресной строки» ни у mailru, ни у яндекса нет.
А в случае с мобильным приложением, вообще без шансов.
Поснифал протокол и склоняюсь к выводу, что кража токена (логика аналогична cookie) вполне возможна и таки приведёт к disclosure (однако не проверял, так как это не совсем законно, но смена IP и страны не заставила сделать переавторизацию);
FraudSSL + интервенции в работу DNS — полноценный MITM, который не так-то просто обнаружить.
Я правильно понимаю, что ключевым элементом вашей возможной атаки является установка «неведомой хрени» на комп/телефон пользователя без его ведома? Если так, то никакой SSL ломать не нужно, все решается key logger'ом, который благополучно украдет ваш пароль.
Отсюда мораль: проверяйте свой компьютер постоянно на вирусы. Никакая система безопасности никакого сервиса не спасет от вируса, работающего на вашем компьютере.
Отсюда мораль: проверяйте свой компьютер постоянно на вирусы. Никакая система безопасности никакого сервиса не спасет от вируса, работающего на вашем компьютере.
достаточно интервенций в работу DNS-резолвера (я так один раз случайно ошибся IP-адресом при настройке сети на дедике и перетянул на себя резолвер датацентра).
Уточню. SSL-сертификат, выданный центром сертификации, который по-умолчанию признаётся без доп. вмешательств (в моём случае ЦС — компания уровня Comodo).
Уточню. SSL-сертификат, выданный центром сертификации, который по-умолчанию признаётся без доп. вмешательств (в моём случае ЦС — компания уровня Comodo).
Я могу сам сделать абсолютно валидный SSL-сертификат для my.com, вопрос только в том, кто будет для него родителем.
Если родитель недоверенный, то пользы от такого сертификата ноль.
Если родитель недоверенный, то пользы от такого сертификата ноль.
А можете чуть подробнее?)
А как выглядит предложение сменить пароль? Высылалось письмо на почту? А то если это только web интерфейс не совсем достаточно. Я к примеру через Web интерфейс редко почту смотрю.
Вопрос к mail.ru.
Как хранятся пароли, которые используются в механизме «забора почты с других почтовых ящиков».
Заранее спасибо!
Как хранятся пароли, которые используются в механизме «забора почты с других почтовых ящиков».
Заранее спасибо!
Они хранятся в зашифрованном ассимитричным алгоритмом виде. Ключ на шифрование в том месте, где они создаются и ключ для расшифрования в том месте, где они используются.
Более того, в отличие от других российских почтовых сервисов, при сборе с GMail мы авторизуемся через OAuth, т.е. пароли от GMail мы не храним вообще.
Более того, в отличие от других российских почтовых сервисов, при сборе с GMail мы авторизуемся через OAuth, т.е. пароли от GMail мы не храним вообще.
Спасибо за ответ!
Так всегда было или «начиная с какого-то момента»?
Так всегда было или «начиная с какого-то момента»?
Кстати, что интересно, один из ящиков был в списке с валидным паролем, ящик зарегистрировал максимум — два года назад.
Чисто для тестирования (то есть нигде не регался на него, не светил, использовался только на одном лэптопе, на рабочем (офисная сеть, достаточно безопасная));
Фишинг — вряд ли, всегда проверяю урлы, сертификаты и прочее.
Вирус/троян/кейлоггер — сомневаюсь, пользуюсь макосью, ничего левого не ставил, джава и флеш в браузерах отключены.
Трюки с DNS — тоже сомневаюсь, так как тогда бы были вероятно в списке все мои почты на мейле.
Чисто для тестирования (то есть нигде не регался на него, не светил, использовался только на одном лэптопе, на рабочем (офисная сеть, достаточно безопасная));
Фишинг — вряд ли, всегда проверяю урлы, сертификаты и прочее.
Вирус/троян/кейлоггер — сомневаюсь, пользуюсь макосью, ничего левого не ставил, джава и флеш в браузерах отключены.
Трюки с DNS — тоже сомневаюсь, так как тогда бы были вероятно в списке все мои почты на мейле.
Если ни где не регали на него, ни в какой почтовой или иной программе с доступом к почтовику не использовали, а для тестирования чего тогда использовали!? )))
Если нигде его не засветили, то и не всплыл бы — ФАКТ, ну если только у вас пароль не «qwetry» так как почту можно даже ногами с «моего мира» собрать!
Если нигде его не засветили, то и не всплыл бы — ФАКТ, ну если только у вас пароль не «qwetry» так как почту можно даже ногами с «моего мира» собрать!
А что мы делаем, чтобы защищать своих пользователей?
Двухфакторная аутентификация? Не, не слышал.
Вот мне интересно, протокол для этой двухфакторной авторизации через Google Authenticator открыт, куча разных провайдеров его используют. Но не mail.ru и yandex. Какая-то есть причина в этом или это NIH-синдром в чистом виде?
Кстати, в отличие от того же Яндекса, наша главная страница также работает всегда по HTTPS и защищена через STS, что делает невозможной кражу пароля через атаку SSL Strip.
Давно ли? Две недели назад только успешно собирал SSLStrip'ом ящики mail.ru на пентесте.
Почти официальное уведомление к Mail.ru
=== Перестаньте требовать от меня телефон, я просто хочу поменять пароль ===
=== Перестаньте требовать от меня телефон, я просто хочу поменять пароль ===
Подпишусь два раза.
Еще ни одна девушка так страстно и упорно не вымогала у меня телефон.
Еще ни одна девушка так страстно и упорно не вымогала у меня телефон.
Вы же понимаете, что поскольку базы паролей опубликованы, то поменять пароль теперь может кто угодно. Поэтому мы заблокировали все эти ящики и восстанавливаем их только после подтверждения старого телефона (если он уже привязан к ящику) или с подтверждением нового телефона. Понятно, что и этот способ не стопроцентный, тк кто угодно может привязать свой телефон к ящику с опубликованным паролем, но этого хотя бы нельзя сделать массово, ибо один телефон у нас запрещено привязывать к большому количеству ящиков.
Вы же понимаете, что если я пытаюсь сменить пароль с ip, с которого заходил на этот ящик последние несколько недель — то скорей всего, я и есть владелец ящика.
Вы же понимаете, что у меня может и не быть мобильного телефона.
Вы же понимаете, что согласно пункту 4 стати 5 Федерального закона 153, данные о моем телефонном номере — избыточны для восстановления пароля. Раньше же как-то это делали.
Вы же понимаете, что компания Mail.ru сейчас хоть и пытается вернуть доброе имя после СпутниковМейлРу и прочего, такие моменты только отталкивают ее обратно в объятия «Мейл ру больше нет веры!»
Вы же понимаете, что у меня может и не быть мобильного телефона.
Вы же понимаете, что согласно пункту 4 стати 5 Федерального закона 153, данные о моем телефонном номере — избыточны для восстановления пароля. Раньше же как-то это делали.
Вы же понимаете, что компания Mail.ru сейчас хоть и пытается вернуть доброе имя после СпутниковМейлРу и прочего, такие моменты только отталкивают ее обратно в объятия «Мейл ру больше нет веры!»
«заходил на этот ящик последние несколько недель» — вы или злоумышленник заходили.
Я куки не чистил год. Тоже не катит?
У меня есть архив писем, прошедших через этот ящик (с галочкой Удалять на сервере"). Тоже не катит?
Я знаю ответ на секретный вопрос. Тоже не катит? Или у меня секретным вопросом пароь и сперли? Тогда в чем суть секретного вопроса, если я не могу его использовать для восстановления пароля?
У меня есть архив писем, прошедших через этот ящик (с галочкой Удалять на сервере"). Тоже не катит?
Я знаю ответ на секретный вопрос. Тоже не катит? Или у меня секретным вопросом пароь и сперли? Тогда в чем суть секретного вопроса, если я не могу его использовать для восстановления пароля?
Вы понимаете ключевое отличие забытого пароля от взломанного ящика? Архив писем, секретный вопрос и проч — это все хорошо, когда вы просто забыли пароль. А если ваш ящик взломан, то почти все что вы знаете про ваш ящик, знает и злоумышленник. Поэтому во втором случае алгоритмы другие. И не только у нас, а и у конкурентов тоже.
Вы понимаете ключевое отличие «Ваш ящик использовался не вами» от «Нам кажется, что ваш ящик взломали»? Смена пароля, указание телефонного номера и проч — это все хорошо, когда у меня на самом деле увели ящик. А если мой пароль из пяти символов оказался в вашем «списке подобранных», то это вообще не должно быть моей проблемой. Поэтому во втором случае алгоритмы другие. Но только не у вас, а у ваших конкурентов.
Blizzard в свое время не стал требовать у меня ни телефонного номера, ни паспорта, а решили проблему способами, не требующими у меня предоставления дополнительной, не известной им до этого информации.
Blizzard в свое время не стал требовать у меня ни телефонного номера, ни паспорта, а решили проблему способами, не требующими у меня предоставления дополнительной, не известной им до этого информации.
В том-то и дело, что не кажется, а точно взломали. Ибо появление ваших логинов и паролей в публичном списке означает, к сожалению, что их знает кто-то кроме вас.
Насчет конкурентов, возможно, я не совсем точно сформулировал. Речь именно про почтовые сервисы, а не про игровые сервивы. В почтовых сервисах требование телефона при взломе ящика — это нормальная практика, ибо, еще раз, в случае почтового аккаунта — это практически единственный способ отличить взломщика от владельца.
Насчет конкурентов, возможно, я не совсем точно сформулировал. Речь именно про почтовые сервисы, а не про игровые сервивы. В почтовых сервисах требование телефона при взломе ящика — это нормальная практика, ибо, еще раз, в случае почтового аккаунта — это практически единственный способ отличить взломщика от владельца.
У меня в черновиках лежит статья на тему как доступ к ящику на mail.ru и соц. инженерия сделали «невозможное возможным». Как я могу ее опубликовать, сохранив свое авторство?
Право авторства или исключительное право?
Право авторства неотчуждаемо с момента первой публичной публикации (в том числе в интререте), так что можете смело в Хабре писать.
С исключительным правом сложнее…
Право авторства неотчуждаемо с момента первой публичной публикации (в том числе в интререте), так что можете смело в Хабре писать.
С исключительным правом сложнее…
Раньше не давало публиковать, писало, что не хватает мне чего-то :)
Сейчас нажал опубликовать и все получилось — habrahabr.ru/post/236357/
Сейчас нажал опубликовать и все получилось — habrahabr.ru/post/236357/
мне кажется, базы были слиты специально, чтобы народ кинулся проверять — а нет ли моего ящика среди сломанных? в сети уже появляются странные сервисы по проверке слитых паролей и я бы в первую очередь предостерег именно от таких сервисов
Просто адрес почты без каких либо таргетов не интересен.
А вот если на этих сервисах втихую палят профиль в соцсетях и привязывают к почте, тут уже да, данные получаются достаточно сладкими.
И все кто решил своими руками отдать почту «добрым ребятам» проверяющим по своему списку, обречены на кучу спама!
Мне их жаль)
Зачем где то проверять свой пароль? Зашел в почту, сменил пароль, все проблема решена.
Для профилактики можно еще на других сервисах тоже сменить, там где этот же пароль использовался.
От смены пароля никому хуже не будет, за то спать можно спокойно.
А вот если на этих сервисах втихую палят профиль в соцсетях и привязывают к почте, тут уже да, данные получаются достаточно сладкими.
И все кто решил своими руками отдать почту «добрым ребятам» проверяющим по своему списку, обречены на кучу спама!
Мне их жаль)
Зачем где то проверять свой пароль? Зашел в почту, сменил пароль, все проблема решена.
Для профилактики можно еще на других сервисах тоже сменить, там где этот же пароль использовался.
От смены пароля никому хуже не будет, за то спать можно спокойно.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Про утечку базы паролей пользователей