Как стать автором
Обновить

Яндекс рассказал о компрометации 4887 почтовых ящиков по вине сисадмина с высоким уровнем доступа

Информационная безопасность *Системное администрирование *IT-инфраструктура *IT-компании
Всего голосов 35: ↑34 и ↓1 +33
Просмотры 19K
Комментарии 62

Комментарии 62

Интересно, кому и чьи данные слили.
Может у присутствующих здесь сотрудников Яндекса есть предположения?

Имхо, даже если у них и есть предположения, сомневаюсь что среди них есть слабоумные и отважные говорить об этом публично.
Ну вообще-то это пароли, номера и банковские ячейки…

"сотрудник предоставлял несанкционированный доступ в почтовые ящики пользователей."


то есть за деньги давал читать чужие емейлы сторонним людям?

Может быть даже отправлял письма от их имени или удолял подтверждения с каких-то сервисов.
получается так, удивительно, что яндекс признали это и сами сделали новость, уважение к компании стало больше, что могут признать свои ошибки и больше не допускать их
Может это анонс повышения цен? Типа смотрите что бывает, но теперь нам это делать «сложнее», потому заходите с весомыми предложениями.
НЛО прилетело и опубликовало эту надпись здесь
Т.е. чувак сотку лямов «заработал»? Неплохо, неплохо.
А говорят, в Яндексе зарплаты не оч. высокие.
НЛО прилетело и опубликовало эту надпись здесь
Подозреваю, что торгуют силовики, т.к. помимо упомянутых трёх админов, у них полный доступ ко всему наверняка. Поэтому и не отлавливают особо. Все «свои».
НЛО прилетело и опубликовало эту надпись здесь
Ну вот вычислил Яндекс — и дальше что? Видимо, когда какие-то рычаги есть, то см. статью выше, а если там в погонах торгуют, что дальше? Это как с борделями и наркотиками и наркопритонами, все адреса/номера везде висят на виду и всем известны. Но, когда крышуют «нужные люди» жить на одном месте это может ооочень долго.
НЛО прилетело и опубликовало эту надпись здесь

А продаются реальные ящики конкретных людей?

НЛО прилетело и опубликовало эту надпись здесь
если бы Яндекс действительно хотел это пресечь, он бы за год вычистил рынок, проводя контрольные закупки

Зачем далеко ходить? Сервисы платной накрутки для кармохабра много лет работают.
Про контрольные закупки хаброадминам говорили, "а воз и ныне там".


Я обличал жулика R4ABI (продававшего нерабочие наборы электронных плат после своих статеек с ошибками) в том, что у него тут 3 клона было, а силовой полевой транзистор в цепи 350В включен "вверх ногами", но за это только нахватал минусов.

Тут есть момент — когда кто-то начинал такую войну (используя закупки) сразу появлялись сотни и тысячи объявлений "продам", из которых 99% оказывались тупо разводом и разводом именно с учётом того что шанс попасть на контрольную закупку и получить денег нахаляву очень высок, а никаких данных никто не крал и даже не собирался. В итоге компания просто кормит мошенников, причем даже не без против кого начала войну.

НЛО прилетело и опубликовало эту надпись здесь

Это когда вам надо результат, как покупателю. Но ведь user343 не проверял через гаранта они там или нет. Без гаранта тоже полно. И сделаны именно с целью состричь бабла с лохов и с самих компаний, которые вынуждены будут делать закупки.

По этой утечке компания также обратилась в правоохранительные органы.

Не правоохранительным ли органам сотрудник предоставлял доступ?

Нет. Проблема состоит в том, что этот админ предоставлял конкурентный доступ к данным, а как мы знаем, конкурентный доступ создаёт условия гонки, которые ведут ко всяким неприятным последствиям.


Так что доступ должен быть монопольным — только по чиху левой пятки гэбни.

или не предоставлял и за это был наказан
Правоохранительным органам красный коврик расстилают к терминалу с доступом, без всяких утечек.

Т.е. Всё таки 4, 3 админа и проворган.

А что тут удивительного?
Кому нужна приватность ставит свой почтовик или арендует его за бугром.
Это как бухло у алкаша хранить, смешно же, что знают трое, знает весь мир.
Дооо, гмыл письма роботами не читает и доступ гэбне не даёт. Это же совсем другое!
И не банит всю почту безвозвратно, за комментарии в ютюбе
такими правами доступа, необходимыми для выполнения рабочих задач по обеспечению технической поддержки сервиса.
немного интересно, какие задачи требуют прямого доступа в почтовые ящики пользователей.
Проверка содержимого? Заявление о конфиденциальности читали? Как по вашему узнается что у вас содержимое почты адекватное? Сдается мне она «читается», о чем в том же соглашении прописано. Почта конфиденциальным сервисом никогда и не была.
Классика жанра для относительно молодых компаний. На заре, когда всё часто ломалось, избранным давался доступ на всё. Так стартует любой стартап. А потом устранять это дорого, долго и мучительно.
Так это не угон паролей, а именно «компрометация»? Есть смысл менять свой пароль? Надеюсь, plain-ом пароли не хранятся нигде…
В оригинальном сообщении Яндекс пишет: «Неавторизованный доступ в скомпрометированные ящики уже заблокирован. Их владельцы получили уведомление о необходимости смены пароля от своей учетной записи.»

А в неоригальном хабре написано, что сообщение о том, что их поимели, направлено на заблокированный ящик

Интересно, можно ли организовать шифрование так, чтобы расшифровывать данные можно было только с согласия двух администраторов?

Наверное можно, но проще будет реализовать это на уровне контроля прав.
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь

Мне кажется такую защиту можно легко обойти (с учётом того что защищаемая мы не от абы кого, а от администраторов с очень высоким уровнем доступа): Во время планового отключения дата центра (такие испытания в Яндексе происходят) подходим к серверу, в котором лежит программа, расшифровываются мастер ключ. вытаскиваем жёсткий диск, записываем туда кейлоггер, возвращаем всё на места, и после первой же расшифровки пароли всех админов окажутся скомпрометироваными. Что-то вроде Evil Maid Attack. То есть для защиты от этого нужен anti evil maid, разделённый на несколько администраторов. Интересно, есть ли такое. Ну, или нужна более хитрая схема шифрования.

НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
Если хочется чтобы провайдер не имел доступ к содержимому, достаточно использовать почтовый клиент с поддержкой GPG.
так ведь и прочитать письмо сможет только аналогичный клиент
Ну GPG это открытое ПО, плагины были для разных почтовых клиентов, даже для outlook встречались. Нет только инструментов для чтения таких писем в веб-клиенте. А там, никакой проблемы по сути нет. Для шифрования переписки все уже давно придумано и сделано давно.

В случае protonmail это работает только либо между самими ящиками protonmail либо если принудительно включить шифрование внешней почты.


Если же вы обмениваетесь почтой с кем-то вне protonmail и не используете явное шифрование — то как можно догадаться содержимое легко перехватывается на входе или выходе любым админом который имеет доступ к серверу.


Единственный надёжный способ это использование end-to-end шифрования — с очевидным неудобством — все с кем вы переписываетесь должны уметь его настроить/использовать.

tutanota.com — для расшифровки письма нужно знать пароль, который передается по отдельному каналу.
Интересно кто и что искал в почтовых ящиках? А самое главное — насколько владельцам, не сильно шифрованных, ящиков может навредить слитая информация?

Навредить по всякому.
Вот например один отечественный банк раньше любил высылать выписки по счёту ежемесячные. В выписке указывался номер счета, полные ФИО, адрес и контакты и сумма по счёту.
Резюме и приглашения на собеседование.
Сброс пасворда от того же стима.

Ревнивые мужья в основном.
Где-то была статья с интерьвью или исследованием, точно не помню.

Рассказывали, что залезли в ящик и подменили письмо со счётом на оплату. Деньги ушли налево. И что такой случай не единичный.

Торговали, торгуют, и будут торговать. Люди любят деньги.

Яндекс, у меня есть сврйр аккаунт в почте и плюсе (оплаченный) и рабочий без плюса и умного дома. Но если я заходу в рабочую почту то и все остальные сервисы выключаются пока не сменишь аккаунт — и квазар и плюс и музыка. Не надо так. Если я переключился на другой аккаунт в почте то нигде в других местах не надо меня переключать

Яндекс до сих пор хранит пароли в открытом виде?
речь не о паролях, а о доступе к содержимому ящика
зачем тогда менять пароль?
Так как этот админ мог сгенерировать активную сессию(не знаю как это называется), что-бы кто-то другой или сам он мог видеть почту даже потеряв доступ к админке

Жесть конечно. Ладно у них есть "высокопоставленные системные администраторы" с доступом к почтовым ящикам для выполнения служебных задач, но почему у них нет никакого аудита и контроля такого доступа? Если этот админ продавал доступ не сотнями сразу, то значит он годами там действовал и ни у кого никаких вопросов не было, никакая система не отслеживала то, что один человек к такому количеству ящиков доступ получает, никакие алёрты нигде не срабатывали, что странные логины происходят.


Яндекс публичная компания вроде, а организовано внутри похоже всё как в гаражном стартапе в котором про комплайенс не слышали ни разу. Какой-нибудь условный гугл за такую утечку уже сожрали бы в прессе и судах.

А вы думаете, этот админ такой дурачок был, что палился на аудитах? Очевидно, что действовал он профессионально, раз оставался незамеченным столько времени. Дураку бы вряд ли доверили админить такой сервис.

Так я и говорю — значит система изначально была спроектирована так, что это возможно. Правильно было бы, чтобы логи всех действий писались в какую-то независимую систему, куда у "важного админа почты" и доступа никакого нет. А если он там админ всея яндекса и имел возможность всё подчистить, без какого-либо внешнего контроля — то это и есть фатальный недостаток и катастрофическое пренебрежение Яндексом интересами своих пользователей.

Админ это тот кто пароль от sudo знает. И на железные машинки заходить может. Их же должен кто-то поддерживать?

Предлагайте варианты логов которые хороший админ не отключит. Отключать навсегда ему не надо. Буквально пока вот этот вот скриптик отработает. Секунды достаточно.

Какой доступ судо на кластере сервиса почты масштаба яндекса? Там без автоматизации и раскатывания условным ансиблем делать нечего, а значит и с судо на отдельных серверах делать нечего, а даже если такая возможность по какой-то глупости оставлена, то должны логироваться (и одобряться/мониториться сессии) все входы с отправкой логов в реалтайме на централизованное хранилище (где уже другие админы должны иметь "судо").


Даже в мелком стартапе работал и там никуда прямого доступа не было, всё через оркестрацию и т.п., а когда нужно было получить рут-доступ к собственным инстансам, запущенным для экспериментов, то он был через обертку для ssh, которая логировала кто, куда и что делал, хотя на этих инстансах даже близко не было пользовательских данных, но ведь это было внутри инфраструктуры, где они потенциально могли быть.

Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.