Учитесь на чужих ошибках: таких паролей нужно избегать. Анализ сломанной базы паролей
08.09.2014
Пользователи в соцсетях сообщили о появлении в сети базы с 4,5 миллионами паролей к почтовому сервису Mail.ru.
"Лента.ру" проверила базу и обнаружила в ней пароль к почтовому ящику одного из сотрудников. Однако при попытке применить его почтовый сервис выдает предупреждение, что с данного ящика была попытка рассылки спама, и предлагает поменять пароль.
Компания Mail.ru пообещала предоставить комментарий в ближайшее время.
А днём ранее, в воскресенье утром (07.09.2014), хакеры опубликовали базу паролей к почтовым ящикам "Яндекса".
В то же время социальная сеть "ВКонтакте" при необходимости может заблокировать аккаунты пользователей Mail.ru, чья почта была скомпрометирована, заявил представитель компании Георгий Лобушкин, пишут РИА Новости.
Итак, в воскресенье утром (07.09.2014) хакеры опубликовали базу паролей к почтовым ящикам "Яндекса". Вечером стало ясно о довольно серьезной утечке паролей к аккаунтам на Яндексе (угрозе подвержены около 1,25 миллиона учетных записей). Выложила в открытый доступ базу e-mail адресов и паролей от почтовых ящиков "Яндекса" администрация российского форума Infosliv.ru .
В документе под названием pass yandex-ru.txt содержится более 1,2 млн позиций.
Сотрудники российского интернет-гиганта оперативно отреагировали и сообщили, что в курсе проблемы и ведут расследование. По их информации, скорее всего, пароли были собраны методом фишинга или «троянсими конями».
Впрочем, для десятков тысяч почтовых адресов не требовалось и этого. Так, около 40 тысяч человек использовали пароль: "123456", 13 тысяч предпочитали пароль: "1234567890" и так далее..
Пользователь Habrahabr.ru под ником Haoos проанализировал сломанную базу паролей к почтовым ящикам "Яндекса".
Он выбрал 200 самых распространенных паролей и подсчитал, сколько раз они встречаются в базе, пишет AIN.ua.
Оказалось, что самый популярный пароль среди пользователей "Яндекса" - "123456". Его выбрали почти 38 000 пользователей.
Еще 13 000 пользователей защитили свой ящик паролем "123456789", на третьем месте - "111111".
Четвертое и пятое место, соответственно в "qwerty" и "1234567890". Топ-20 списка выглядит следующим образом.
123456 - 37821 пользователь;
123456789 - 13269 пользователей;
111111 - 9470 пользователей;
qwerty - 7681 пользователь;
1234567890 - 5596 пользователей;
1234567 - 4476 пользователей;
7777777 - 4407 пользователей;
123321 - 4168 пользователей;
000000 - 3134 пользователей;
123123 - 2862 пользователей;
666666 - 2663 пользователей;
12345678 - 2426 пользователей;
555555 - 2291 пользователей;
654321 - 2179 пользователей;
gfhjkm - 1720 пользователей;
12345 - 1428 пользователей;
777777 - 1424 пользователей;
112233 - 1424 пользователей;
121212 - 1379 пользователей;
987654321 - 1307 пользователей;
База данных с паролями была выложена в открытый доступ, поэтому, если у вас почта на Яндексе (или вы пользуетесь другими сервисами yandex.ru), по возможности обезопасьте себя и смените пароли как можно быстрее.
08.09.2014 14:17
1 000 000 уже неработающих паролей в открытом доступе. Как мы защищаем пользователей Яндекса
Блог компании Яндекс, Информационная безопасность*, Яндекс
Вчера ночью в нескольких местах, в том числе на Хабре, появилась информация о базе паролей к некоторым аккаунтам на Яндексе. За последние несколько часов мы тщательно её проанализировали и пришли к следующим выводам. Во-первых, речь не идёт о взломе Яндекса — данные стали известны злоумышленникам в результате вирусной активности на заражённых компьютерах некоторых пользователей или фишинга. Это не целенаправленная атака, а результат сбора скомпрометированных аккаунтов в течение длительного периода времени.
О 85% скомпрометированных аккаунтов из этой базы нам уже было известно через анализ их поведения или другими способами. Мы предупреждали их владельцев и отправили их на смену пароля, но они этого не сделали. Это означает, что такие аккаунты, скорее всего, заброшены либо созданы роботами.
Проверить, нет ли вас в списке, очень просто — попытайтесь сейчас зайти в Яндекс.Почту. Всех владельцев оставшихся аккаунтов этой ночью мы отправили на принудительную смену пароля.
Конечно, мы не храним пароли открытым текстом, никогда не передаём их по сети открытым текстом и не открываем их любым третьим лицам. Более того, большинство из этих паролей слишком простые, и сейчас их даже установить не получилось бы. Технические и не очень подробности читайте под катом.
Данные пользователей Яндекса, конечно же, не хранятся в открытом виде: мы используем «соленый хеш» с очень длинной (48 бит) солью. Речь не идёт о «кроте» — пароли «утекли» от пользователей, а не из Яндекса.
Эти пароли не могли быть получены в результате пассивного сетевого сниффинга: в Яндексе достаточно давно все ситуации, в которых передается пароль, защищены TLS. Например, в Почте для протоколов POP3, IMAP и SMTP используется STARTTLS или варианты протоколов со включенным TLS. В веб-версии пароль отправляется на passport.yandex.* по https, при этом для этих адресов не только используется HSTS, но и они помещены в так называемый preloaded list для браузеров Chrome, Mozilla и Яндекс.Браузера. Таким образом, трафик на Паспорт всегда приходит по https. Все это позволяет нам исключить версию со сниффингом.
По нашему мнению, опубликованный список паролей является результатом длительной работы: частично он наполнен данными, которые явно были получены в момент их ввода пользователем — либо с помощью клавиатурного шпиона, либо за счет фишинга. Кроме того, не исключена ситуация кросс-чека: если пользователь использует один и тот же пароль на разных ресурсах, взлом на одном из них приводит к компрометации и других учетных записей пользователя.
Среди скомпрометированных паролей есть такие (например, «qwerty»), которые уже нельзя установить: довольно давно мы включили их в стоп-листы. То есть в опубликованном списке присутствуют очень старые пароли, что мы проверили и по своим базам данных. Это может объяснить, почему некоторые комментаторы пишут, что они нашли в базе логин, которым давно не пользовались. Он мог быть скомпрометирован не на прошлой неделе, а несколько лет назад.
По нашим внутренним данным, около 85% логинов в этом списке уже были известны нам как скомпрометированные. При этом на момент публикации списка им уже было предложено сменить пароль, но они этого не сделали. Это говорит о том, что живые люди этими ящиками не пользуются, а боты перестали пользоваться, когда был установлен флаг смены пароля (там нужно ввести капчу, и обычно бот-мастера предпочитают не покупать ее распознавание, а просто бросить аккаунт).
На всякий случай, опровергнем и спекуляции о предоставлении доступа сотрудникам спецслужб к серверам Яндекса. Мы никому не предоставляем ни пароли в открытом виде, ни даже их хеши. Сотрудники ФСБ, ЦРУ, АНБ, Моссада и других субъектов ОРМ не имеют доступа к серверам Яндекса. Доступ к содержимому почтового ящика может быть предоставлен исключительно по решению суда.
Таким образом, мы исключаем версии об утечке паролей из Яндекса, и считаем, что база могла быть наполнена либо за счет фишинга, либо за счет скомпрометированных компьютеров пользователей, либо за счет кросс-чека.
Взлом пароля не означает взлом сервиса. Пароли могут быть скомпрометированы из-за того, что на компьютере пользователя есть вирусы, которые передают информацию о персональных данных злоумышленникам. Или «утекли» в результате фишинга, когда сайт злоумышленника выглядит, как настоящий, и пользователь вводит там пару логин/пароль. Бывает и так, что пользователи регистрируются на разных сомнительных сайтах, в качестве пароля выбирая тот же, что и у почтового ящика, с которого происходит регистрация.
Фишинг, кросс-чек и утечка паролей с компьютеров пользователей из-за вирусов — постоянная проблема многих популярных сервисов, а не результат одноразовой и целенаправленной атаки пользователей.
В конце хочется ещё раз всем порекомендовать выбирать сложные пароли и регулярно их менять. Не поленимся ещё раз дать ссылку на наш любимый сайт на эту тему: security.yandex.ru.
08.09.2014
Пользователи в соцсетях сообщили о появлении в сети базы с 4,5 миллионами паролей к почтовому сервису Mail.ru.
"Лента.ру" проверила базу и обнаружила в ней пароль к почтовому ящику одного из сотрудников. Однако при попытке применить его почтовый сервис выдает предупреждение, что с данного ящика была попытка рассылки спама, и предлагает поменять пароль.
Компания Mail.ru пообещала предоставить комментарий в ближайшее время.
А днём ранее, в воскресенье утром (07.09.2014), хакеры опубликовали базу паролей к почтовым ящикам "Яндекса".
В то же время социальная сеть "ВКонтакте" при необходимости может заблокировать аккаунты пользователей Mail.ru, чья почта была скомпрометирована, заявил представитель компании Георгий Лобушкин, пишут РИА Новости.
Итак, в воскресенье утром (07.09.2014) хакеры опубликовали базу паролей к почтовым ящикам "Яндекса". Вечером стало ясно о довольно серьезной утечке паролей к аккаунтам на Яндексе (угрозе подвержены около 1,25 миллиона учетных записей). Выложила в открытый доступ базу e-mail адресов и паролей от почтовых ящиков "Яндекса" администрация российского форума Infosliv.ru .
В документе под названием pass yandex-ru.txt содержится более 1,2 млн позиций.
Сотрудники российского интернет-гиганта оперативно отреагировали и сообщили, что в курсе проблемы и ведут расследование. По их информации, скорее всего, пароли были собраны методом фишинга или «троянсими конями».
Впрочем, для десятков тысяч почтовых адресов не требовалось и этого. Так, около 40 тысяч человек использовали пароль: "123456", 13 тысяч предпочитали пароль: "1234567890" и так далее..
Пользователь Habrahabr.ru под ником Haoos проанализировал сломанную базу паролей к почтовым ящикам "Яндекса".
Он выбрал 200 самых распространенных паролей и подсчитал, сколько раз они встречаются в базе, пишет AIN.ua.
Оказалось, что самый популярный пароль среди пользователей "Яндекса" - "123456". Его выбрали почти 38 000 пользователей.
Еще 13 000 пользователей защитили свой ящик паролем "123456789", на третьем месте - "111111".
Четвертое и пятое место, соответственно в "qwerty" и "1234567890". Топ-20 списка выглядит следующим образом.
123456 - 37821 пользователь;
123456789 - 13269 пользователей;
111111 - 9470 пользователей;
qwerty - 7681 пользователь;
1234567890 - 5596 пользователей;
1234567 - 4476 пользователей;
7777777 - 4407 пользователей;
123321 - 4168 пользователей;
000000 - 3134 пользователей;
123123 - 2862 пользователей;
666666 - 2663 пользователей;
12345678 - 2426 пользователей;
555555 - 2291 пользователей;
654321 - 2179 пользователей;
gfhjkm - 1720 пользователей;
12345 - 1428 пользователей;
777777 - 1424 пользователей;
112233 - 1424 пользователей;
121212 - 1379 пользователей;
987654321 - 1307 пользователей;
База данных с паролями была выложена в открытый доступ, поэтому, если у вас почта на Яндексе (или вы пользуетесь другими сервисами yandex.ru), по возможности обезопасьте себя и смените пароли как можно быстрее.
08.09.2014 14:17
1 000 000 уже неработающих паролей в открытом доступе. Как мы защищаем пользователей Яндекса
Блог компании Яндекс, Информационная безопасность*, Яндекс
Вчера ночью в нескольких местах, в том числе на Хабре, появилась информация о базе паролей к некоторым аккаунтам на Яндексе. За последние несколько часов мы тщательно её проанализировали и пришли к следующим выводам. Во-первых, речь не идёт о взломе Яндекса — данные стали известны злоумышленникам в результате вирусной активности на заражённых компьютерах некоторых пользователей или фишинга. Это не целенаправленная атака, а результат сбора скомпрометированных аккаунтов в течение длительного периода времени.
О 85% скомпрометированных аккаунтов из этой базы нам уже было известно через анализ их поведения или другими способами. Мы предупреждали их владельцев и отправили их на смену пароля, но они этого не сделали. Это означает, что такие аккаунты, скорее всего, заброшены либо созданы роботами.
Проверить, нет ли вас в списке, очень просто — попытайтесь сейчас зайти в Яндекс.Почту. Всех владельцев оставшихся аккаунтов этой ночью мы отправили на принудительную смену пароля.
Конечно, мы не храним пароли открытым текстом, никогда не передаём их по сети открытым текстом и не открываем их любым третьим лицам. Более того, большинство из этих паролей слишком простые, и сейчас их даже установить не получилось бы. Технические и не очень подробности читайте под катом.
Данные пользователей Яндекса, конечно же, не хранятся в открытом виде: мы используем «соленый хеш» с очень длинной (48 бит) солью. Речь не идёт о «кроте» — пароли «утекли» от пользователей, а не из Яндекса.
Эти пароли не могли быть получены в результате пассивного сетевого сниффинга: в Яндексе достаточно давно все ситуации, в которых передается пароль, защищены TLS. Например, в Почте для протоколов POP3, IMAP и SMTP используется STARTTLS или варианты протоколов со включенным TLS. В веб-версии пароль отправляется на passport.yandex.* по https, при этом для этих адресов не только используется HSTS, но и они помещены в так называемый preloaded list для браузеров Chrome, Mozilla и Яндекс.Браузера. Таким образом, трафик на Паспорт всегда приходит по https. Все это позволяет нам исключить версию со сниффингом.
По нашему мнению, опубликованный список паролей является результатом длительной работы: частично он наполнен данными, которые явно были получены в момент их ввода пользователем — либо с помощью клавиатурного шпиона, либо за счет фишинга. Кроме того, не исключена ситуация кросс-чека: если пользователь использует один и тот же пароль на разных ресурсах, взлом на одном из них приводит к компрометации и других учетных записей пользователя.
Среди скомпрометированных паролей есть такие (например, «qwerty»), которые уже нельзя установить: довольно давно мы включили их в стоп-листы. То есть в опубликованном списке присутствуют очень старые пароли, что мы проверили и по своим базам данных. Это может объяснить, почему некоторые комментаторы пишут, что они нашли в базе логин, которым давно не пользовались. Он мог быть скомпрометирован не на прошлой неделе, а несколько лет назад.
По нашим внутренним данным, около 85% логинов в этом списке уже были известны нам как скомпрометированные. При этом на момент публикации списка им уже было предложено сменить пароль, но они этого не сделали. Это говорит о том, что живые люди этими ящиками не пользуются, а боты перестали пользоваться, когда был установлен флаг смены пароля (там нужно ввести капчу, и обычно бот-мастера предпочитают не покупать ее распознавание, а просто бросить аккаунт).
На всякий случай, опровергнем и спекуляции о предоставлении доступа сотрудникам спецслужб к серверам Яндекса. Мы никому не предоставляем ни пароли в открытом виде, ни даже их хеши. Сотрудники ФСБ, ЦРУ, АНБ, Моссада и других субъектов ОРМ не имеют доступа к серверам Яндекса. Доступ к содержимому почтового ящика может быть предоставлен исключительно по решению суда.
Таким образом, мы исключаем версии об утечке паролей из Яндекса, и считаем, что база могла быть наполнена либо за счет фишинга, либо за счет скомпрометированных компьютеров пользователей, либо за счет кросс-чека.
Взлом пароля не означает взлом сервиса. Пароли могут быть скомпрометированы из-за того, что на компьютере пользователя есть вирусы, которые передают информацию о персональных данных злоумышленникам. Или «утекли» в результате фишинга, когда сайт злоумышленника выглядит, как настоящий, и пользователь вводит там пару логин/пароль. Бывает и так, что пользователи регистрируются на разных сомнительных сайтах, в качестве пароля выбирая тот же, что и у почтового ящика, с которого происходит регистрация.
Фишинг, кросс-чек и утечка паролей с компьютеров пользователей из-за вирусов — постоянная проблема многих популярных сервисов, а не результат одноразовой и целенаправленной атаки пользователей.
В конце хочется ещё раз всем порекомендовать выбирать сложные пароли и регулярно их менять. Не поленимся ещё раз дать ссылку на наш любимый сайт на эту тему: security.yandex.ru.