Миллион паролей от Яндекса

Вчера на нескольких сайтах появилась информация про базу логинов и паролей на Яндексе – более миллиона записей. Мы проанализировали эту базу и совершенно уверены, что она получена не в результате взлома наших сервисов.

Вам не нужно искать этот список логинов и паролей и проверять, нет ли там вас.
Всех пользователей, которые туда попали, мы уже оповестили и сбросили их пароли – теперь в эти ящики невозможно войти, не поменяв пароль. Просто попробуйте войти в вашу Яндекс.Почту. Если вам не предлагают поменять пароль – значит можно не беспокоиться.



Наши специалисты уверены, что база собиралась в течение долгого времени, а не в результате целенаправленной атаки. Злоумышленники получают доступ к учётным данным пользователей разными способами – с помощью фишинга (когда пользователи вводят свои данные на сайте-подделке), вирусов или кросс-чека (когда люди используют одинаковые пароли на разных ресурсах, взлом одного из них означает, что скомпрометированы все).

Среди паролей в списке есть такие, которые мы уже давно не разрешаем использовать при создании новой учётной записи (например, «qwerty»). О 85% аккаунтов из выложенной базы нам было известно и до этого – большинство из них появляются в подобных списках уже несколько лет. Для некоторых аккаунтов пароли уже были сброшены – но их владельцы так и не поменяли пароль и не зашли в свой почтовый ящик. Это означает, что эти ящики либо давно заброшены, либо созданы роботами.

Подробности о том, как мы храним пароли и почему считаем, что дело не во взломе сервиса, можно прочитать в нашем блоге на Хабре. Ну и на всякий случай: время от времени полезно менять пароль, даже без всяких причин.

34 комментария
Значит, такую же базу от других почтовых серверов следует ожидать вот-вот?
Наташа Крупенина
26 ноября 2015, 14:58
wataga,
такие базы регулярно появляются. Они бывают, в том числе, ненастоящие, созданные только для продажи.
Наташа, почему ты отвечаешь на эти вопросы? )
Ali,
вы чо, решили, если я первый написал, то я бот? Ресшифровываю - если на убежало, а копилось годами, то значит так же делали и с другими почтовиками. Тогда такие же базы будут и от гугла. Если не появятся - значит рассказы про сбор инфы вне яндекса - хорошая мина, а взяли прямо с яндекса, и нужно задуматься о его полезности
wataga,
уже mail.ru выложили
Антоний,
ну, теперь обвинения с вас сняты :) хотя есть и другая версия, более конспиративная, но даже если и так - то спасибо за заботу-работу.
jЯ поменять пароль не могу, номер телефона на который код должен прийти при смене пароля, так вот у меня нет доступа к этому номеру (временно), писал в поддержку, молчат. Дак как поменять то и почему поддержка молчит или так долго собирает мысли для ответа!!
Наташа Крупенина
26 ноября 2015, 14:58
gosocon,
подождите, пожалуйста, ещё немного, поддержка обязательно ответит.
меня"вскрыли".
при этом никаких писем ссылками не получал, ссылок не кликал.антивирус молчал, яндекс.браузер тоже ничего не сообщил,хотя и касперский встроен и фильтры яндекса.
почта стоит в закладках-пароль нигде не вводил.пользуюсь каждый день
после этого проверил двумя антивирусными утилитами-чисто.
сомнения в том,что не у яндекса утечка
Наташа Крупенина
26 ноября 2015, 14:58
Илья,
причин может быть довольно много. Скажем, если вы используете один и тот же пароль на нескольких сайтах – это тоже фактор риска.
Наташа Крупенина,
я не такой уж кретин) для почты пароль был уникальный - в том смысле,что нигде больше не использовался
Илья,
значит всё-таки кретин
Евгений,
значит вам надо завалить и надеяться, что вас на взломают
Илья,
ты чайник )
Сергей Чистович
26 ноября 2015, 14:58
спасибо, что всё подробно рассказали!
Склонен считать хакеров не жестокими, хотя и среди них могут быть маньяки. Всё же, люди интеллектуальные, даже мстят и наказывают не безжалостно. Ну а если делают что-то ради выгоды, то тут уж "ничего личного". Возможно, что базы выложены с целью привлечения внимания, чтоб обратить наше внимание на нашу беспечность, мол пора бы и пароли поменять... Если же, приведение демократичности интернета к цивилизованности, выйдет за некоторые рамки - хакеры возможно останутся последней надеждой на сатисфакцию. Это я не о воровстве авторских прав и не о спаме и даже не о величайшей ддос-атаке всех времён на Спамхаус. Я это вообще, о чрезмерной монетизации и слишком агрессивной конкурентной борьбе за нас.
Ваши специ, при востановлении показывают сотовые пользователей... вы что делаете?
Как я и сказал, это не взлом...
Мне вот интересно когда начнут хакать pdd.yandex.ru и что нам делать в таком случае? в ручную самим менять все пароли на pdd.yandex.ru?
Евгения З.
26 ноября 2015, 14:58
А где можно посмотреть? Я так понимаю, что не всех взломали, может я там есть?
Иван Назаров
26 ноября 2015, 14:58
Евгения З.,
в самом начале написано: "Вам не нужно искать этот список логинов и паролей и проверять, нет ли там вас.
Всех пользователей, которые туда попали, мы уже оповестили и сбросили их пароли – теперь в эти ящики невозможно войти, не поменяв пароль."
Внимательнее и без паники ;)
Валерий А.
26 ноября 2015, 14:58
Пару лет назад мы развлекались вот такой штукой на Селигере http://www.abashin.ru/lab/hipass/ В ней в одном пароле скрывается 4 пароля. Кроме биометрического, остальные платформонезависимые. Собственно я один из авторов. Я не коммерсант, к.т.н., работаю в ВУЗе, если заинтересует обращайтесь, хотя там все просто, сами сможете собрать. Для этой штуки можно организовать предварительную подготовку данных на стороне клиента, дополнительная боль фишерам.
Сергей Гришин
26 ноября 2015, 14:58
Скорей всего это очередная утка, привлекая к себе посетителей. А может и обратная ситуация "ждать взломщикам того момента, когда начнут массово менять пароли, улавливая моменты смены. Есть еще и плюсы, ведь рекомендуют почаще менять пароли, вот и на стал такой момент. А кто думает иначе?
У меня возникли ощущения (из анализа своих знакомых), что вскрыты пароли активных пользователей Одноклассников, причём тех, кто постоянно открывает их из Яндекс-почты.
Вопрос с Яндексу: можно ли как-нибудь этому противостоять?
Наташа Крупенина
26 ноября 2015, 14:58
Basil-S,
утечки данных из Яндекс.Почты нет. Противостоять можно: придумать сложный пароль, беречь его, поставить антивирус и так далее. http://blog.yandex.ru/post/72690/
Наташа, я же и говорю, что проблема не в Яндексе, а в Одноклассниках. Что-то там просачивается...
Хотя есть ещё наиболее вероятный вариант: free wifi. Вот тут никуда не убежишь, особенно, когда он беспарольный, а у тебя на телефоне стоит автоматическое подключение. А дальше - дело техники...
Логины в домене @yandex.ru были выложены или "Почта для домена" на ЯндексПочте не тронута?
Андрей Петров
26 ноября 2015, 14:58
А как восстановить контроль над электронным адресом на Яндексе, если он был создан под псевдонимом, а сотовыми телефонами я не пользуюсь. Нельзя ли получить код доступа к заблокированному ящику на резервный e-mail адрес? Тем более, что мой заблокированный адрес на самом деле никем не был взломан.
Наташа Крупенина
26 ноября 2015, 14:58
Андрей Петров,
напишите, пожалуйста, в службу поддержки.
Благодарю за поддержку
Так что теперь наши аккаунты могут взломать, или что?