Вчера на нескольких сайтах появилась информация про базу логинов и паролей на Яндексе – более миллиона записей. Мы проанализировали эту базу и совершенно уверены, что она получена не в результате взлома наших сервисов.
Вам не нужно искать этот список логинов и паролей и проверять, нет ли там вас.
Всех пользователей, которые туда попали, мы уже оповестили и сбросили их пароли – теперь в эти ящики невозможно войти, не поменяв пароль. Просто попробуйте войти в вашу Яндекс.Почту. Если вам не предлагают поменять пароль – значит можно не беспокоиться.
Наши специалисты уверены, что база собиралась в течение долгого времени, а не в результате целенаправленной атаки. Злоумышленники получают доступ к учётным данным пользователей разными способами – с помощью фишинга (когда пользователи вводят свои данные на сайте-подделке), вирусов или кросс-чека (когда люди используют одинаковые пароли на разных ресурсах, взлом одного из них означает, что скомпрометированы все).
Среди паролей в списке есть такие, которые мы уже давно не разрешаем использовать при создании новой учётной записи (например, «qwerty»). О 85% аккаунтов из выложенной базы нам было известно и до этого – большинство из них появляются в подобных списках уже несколько лет. Для некоторых аккаунтов пароли уже были сброшены – но их владельцы так и не поменяли пароль и не зашли в свой почтовый ящик. Это означает, что эти ящики либо давно заброшены, либо созданы роботами.
Подробности о том, как мы храним пароли и почему считаем, что дело не во взломе сервиса, можно прочитать в нашем блоге на Хабре. Ну и на всякий случай: время от времени полезно менять пароль, даже без всяких причин.