"Яндекс" и Mail.ru взломаны через новую уязвимость

"Яндекс" и Mail.ru взломаны через новую уязвимость В компании Cloudseller, которая, нужно сказать, продвигает корпоративный Gmail, считают, что злоумышленники смогли расшифровать захешированные пароли пользователей «Яндекса» и Mail.ru .
Неожиданные крупные утечки паролей к почтовых ящикам «Яндекса» и Mail.ru стали результатами взлома через уязвимости в бесплатном ПО, которое используют крупнейшие российские интернет-компании. Далее, захешированные пароли нетрудно расшифровать - именно этим может объясняться обилие простых паролей в опубликованных базах. Об этом говорится в отчете, который для «Известий» подготовила компания Cloudseller, она является официальным партнером Google в России по распространению корпоративных продуктов Google Apps, в частности почты Gmail.
- Как Yandex, так и Mail.ru в ядре своих сервисов используют операционную систему Linux и ряд open-source продуктов. Часто эти продукты дорабатываются компаниями под свои нужды, но основа остается неизменной. Мы предполагаем, что взлом произошел через неопубликованную (0-day) уязвимость либо в веб-сервисе, либо в системе управления базами данных (MySQL и др.), которые позволили сделать дамп базы - других вариантов взлома нет, разве что изнутри компании. Итогом взлома стала таблица с именами пользователей (логинами) и значениями хеш-функций их паролей, - сказано в отчете. - Через какую именно уязвимость мог произойти взлом, сказать точно сейчас нельзя - эти данные интернет-компании точно не раскроют ни при каких сценариях.
В компании напомнили, что основополагающий принцип хранения паролей - хеширование в соответствии с российскими (ГОСТ Р 34.11-2012) или иностранными (SHA/SHA2) алгоритмами.
- Эти алгоритмы являются математическими функциями, которые производят односторонние преобразования, создавая для каждого пароля уникальный хеш, то есть код, - говорит технический директор Cloudseller Владимир Рузайкин. - Восстановить исходный пароль по хешу невозможно. Однако для коротких паролей (до 8 знаков) существуют таблицы данных («радужные таблицы», rainbow tables), которые значительно ускоряют процесс восстановления пароля по значению его хеша путем последовательного перебора, этакий ускоритель «брутфорса». Для составления «радужных таблиц» требуются значительные вычислительные мощности, но для значительного типа хешей такие таблицы уже сформированы и доступны в интернете любому пользователю.
Рузайкин указал, что для демонстрации факта утечки были опубликованы в основном восстановленные по таблицам короткие и простые пароли.
- Не исключаем того факта, что произошла утечка всей пользовательской базы, и со временем злоумышленники путем перебора получат доступ к учетным записям с более защищенными паролями длиной до 10-12 символов, - добавили в Cloudseller.
Пользователь форума Bitcoin Security под псевдонимом tvskit 6 сентября опубликовал 1,3 млн пар «логин-пароль» к почтовому сервису «Яндекса», 8 сентября поднялась шумиха. Вечером того же дня он выложил файл с 4,7 млн «учеток» Mail.ru, около 800 тыс. из которых сопровождались паролями. Всего в Mail.ru, по данным компании, более 100 млн активных учетных записей, «Яндекс» свою статистику по ящикам не раскрывает. Корпоративной почтой «Яндекс» для бизнес-целей пользуется порядка 320 тыс. компаний, корпоративной почтой Mail.ru - около 23 тыс. компаний.
- Я выложил базу только для криптоманов, чтоб задумались о политике безопасности! Вы должны понимать, что база кем-то уже отработана и кто надо изнасилован взломан, - написал tvskit. Ранее этот пользователь активно участвовал в темах форума, посвященных биткоинам. Так, он, по всей видимости, покупал у оборудование для генерации этой виртуальной валюты у швейцарской Bitmine AG и упоминал, что для верификации отправлял сканы своего паспорта биткоин-сервисам.
В ответ на «сливы» «Яндекс» и Mail.ru выступили с похожими заявлениями о том, что в краже паролей они не виноваты и данные утекли с пользовательской стороны - причем не сразу, а постепенно. Сервисы временно заблокировали скомпрометированные ящики, предложив пользователям сменить пароль и привязать номер телефона. К середине торгов в Нью-Йорке на бирже Nasdaq акции «Яндекса» подешевели на 1% (индекс Nasdaq снижался в пределах 0,05%), котировки Mail.ru выросли 8 сентября на 2%.
Известия Источник: [url=http://] http[/url]



Похожие новости
«Яндекс.Почта» сломалась 20 февр. 2015 г.

«Яндекс.Почта» сломалась

Утром в пятницу, 20 февраля, пользователи «Яндекс.Почты» отметили отказ в работе сервиса. В соцсетях отмечают, что доступа к письмам нет как через веб-интерфейс, так и из мобильных приложений.Пресс-служба компании «Яндекс» подтвердила «Ленте.ру» неисправность...

дальше...

База из миллиона паролей к "Яндекс.Почте" появилась в сети 08 сент. 2014 г.

База из миллиона паролей к "Яндекс.Почте" появилась в сети

В сети доступен файл с базой примерно из миллиона пар логин-пароль к почтовым ящикам сервиса «Яндекс.Почта». Об этом сообщил пользователь lagudal блогсервиса «Хабрахабр».В ночь на понедельник появилось сообщение о базе паролей, в которой автор обнаружил...

дальше...

Госслужащим Москвы запретили пользоваться "Яндекс.Почтой" и Gmail 07 авг. 2014 г.

Госслужащим Москвы запретили пользоваться "Яндекс.Почтой" и Gmail

Сотрудникам московской мэрии, префектур, управ и подведомственных организаций запрещено пользоваться личной почтой в служебных целях. Об этом «Известиям» сообщил советник руководителя департамента информационных технологий Москвы Дмитрий Бехтерев. Он...

дальше...

Калининградским чиновникам запретили «вражеские» Skype, Viber, Яндекс.Почту и предложили в качестве альтернативы ICQ и Mail.ru 31 дек. 2016 г.

Калининградским чиновникам запретили «вражеские» Skype, Viber, Яндекс.Почту и предложили в качестве альтернативы ICQ и Mail.ru

В муниципальных учреждениях Калининграда ввели запрет на использование «продуктов и услуг иностранных интернет-компаний». Это следует из сообщения пресс-службы администрации города.К приказу, подписанному заместителем главы администрации Калининграда...

дальше...

Стив Джобс об App Store в 2008 году: Мы не ожидали, что он станет таким большим 26 июля 2018 г.

Стив Джобс об App Store в 2008 году: Мы не ожидали, что он станет таким большим

После запуска App Store в 2008 году, Стив Джобс дал интервью изданию The Wall Street Journal. В честь недавнего юбилея App Store, WSJ опубликовало полную версию беседы.Интервью записывалось в августе 2008 года, спустя месяц после запуска App Store. Даже...

дальше...

"Яндекс" посчитал иск Rambler к Nginx "очень плохим сигналом" российскому IT 13 дек. 2019 г.

"Яндекс" посчитал иск Rambler к Nginx "очень плохим сигналом" российскому IT

Директор по распространению технологий компании "Яндекс" Григорий Бакунов заявил, что считает "очень плохим сигналом" для программистского сообщества иск Rambler к компании Nginx – разработчику одного из самых популярных веб-серверов в мире.По словам...

дальше...

С китом или на ките. "Яндекс" выпустил прошивку на Android 21 февр. 2014 г.

С китом или на ките. "Яндекс" выпустил прошивку на Android

Компания «Яндекс» представила прошивку для мобильных устройств под названием «Яндекс.Кит». Прошивка основана на Android, но все гугловские элементы в ней заменены альтернативами от «Яндекса». «Кит» позиционируется как система, приспособленная под российские...

дальше...

"Яндекс" назвал причины появления в сети паролей от его почты 08 сент. 2014 г.

"Яндекс" назвал причины появления в сети паролей от его почты

«Яндекс» провел исследование базы паролей от ее почтового сервиса и выяснил, что инфраструктура сервиса не была скомпроментирована. Об этом говорится в сообщении пресс-службы компании, полученном «Лентой.ру».Владельцев 150 тысяч аккаунтов «Яндекс» отправил...

дальше...

Последние новости

Новости на сегодня 21 сент. 2021 г.