Комментарии 20
Маилру, воспользовавшись моментом, опять будет вымогать из пользователя номера совых?
Кто-нибудь нашел базу и проверил её?
Не появился еще сайт, как в прошлые разы, где можно пробить свой е-маил?
Хотя я еще вчера сменил все пароли, все равно интересно
Хотя я еще вчера сменил все пароли, все равно интересно
Mail.Ru Group вчера уже прокомментировали https://corp.mail.ru/ru/press/releases/9607/
Приведу прямо здесь цитату:
Исследование первой рандомной выборки показало, что она не содержит паролей, подходящих к активным живым аккаунтам. Кроме того, обращает на себя внимание тот факт, что база содержит большое количество одних и тех же логинов с разными паролями, что свидетельствует о том, что она была скомпилирована из фрагментов разных баз, где юзеры использовали в качестве логина свою электронную почту. Мы продолжаем проверку базы и, как только у нас будет больше информации, мы предупредим пользователей, которые могли пострадать.
Двухфакторная аутентификация спасает от такого случая взлома
Истину глаголите! Именно эта массовая утечка сподвигла меня, наконец, везде, где это возможно, перейти на 2FA. Очень понравилась реализация двухфакторной аутентификации у Яндекса с их «магией» QR-кода.
У Яндекса, на самом, деле, двухфакторная аутентификация реализована неудобно, поскольку требует установку именно их приложения, вместо возможности использования FreeOTP/Google Authentificator. Например, у меня смартфон не на Андроиде/iOS. Приложение с поддержкой TOTP/HOTP для моего смартфона есть, но, в данном случае, оно в пролёте именно из-за того, что Яндекс решил сделать не по стандартам.
Полностью согласен насчет неудобства использования Яндекс.Ключ вместо, например, открытого FreeOTP — его я использую не менее, чем для десятка сервисов. Почему Яндекс не поддерживает аутентификацию через общеизвестные кодогенераторы — непонятно. Главный плюс Яндекс.Ключа для меня — скорость: нажал в браузере иконку с QR-кодом, запустил в смартфоне Яндекс.Ключ, направил камеру смарта на экран ноута и вуаля — вошел в аккаунт. Красота! Конечно, смартфон должен быть в сети при этом.
То есть миллионы сайтов сношают пользователям мозг всякими требованиями к паролям, а эти люди все равно теряют аккаунты. В итоге в выигрыше никто, в проигрыше те кто и так знает как обезопасить аккаунт но все равно испытывает неудобства с авторизацией или регистрацией. Ну а те чьи пароли тупо угадали по 111111 — сами виноваты и не считаются.
Это как американская борьба с терроризмом — неудобства и расходы есть, результата нет.
Это как американская борьба с терроризмом — неудобства и расходы есть, результата нет.
Как-то не похоже на правду. Что помешает первому же купившему выложить в открытый доступ? Ну, то есть вот предположим, хакер реально каким-то образом заполучил такую гору аккаунтов. Я покупаю их и выкладываю в общий доступ. После этого, по понятным причинам, у хакера больше никто ничего не купит — всё доступно бесплатно. Чистая прибыль от взлома в этом случае — 1$. Серьёзно? Ну даже если не первый выложит, а сотый — всё равно вознаграждение не выглядит серьёзным. А если цель хакера не прибыль — то зачем вообще продавать за 1$, сразу бы выложил в открытый доступ. При всём недоверии к mail.ru в данной ситуации я склонен им верить, что это просто компиляция, не имеющая реальной ценности.
Выглядит как вброс от биржевого «медведя».
И что microsoft, gmail хранят пароли в открытом виде? Сомневаюсь.
Там учётки или учётки вместе с паролями?
Это дно ИТ журналистики. Школьник, собравший из кучи паблик баз одну большую, и пытающийся загнать ее за доллар, вызвал дикий ажиотаж.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Российский хакер похитил 272,3 млн аккаунтов почтовых сервисов