Миллион паролей от Яндекса

8 сентября 2014, 15:12

Вчера на нескольких сайтах появилась информация про базу логинов и паролей на Яндексе – более миллиона записей. Мы проанализировали эту базу и совершенно уверены, что она получена не в результате взлома наших сервисов.

Вам не нужно искать этот список логинов и паролей и проверять, нет ли там вас.
Всех пользователей, которые туда попали, мы уже оповестили и сбросили их пароли – теперь в эти ящики невозможно войти, не поменяв пароль. Просто попробуйте войти в вашу Яндекс.Почту. Если вам не предлагают поменять пароль – значит можно не беспокоиться.



Наши специалисты уверены, что база собиралась в течение долгого времени, а не в результате целенаправленной атаки. Злоумышленники получают доступ к учётным данным пользователей разными способами – с помощью фишинга (когда пользователи вводят свои данные на сайте-подделке), вирусов или кросс-чека (когда люди используют одинаковые пароли на разных ресурсах, взлом одного из них означает, что скомпрометированы все).

Среди паролей в списке есть такие, которые мы уже давно не разрешаем использовать при создании новой учётной записи (например, «qwerty»). О 85% аккаунтов из выложенной базы нам было известно и до этого – большинство из них появляются в подобных списках уже несколько лет. Для некоторых аккаунтов пароли уже были сброшены – но их владельцы так и не поменяли пароль и не зашли в свой почтовый ящик. Это означает, что эти ящики либо давно заброшены, либо созданы роботами.

Подробности о том, как мы храним пароли и почему считаем, что дело не во взломе сервиса, можно прочитать в нашем блоге на Хабре. Ну и на всякий случай: время от времени полезно менять пароль, даже без всяких причин.

35 комментариев
Подписаться на комментарии к посту
Значит, такую же базу от других почтовых серверов следует ожидать вот-вот?
wataga,
такие базы регулярно появляются. Они бывают, в том числе, ненастоящие, созданные только для продажи.
Наташа, почему ты отвечаешь на эти вопросы? )
ideali,
вы чо, решили, если я первый написал, то я бот? Ресшифровываю - если на убежало, а копилось годами, то значит так же делали и с другими почтовиками. Тогда такие же базы будут и от гугла. Если не появятся - значит рассказы про сбор инфы вне яндекса - хорошая мина, а взяли прямо с яндекса, и нужно задуматься о его полезности
Антонiй Стовпѣцъ
9 сентября 2014, 09:51
wataga,
уже mail.ru выложили
Антонiй Стовпѣцъ,
ну, теперь обвинения с вас сняты :) хотя есть и другая версия, более конспиративная, но даже если и так - то спасибо за заботу-работу.
jЯ поменять пароль не могу, номер телефона на который код должен прийти при смене пароля, так вот у меня нет доступа к этому номеру (временно), писал в поддержку, молчат. Дак как поменять то и почему поддержка молчит или так долго собирает мысли для ответа!!
gosocon,
подождите, пожалуйста, ещё немного, поддержка обязательно ответит.
меня"вскрыли".
при этом никаких писем ссылками не получал, ссылок не кликал.антивирус молчал, яндекс.браузер тоже ничего не сообщил,хотя и касперский встроен и фильтры яндекса.
почта стоит в закладках-пароль нигде не вводил.пользуюсь каждый день
после этого проверил двумя антивирусными утилитами-чисто.
сомнения в том,что не у яндекса утечка
ilya-miroshnichenko,
причин может быть довольно много. Скажем, если вы используете один и тот же пароль на нескольких сайтах – это тоже фактор риска.
capra,
я не такой уж кретин) для почты пароль был уникальный - в том смысле,что нигде больше не использовался
ilya-miroshnichenko,
значит всё-таки кретин
Mishlen,
значит вам надо завалить и надеяться, что вас на взломают
спасибо, что всё подробно рассказали!
Хм.. интересно, у меня два аккаунта на яндексе. Один (этот) вскрыли, но я успел его спасти, а другой нет, хотя они оба давно мной используются на всех используемых мной компьютерах. Значит это не троян и не фишинг, тут я очень аккуратен.
Склонен считать хакеров не жестокими, хотя и среди них могут быть маньяки. Всё же, люди интеллектуальные, даже мстят и наказывают не безжалостно. Ну а если делают что-то ради выгоды, то тут уж "ничего личного". Возможно, что базы выложены с целью привлечения внимания, чтоб обратить наше внимание на нашу беспечность, мол пора бы и пароли поменять... Если же, приведение демократичности интернета к цивилизованности, выйдет за некоторые рамки - хакеры возможно останутся последней надеждой на сатисфакцию. Это я не о воровстве авторских прав и не о спаме и даже не о величайшей ддос-атаке всех времён на Спамхаус. Я это вообще, о чрезмерной монетизации и слишком агрессивной конкурентной борьбе за нас.
Антонiй Стовпѣцъ
9 сентября 2014, 09:50
Ваши специ, при востановлении показывают сотовые пользователей... вы что делаете?
Как я и сказал, это не взлом...
Мне вот интересно когда начнут хакать pdd.yandex.ru и что нам делать в таком случае? в ручную самим менять все пароли на pdd.yandex.ru?
А где можно посмотреть? Я так понимаю, что не всех взломали, может я там есть?
Назаров Иван
11 сентября 2014, 11:00
Eugenia75,
в самом начале написано: "Вам не нужно искать этот список логинов и паролей и проверять, нет ли там вас.
Всех пользователей, которые туда попали, мы уже оповестили и сбросили их пароли – теперь в эти ящики невозможно войти, не поменяв пароль."
Внимательнее и без паники ;)
Пару лет назад мы развлекались вот такой штукой на Селигере http://www.abashin.ru/lab/hipass/ В ней в одном пароле скрывается 4 пароля. Кроме биометрического, остальные платформонезависимые. Собственно я один из авторов. Я не коммерсант, к.т.н., работаю в ВУЗе, если заинтересует обращайтесь, хотя там все просто, сами сможете собрать. Для этой штуки можно организовать предварительную подготовку данных на стороне клиента, дополнительная боль фишерам.
Скорей всего это очередная утка, привлекая к себе посетителей. А может и обратная ситуация "ждать взломщикам того момента, когда начнут массово менять пароли, улавливая моменты смены. Есть еще и плюсы, ведь рекомендуют почаще менять пароли, вот и на стал такой момент. А кто думает иначе?
У меня возникли ощущения (из анализа своих знакомых), что вскрыты пароли активных пользователей Одноклассников, причём тех, кто постоянно открывает их из Яндекс-почты.
Вопрос с Яндексу: можно ли как-нибудь этому противостоять?
Basil-S,
утечки данных из Яндекс.Почты нет. Противостоять можно: придумать сложный пароль, беречь его, поставить антивирус и так далее. http://blog.yandex.ru/post/72690/
Наташа, я же и говорю, что проблема не в Яндексе, а в Одноклассниках. Что-то там просачивается...
Хотя есть ещё наиболее вероятный вариант: free wifi. Вот тут никуда не убежишь, особенно, когда он беспарольный, а у тебя на телефоне стоит автоматическое подключение. А дальше - дело техники...
Логины в домене @yandex.ru были выложены или "Почта для домена" на ЯндексПочте не тронута?
А как восстановить контроль над электронным адресом на Яндексе, если он был создан под псевдонимом, а сотовыми телефонами я не пользуюсь. Нельзя ли получить код доступа к заблокированному ящику на резервный e-mail адрес? Тем более, что мой заблокированный адрес на самом деле никем не был взломан.
liksont,
напишите, пожалуйста, в службу поддержки.
Благодарю за поддержку
Так что теперь наши аккаунты могут взломать, или что?