Комментарии 62
Интересно, кому и чьи данные слили.
Может у присутствующих здесь сотрудников Яндекса есть предположения?
"сотрудник предоставлял несанкционированный доступ в почтовые ящики пользователей."
то есть за деньги давал читать чужие емейлы сторонним людям?
А говорят, в Яндексе зарплаты не оч. высокие.
если бы Яндекс действительно хотел это пресечь, он бы за год вычистил рынок, проводя контрольные закупки
Зачем далеко ходить? Сервисы платной накрутки для кармохабра много лет работают.
Про контрольные закупки хаброадминам говорили, "а воз и ныне там".
Я обличал жулика R4ABI (продававшего нерабочие наборы электронных плат после своих статеек с ошибками) в том, что у него тут 3 клона было, а силовой полевой транзистор в цепи 350В включен "вверх ногами", но за это только нахватал минусов.
Тут есть момент — когда кто-то начинал такую войну (используя закупки) сразу появлялись сотни и тысячи объявлений "продам", из которых 99% оказывались тупо разводом и разводом именно с учётом того что шанс попасть на контрольную закупку и получить денег нахаляву очень высок, а никаких данных никто не крал и даже не собирался. В итоге компания просто кормит мошенников, причем даже не без против кого начала войну.
Это когда вам надо результат, как покупателю. Но ведь user343 не проверял через гаранта они там или нет. Без гаранта тоже полно. И сделаны именно с целью состричь бабла с лохов и с самих компаний, которые вынуждены будут делать закупки.
По этой утечке компания также обратилась в правоохранительные органы.
Не правоохранительным ли органам сотрудник предоставлял доступ?
Нет. Проблема состоит в том, что этот админ предоставлял конкурентный доступ к данным, а как мы знаем, конкурентный доступ создаёт условия гонки, которые ведут ко всяким неприятным последствиям.
Так что доступ должен быть монопольным — только по чиху левой пятки гэбни.
Кому нужна приватность ставит свой почтовик или арендует его за бугром.
Это как бухло у алкаша хранить, смешно же, что знают трое, знает весь мир.
такими правами доступа, необходимыми для выполнения рабочих задач по обеспечению технической поддержки сервиса.немного интересно, какие задачи требуют прямого доступа в почтовые ящики пользователей.
Интересно, можно ли организовать шифрование так, чтобы расшифровывать данные можно было только с согласия двух администраторов?
Уже все придумали до нас https://en.m.wikipedia.org/wiki/Shamir%27s_Secret_Sharing
Мне кажется такую защиту можно легко обойти (с учётом того что защищаемая мы не от абы кого, а от администраторов с очень высоким уровнем доступа): Во время планового отключения дата центра (такие испытания в Яндексе происходят) подходим к серверу, в котором лежит программа, расшифровываются мастер ключ. вытаскиваем жёсткий диск, записываем туда кейлоггер, возвращаем всё на места, и после первой же расшифровки пароли всех админов окажутся скомпрометироваными. Что-то вроде Evil Maid Attack. То есть для защиты от этого нужен anti evil maid, разделённый на несколько администраторов. Интересно, есть ли такое. Ну, или нужна более хитрая схема шифрования.
В случае protonmail это работает только либо между самими ящиками protonmail либо если принудительно включить шифрование внешней почты.
Если же вы обмениваетесь почтой с кем-то вне protonmail и не используете явное шифрование — то как можно догадаться содержимое легко перехватывается на входе или выходе любым админом который имеет доступ к серверу.
Единственный надёжный способ это использование end-to-end шифрования — с очевидным неудобством — все с кем вы переписываетесь должны уметь его настроить/использовать.
Навредить по всякому.
Вот например один отечественный банк раньше любил высылать выписки по счёту ежемесячные. В выписке указывался номер счета, полные ФИО, адрес и контакты и сумма по счёту.
Резюме и приглашения на собеседование.
Сброс пасворда от того же стима.
Ревнивые мужья в основном.
Где-то была статья с интерьвью или исследованием, точно не помню.
Рассказывали, что залезли в ящик и подменили письмо со счётом на оплату. Деньги ушли налево. И что такой случай не единичный.
Яндекс, у меня есть сврйр аккаунт в почте и плюсе (оплаченный) и рабочий без плюса и умного дома. Но если я заходу в рабочую почту то и все остальные сервисы выключаются пока не сменишь аккаунт — и квазар и плюс и музыка. Не надо так. Если я переключился на другой аккаунт в почте то нигде в других местах не надо меня переключать
А вы думаете, этот админ такой дурачок был, что палился на аудитах? Очевидно, что действовал он профессионально, раз оставался незамеченным столько времени. Дураку бы вряд ли доверили админить такой сервис.
Яндекс рассказал о компрометации 4887 почтовых ящиков по вине сисадмина с высоким уровнем доступа