Появилась информация об одной из крупнейших утечек паролей среди российских сервисов. На одном из ресурсов замечена в открытом доступе база, состоящая более чем из миллиона пар почтовых адресов и паролей пользователей Яндекса. При этом пользователь Хабрхабр, опубликовавший это сообщение утверждает, что большая часть из них подлинные, например, ему удалось найти в базе свой аккаунт, а также проверка первых же ящиков подтверждает, что 8 из 10 в настоящий момент используются. Интересен тот факт, что по сообщению источника все персональные данные пользователей хранились в незащищенном виде в обычном текстовом документе. Впрочем, на эту ситуацию есть альтернативная точка зрения, что персональные данные были подобраны методом перебора и скомпрометированы только простые пароли. Единственное, что можно посоветовать в данной ситуации – как можно скорее поменять пароль от аккаунта и спокойно следить за развитием событий.
Мы оперативно запросили официальный комментарий Яндекса:
Пароли пользователей Яндекса надежно защищены и не хранятся в открытом виде. Поэтому опубликованный список – это не «взлом» и не «утечка» Яндекса. Наши специалисты проверяют этот список, и пока нет оснований считать, что среди среди опубликованных аккаунтов есть те, что принадлежат «живым» пользователям (тем, кто бы заходил на наши сервисы, в Почту, и совершал какие-либо действия, а не был создан роботами), или тех, о взломе которых бы мы не знали (такие аккаунты уже давно отправлены на восстановление пароля).
Сам по себе взлом пароля не означает взлома сервиса. Пароли могут быть скомпрометированы из-за того, что на компьютере пользователя могут быть вирусы, которые передают информацию обо всех персональных данных злоумышленникам или в результате фишинга (когда сайт злоумышленника выглядит, как «настоящий»). Бывает и так, что пользователи регистрируются на разных сомнительных сайтах, в качестве пароля выбирая тот же, что и у e-mail.
В интернете регулярно всплывают «базы паролей». Во-первых, они могут быть ненастоящими, и до их покупки горе-хакер не может этого знать. Во-вторых, существуют базы логинов, которые были созданы роботами с единственной целью – чтобы продать. В-третьих, в подобных базах могут содержаться логины пользователей, пострадавших из-за вирусов на своих компьютерах и фишинга.
Если мы видим, что аккаунт мог быть взломан (по его присутствию в подобных «базах» или по тому, как изменилось поведение пользователя при входе в аккаунт), мы принудительно разлогиниваем пользователя и отправляем его на смену пароля.
