Пользователям Yandex, Mail.ru и Gmail.com

Walking Past

В Сети опубликована база данных с паролями миллиона пользователей «Яндекса»
Неизвестные опубликовали 4,5 млн паролей пользователей Mail.Ru

Сообщение **pavel78** » 09 сен 2014, 06:19

там мертвые аккаунты.

Walking Past

pavel78 писал(а):там мертвые аккаунты.

Поздравляю. Ты первый смог лично проверить 5,5 млн аккаунтов и установить, что они все мёртвые. Теперь я спокоен и на другие мнения буду плевать. Хотя недействительными аккаунты Яндекса стали только потому, что сам Яндекс и отправил ящики на принудительную смену паролей. И это всего лишь Яндекс предполагает, что "85% аккаунтов заброшенные", а свой вывод делает на основании того, что 85% пользователей не ломанулись в ту же секунду менять свои пароли по первому свистку. Ну и ещё один хинт из серии zero knowledge proof - публикация части БД иногда бывает доказательством обладания полной БД.

Александр Рыжов

John Prick · Сообщение **John Prick** » 09 сен 2014, 09:21

Вот сервис проверки своей почты на предмет наличия в списке взломанных

Но не факт, что ему можно доверять. На всякий случай пароль лучше всё равно поменять. Его и так надо менять периодически.

healer · Сообщение **healer** » 09 сен 2014, 09:23

Моих вроде в списке нет

За всех

Купился? Теперь есть, но тебе об этом не скажут.

Сообщение **R717** » 09 сен 2014, 11:13

еще один сервис
http://yaslit.ru/
тем не менее в большом списке, который можно скачать, ни одного моего ящика от яндекса нет

Влад · Сообщение **Влад** » 09 сен 2014, 13:39

И моих ящиков нет в списке

что надо сделать чтобы добавили?

R717 писал(а):еще один сервис
http://yaslit.ru/
тем не менее в большом списке, который можно скачать, ни одного моего ящика от яндекса нет

Может в этом плюс, что нет ящиков на яндексе и мейле?

John Prick · Сообщение **John Prick** » 09 сен 2014, 15:58

Может в этом плюс, что нет ящиков на яндексе и мейле?

У меня ломали ящик gmail с весьма непростым паролем. Так что не в яндексе дело.

Walking Past

Продолжение, которое можно было прогнозировать (но совсем не обязательно этому продолжению верить). Уже нашлись эксперты по безопасности, которые полагают, что Яндекс врёт, и базу умыкнули именно у него через уязвимости ПО (а не собирали по крохам годами с помощью вирусов). Причём пользовательскую базу умыкнули всю полностью, а не только то, что выложено в инет.

крупные утечки паролей к почтовых ящикам «Яндекса» и Mail.ru стали результатами взлома через уязвимости в бесплатном ПО, которое используют крупнейшие российские интернет-компании. Далее, захешированные пароли нетрудно расшифровать — именно этим может объясняться обилие простых паролей в опубликованных базах. Об этом говорится в отчете, который для «Известий» подготовила компания Cloudseller
...
— Не исключаем того факта, что произошла утечка всей пользовательской базы, и со временем злоумышленники путем перебора получат доступ к учетным записям с более защищенными паролями длиной до 10–12 символов, — добавили в Cloudseller.

И, собственно, ту же версию подтверждает сам "автор" скандала.

Пользователь форума Bitcoin Security под псевдонимом tvskit 6 сентября опубликовал 1,3 млн пар логин–пароль к почтовому сервису «Яндекса», 8 сентября поднялась шумиха. Вечером того же дня он выложил файл с 4,7 млн «учеток» Mail.ru, около 800 тыс. из которых сопровождались паролями.
...
«Я выложил базу только для криптоманов, чтоб задумались о политике безопасности! Вы должны понимать, что база кем-то уже отработана и кто надо, взломан», — написал tvskit.

По косвенным данным можно предположить, что под расшифровку хэшей были задействованы высвобождающиеся вычислительные мощности, ранее занятые майнингом Биткоинов.

Сообщение **R717** » 10 сен 2014, 07:31

олололололололо
http://www.business-gazeta.ru/article/113729/
Около 5 млн. паролей от почты GMail попали в открытый доступ
Яндекс, Мэйл, теперь и Гугл... Может все такие вирусня и фишинг у криворуких юзеров?

Walking Past

R717 писал(а):Может все такие вирусня и фишинг у криворуких юзеров?

"Не верю" (с)
Одна дырка в серверном ПО легко заменяет больше десятка миллионов криворуких юзеров и десяток лет собирания паролей по крупицам.
Причём дырка легко может быть одна и та же и на Яндексе, и на Майл.ру, и на Гугле.

Александр Рыжов

John Prick · Сообщение **John Prick** » 10 сен 2014, 08:54

Александр Рыжов писал(а):http://www.isleaked.com теперь проверяет адреса по всем трём утекшим базам.

Ну вот странно. Ящик на gmail у меня не так давно ломали, а в базе его нет...

Ланочка

Я на всякий случай поменяла пароль

Walking Past

Ланочка писал(а):Я на всякий случай поменяла пароль

Для размышления. Несколько месяцев назад было много шума по поводу HeartBleed в OpenSSL - проблема этой (теперь уже известной и почти везде закрытой) дырки в том, что к утечке пароля вёл сам факт использования уязвимого сервиса (и смена пароля в том числе).

Dejmos · Сообщение **Dejmos** » 10 сен 2014, 09:58

Ланочка писал(а):Я на всякий случай поменяла пароль

А ты случайно iCloud не используешь? Оттуда были куда более интересные утечки

Dejmos · Сообщение **Dejmos** » 10 сен 2014, 10:00

Walking Past писал(а):
R717 писал(а):Может все такие вирусня и фишинг у криворуких юзеров?
"Не верю" (с)
Одна дырка в серверном ПО легко заменяет больше десятка миллионов криворуких юзеров и десяток лет собирания паролей по крупицам.
Причём дырка легко может быть одна и та же и на Яндексе, и на Майл.ру, и на Гугле.

Зря не веришь. [извините], жмущих на все попавшиеся ссылки и сидящих без файрволлов и антивирусов, в интернетах куда больше, чем кажется.

Академик Иосиф

Доктер Веб вообще дерьмовый антивирус

Сообщение **Maksum** » 10 сен 2014, 10:14

проверил свои 58 ящиков, ни одного в базе нет, даже обыдно.
п.с. дурак веб напоминает имхо дырявый зонтик.

Walking Past

Dejmos писал(а):Зря не веришь. [извините], жмущих на все попавшиеся ссылки и сидящих без файрволлов и антивирусов, в интернетах куда больше, чем кажется.

Расскажи мне, о мудрец, как антивирус и файрвол, установленный у юзера, защитит его, например, от HeartBleed. Который на сервере. Внимательно слушаю.

Сообщение **Maksum** » 10 сен 2014, 10:21

justas, гораздо меньше пропускает, проверено на практике, нам то как раз дурака вэба всем добровольно-принудительно "задарили", имхо единственное его достоинство более толерантен к железу.

Академик Иосиф

justas, по личному опыту скажу, что Каспер намного лучше Дохлого Веба.

Сообщение **R717** » 10 сен 2014, 11:07

каспер, который можно убить через диспетчер задач?...

Александр Рыжов

умка · Сообщение **умка** » 10 сен 2014, 11:30

Maksum писал(а):...проверил свои 58 ящиков ...

Большой дом у тебя...

.

John Prick · Сообщение **John Prick** » 10 сен 2014, 12:28

кстати DrWeb очень хорошо утилизирует все имеющиеся ядра процессора при проверке. Вплоть до HyperThreading. Степерь распараллеливания у них очень хорошая.

Угу, стоит он у нас на работе у всех. Когда начинает проверку, можно смело идти домой - все 4 ядра забиты под 100%.

pinkmouse · Сообщение **pinkmouse** » 10 сен 2014, 12:39

Эге.
Я вот, на своих микротиках \по возможности и по знаниям\ рублю все какашки. Тьфу-тьфу, пока за последний\второй год ничего не прилетело)
\Ну кроме ХР-шной машины у нашего босса, но это и так понятно...\
Ну и РАБОТА НАД ДОПУЩЕННЫМ ПЕРСОНАЛОМ самое главное, епт - люди в общей массе- [извините])

Смоленский Форум