«Яндекс» заблокировал миллион почтовых ящиков
На днях в открытый доступ попал список из 1,2 млн аккаунтов «Яндекса» с логинами и паролями в незашифрованном виде — о чем стало широко известно этой ночью. Это крупнейшая утечка данных в Рунете с участием «Яндекса» по меньшей мере с 2011 года — когда в поисковой выдаче можно было читать SMS абонентов мобильных операторов.
Крупнейшая по капитализации в Европе интернет-компания ($10,2 млрд) отреагировала на это блокировкой учетных записей — владельцам всех скомпрометированных почтовых ящиков предлагается ввести новый пароль.
«Яндекс» сразу заявил, что не имеет отношения к распространению данных — по мнению компании, пароли утекли с пользовательской стороны, в результате фишинга и подобных мошеннических действий со стороны злоумышленников.
Из тех скомпрометированных аккаунтов, в которые ночью удалось попасть пользователям форумов, многие оказались заброшенными или малоиспользуемыми.
— Это скорее указывает на незаконный доступ к серверу с базой, чем на деятельность вредоносной программы. То есть люди давно завели себе адрес на «Яндекс.Почте» и с тех пор не пользовались им. Без экспертизы говорить наверняка нельзя, — отмечает гендиректор российской компании — разработчика антивируса Dr. Web Борис Шаров. — Подробностей инцидента мы не знаем. Поэтому возможны только предположения. Есть вероятность, что имело место незаконное проникновение на сервер с базой данных компании — виновата она в этом или нет, нельзя достоверно сказать без проведения экспертизы. Есть также вероятность того, что данные собраны с контрольного центра большой бот-сети — в этом случае компания сама ни при чем, виноваты пользователи, компьютеры которых заражены вредоносной программой.
Гендиректор компании infoWatch Наталья Касперская говорит, что большое число заброшенных аккаунтов в опубликованной базе свидетельствует в пользу компании.
— Вообще складывается впечатление, что это все же не утечка из «Яндекса», а результат работы троянской программы на компьютерах пользователей, — указала эксперт.
По словам Вячеслава Закоржевского, руководителя группы исследования уязвимостей «Лаборатории Касперского», пока нет оснований полагать, что это взлом «Яндекса», тем более что в самой компании подтвердили, что пароли не хранятся в открытом виде.
— Нет информации о том, что это была одна, но масштабная фишинговая атака. Мы предполагаем, что эта база [логинов и паролей] — компиляция учетных записей, похищенных «традиционными» способами — фишинг, вредоносное ПО, брутфорс и т.п. В сети уже появились ресурсы (например, yaslit.ru), которые позволяют проверить, находится ли учетная запись в опубликованной базе. Если да, то следует немедленно поменять пароль и активировать двухфакторную авторизацию, — рассуждает эксперт. — Кому это может быть нужно — выкладывать базу украденных учетных записей на публичный ресурс? Очевидно, что злоумышленникам, зарабатывающим на похищенных аккаунтах, это невыгодно, так как компания и пользователи в скором времени отреагируют и поменяют пароли. То есть вероятнее всего, что кто-то по ошибке или из «альтруистических» целей выложил базу. Если же действительно «Яндекс» (или какую-то часть сервиса) взломали, то, возможно, это просто попытка привлечь внимание к проблеме недостаточной безопасности сервисов русского поисковика. Но у нас пока подтверждений этому нет.
Закоржевский отмечает, что для спасения от фишинга (фишинговые ресурсы мимикрируют под настоящие, «вылавливая» настоящие логины и пароли) нужно внимательнее следить за адресной строкой браузера: адрес должен начинаться с https://mail.yandex.ru; в браузерах успешная проверка SSL-сертификата, как правило, отображается зеленым замком.
— Мы тщательно проанализировали эту базу [утекших аккаунтов] и пришли к следующим выводам, — рассказали «Известиям» днем в понедельник в пресс-службе «Яндекса». — Речь не идет о взломе инфраструктуры «Яндекса», данные стали известны злоумышленникам в результате фишинга или вирусной активности на зараженных компьютерах некоторых пользователей. Это не целенаправленная атака, а результат сбора скомпрометированных аккаунтов в течение длительного периода времени. О 85% скомпрометированных аккаунтов из этой базы нам уже было известно: большинство из них уже несколько лет появляются в подобных списках. Мы предупреждали их владельцев и предлагали сменить пароль, но они этого не сделали. Это означает, что такие аккаунты либо заброшены, либо создавались роботами. Владельцам оставшихся 150 тыс. аккаунтов этой ночью мы сбросили пароль, и они не смогут войти в ящик, пока не поменяют его. Если вы не видите такого предупреждения от «Яндекса», то вашего аккаунта нет в опубликованном списке и можно не беспокоиться.