В сеть утекло еще 4,5 млн паролей от почты — теперь от Mail.ru
Вслед за Яндекс.Почтой, в сеть утекли и пароли от почты Mail.ru, пишет пользователь форума Bitcoin Security. Раньше именно здесь появились списки логинов на "Яндексе", по которым можно было понять - скомпрометирован ли почтовый ящик.
Базу логинов для Почты@Mail.ru выложил тот же пользователь, что и в случае с "Яндексом". Лента.ру обнаружила в базе ящик одного из своих сотрудников, но при попытке зайти на него получила сообщение, что с адреса рассылался спам и необходимо сменить пароль.
Вчера вечером стало известно, что в сеть попали 1 млн паролей от Яндекс.Почты. Компания придерживается версии, что пароли собирались с пользовательских компьютеров в течение большого периода времени с помощью вирусов и фишинговых атак. Из миллиона затронутых аккаунтов, наибольшему риску подвержены те 150 тысяч, данные о которых ранее не появлялись в подобных списках (из чего можно сделать вывод, что список агрегирует данные из разных источников или за разные периоды времени). "Яндекс" призывает не суетиться со сменой паролей: "Призывать пользователей менять пароли не нужно. Тех, кто попал или мог попасть в этот опубликованный список, мы уже оповестили и сами просим сменить пароль".
Яндекс опроверг утечку со своих сервисов миллиона паролей; их крали у юзеров, а не в Яндексе 21Лучшие комментарии
Деньги Mail.Ru имеют отдельный платежный пароль, который не совпадает с паролем от почтового сервиса (другой вариант подтверждения операции — через смс-сообщение). Никакой подозрительной активности по отношению к Робокассе или непосредственно Адвего системой не зарегистрировано.
Сегодня при попытках вывода нами было поймано несколько пользователей, активно пополняющих свои аккаунты в Адвего через Робокассу с помощью множества различных кошельков Деньги@Mail.ru. Судя по всему сообщество не очень осознает серьезность случившегося. Учитывая, что у народа и в яндексе и в мэил.ру аккаунт общий и на почту и на много чего еще — утекли не просто пароли от почты, а пароли от целой кучи сервисов, в том числе и связанных с баблом.
«Примерно 95 процентов актуальных аккаунтов уже проходят у нас в системе как подозрительные — это означает, что они ограничены в отправке почты, а их владельцам мы уже давно рекомендуем сменить пароль» via: http://lenta.ru/news/2014/09/08/mailpass/ Не-не-не Mail.ru Group! Так не пойдёт! Мало кого волнует, что проходит в закрытых системах публичных компаний. Холдинг получает алиби от 4 миллиона мутных аккаунтов ровно в тот момент, когда он начинает указывать в регулярных отчётах, что: «за квартал Mail.ru обслужил X пользователей, из них 5% — это вероятные боты и непонятные неживые аккаунты».
Добавить 21 комментарий
«Тех, кто попал или мог попасть в этот опубликованный список» — если крали через вирусы на стороне юзеров — то как Яндекс мог узнать у кого побывал вирус а у кого нет?
Сегодня при попытках вывода нами было поймано несколько пользователей, активно пополняющих свои аккаунты в Адвего через Робокассу с помощью множества различных кошельков Деньги@Mail.ru. Судя по всему сообщество не очень осознает серьезность случившегося. Учитывая, что у народа и в яндексе и в мэил.ру аккаунт общий и на почту и на много чего еще — утекли не просто пароли от почты, а пароли от целой кучи сервисов, в том числе и связанных с баблом.
@drugoe — вообще-то и у тех и у других на Деньги отдельный пароль (дополнительный), к тому же, надо понимать, эти аккаунты не «утекли» сегодня. на самом деле это старые базы, давно гуляющие по сети (т.е. они давно были в руках у злоумышленников), просто кто-то любовно собрал их в кучку и зачем-то решил про это громко поорать. если кто-то куда-то и лезет, то это какая-то школота, которая прочитала об этом на хабре.
@drugoe — пытающихся пополнить или успешно пополняющих? @Soldat просто Деньги Mail.Ru так устроены, что при попытке оплатить ими надо ввести свой email на mail.ru — видимо, коллеги видят, как школота пробует поживиться нахаляву. Но платежный пароль и смска по идее более чем достаточно для защиты.
Да, есть платежный пароль. Не буду спорить и утверждать, подробно не успели исследовать почему на один аккаунт поступают массово деньги с разных мэил.ру-кошельков. возможно случайное совпадение, возможно с робокассой не нужен платежный пароль, возможно еще что-то… Возможно у кого-то совпадают основной и денежный пароли (если сервисы позволяют).
@Сергей Мартынов, успешно пополняющих (повторюсь — через робокассу)
Ну вообще не все пополнения сегодня были (в день опубликования данных о паролях), это мы озаботились сегодня и поймали сегодня. Активные пополнения — с начала августа начались.
Деньги Mail.Ru имеют отдельный платежный пароль, который не совпадает с паролем от почтового сервиса (другой вариант подтверждения операции — через смс-сообщение). Никакой подозрительной активности по отношению к Робокассе или непосредственно Адвего системой не зарегистрировано.
Должен остаться только один.
«Примерно 95 процентов актуальных аккаунтов уже проходят у нас в системе как подозрительные — это означает, что они ограничены в отправке почты, а их владельцам мы уже давно рекомендуем сменить пароль» via: http://lenta.ru/news/2014/09/08/mailpass/ Не-не-не Mail.ru Group! Так не пойдёт! Мало кого волнует, что проходит в закрытых системах публичных компаний. Холдинг получает алиби от 4 миллиона мутных аккаунтов ровно в тот момент, когда он начинает указывать в регулярных отчётах, что: «за квартал Mail.ru обслужил X пользователей, из них 5% — это вероятные боты и непонятные неживые аккаунты».
Все холдинги давно меряются между собой по TNS или comscore — которые, по понятным причинам, ботов не считают. В отчетах интересны деньги, а не регистрации. Внутренние данные о том, где сколько зарегистрированных аккаунтов, никому не интересны (их, по моему, никто и не пишет давно). Вот допустим, что на mail.ru зарегистрированных аккаунтов 400 миллионов — и что с того?
Даже если только часть раскрытых являются подлинными, то могут быть споры в связи с нарушением конфиденциальности и производными правонарушениями… Кому-то придется защищать свои права с суде. Главное в этом случае — найти хорошего адвоката и не тянуть кота за …) Искать лучше по рекомедациям знакомых, но не на форумах и т.п. ресурсах — ответственность-то за такие рекомендации никакая) Если через знакомых не получается — попробуйте через какую нибудь систему для поиска адвокатов и юристов, например, через спаспортал (бесплатный, анонимный, простой). Через обычный поиск искать очень трудозатратно: сравнивать потенциал адвокатов трудно и на согласования по телефону очень много времени и нервов уходит. Но лучше всего — чрез знакомых! И не тянуть. В судебном процессе время — деньги!
Сообщений о пойманых хакерах ещё не поступало? [url=http://dolboeb.livejournal.com/2691684.html]Осталось только угадать, к внесению какого нового законопроекта или постановления правительства приурочен вброс.[/url] Может Игорь Станиславович чего добавит.
> могут быть споры в связи с нарушением конфиденциальности Какое ещё нарушение конфиденциальности? Обнаруженный и опубликованный пароль к почтовому ящику разве может служить поводом для судебного иска против портала? (Впрочем, если вы представляете интересы адвокатов — то таки да, вам это выгодно — даже в случае заведомо проигрышного дела вы получаете почасовой гонорар). > Осталось только угадать, к внесению какого нового законопроекта Вброс приурочен к началу учебного года. Вася Пупкин показал свою коллекцию паролей на уроке информатики. Васины одноклассники были не лыком шиты и скопировали себе на флешку.
Вообще логины и пароли в общем доступе были доступны на сайте (не скажу в целях безопасности) в ночь с 6 на 7 число по Московскому времени. Скачал базу которую от Яндекса выложили на 1000000 наименований и нашел там свою почту. Почему я уверен что Яндекс банально взломали? Да потому что я пароль на своей почте не менял больше 10 лет и почтой пользовался только на 3 компьютерах а тк образован и не ставлю всякий шлак на компьютер возможность спереть у меня пароль приравнена к 2% из 100. Благо пароль я сразу сменил и написал в Блог Яндекс почты после чего мой комментарий был удален модератором с ответом (тоже удален) что ничего подобного не происходило. Для тех кто не знает как же ушли деньги с Яндекса, утекли не только логины и пароли которые есть в открытом доступе, к ним за платную основу прилагаются полные данные владельцев и их платежные пароли. Ну а вчера база от Маил.ру с таким же принципом была выложена. Кстати для тех кому интересно хакер с сайта который выложил логины и пароли занимается данной деятельностью в целях доказать что системы защиты тех или иных компаний не надежны и требуют модернизации.
А чем докажите, что вы не враг (народа|российского бизнеса) | злобный конкурент?
>а тк образован и не ставлю всякий шлак на компьютер возможность спереть у меня пароль приравнена к 2% из 100. этот аргумент любит применять один местный юзер ilyak, аргумент плохой, и вот почему — если это не купленный троян и не сливает в паблик логи, а также не пытается ставить левые инстолы в системы, то висеть всё это может годами и совершенно незаметно. в том числе и для антивирусов. палится же всё на массовости, либо попытках заработать дополнительных денег, путём продажи ботнетов/проксей/инсталлов и т.д. банальным приватным кейлоггером(и не только) можно жить долго и счастливо у меня тоже пароль от яндекса утёк — я нашёл себя в базе, и я тоже считаю себя образованным(смайл), более того — я параноик и пользуюсь всякими фаерволами, параноидальными антивирусами типа авиры и делаю переодически проверку системы с привлечением специалистов. но совершенно не исключаю варианта, что это мой косяк. яндексом пользовался очень редко, по умолчанию на почте стоит форвард на gmail
Anastasia Kosheleva, вот пример подозрительной актвиности, платежи все на один аккаунт. Суммы не по 100 рублей, если что: http://prntscr.com/4lf6fr
@drugoe Мы проверили пользователей, которые совершали эти платежи, никакого отношения к утекшим базам они не имеют. Мы посмотрели выборочно эти платежи, напишите, пожалуйста, мне на a.kosheleva@corp.mail.ru.
«Какое ещё нарушение конфиденциальности? Обнаруженный и опубликованный пароль к почтовому ящику разве может служить поводом для судебного иска против портала?» Зачем же так упрощать? )) Я совсем не о предъявлении исков к почтовым сервисам )) Иск могут предъявить, например, тому, чья переписка утратила конфиденциальность, те, кто был заинтересован в этой конфиденциальности. Это только один вариант… Вот тогда и спаспортал, и хороший адвокат могут оказаться очень полезными ))