Компания Cloudseller подготовила для российского издания «Известия» отчет касательно нашумевшей в последние дни истории с опубликованием паролей пользователей почтовых сервисов «Яндекс» и Mail.ru. Как считают в Cloudseller, массовые утечки паролей, возможно, произошли по причине уязвимостей в бесплатном ПО, которое используют гиганты интернет-индустрии России. Кроме того, захешированные пароли легко расшифровываются, это утверждение подтверждается обилием простых паролей из опубликованного списка.
Российские компании Yandex и Mail.ru используют в своих сервисах ОС Linux и целый ряд продуктов с открытым кодом. Зачастую эти продукты дорабатываются под свои нужды, но их основа остается неизменной. В Cloudseller считают, что взлом мог состояться через неопубликованную уязвимость либо в веб-сервисе или в системе управления базами данных MySQL. В итоге после взлома появилась таблица с логинами пользователей и значениями хеш-функций их паролей. В Cloudseller напомнили, что основной принцип хранения паролей — хеширование в соответствии с российскими (ГОСТ Р 34.11-2012) или иностранными (SHA/SHA2) алгоритмами. Алгоритмы - это математические функции, которые производят односторонние преобразования, в результате которых для каждого пользовательского пароля генерируется хеш – специальный код, из которого получить исходный пароль невозможно, но для коротких паролей, до 8 знаков, существуют таблицы данных – «радужные таблицы», которые значительно ускоряют процесс восстановления пароля, используя его хеш и элементарный метод последовательного подбора. «Радужные таблицы» можно создать с использованием больших вычислительных мощностей, для большинства же хешей таблицы уже сформированы, и их может получить любой желающий, покопавшись в Интернете.
Те короткие и простые пароли, что были опубликованы как демонстрация факта утечки, скорее всего, были восстановлены по таблицам. Как вариант, с точки зрения Cloudseller, могла произойти утечка всей базы данных пользователей. В этом случае со временем злоумышленники, перебирая паролями, могут получить доступ к данным, защищенных паролями в 10 и даже 12 знаков.
В минувшую субботу пользователь форума Bitcoin Security с ником tvskit выложил файл с 1,3 млн. логинами и их паролями к сервису почты на Яндексе. Через день, 8 сентября, поэтому поводу поднялся большой переполох. В этот же день tvskit публикует 4,7 млн. логинов с сервиса Mail.ru, 800 тысяч из них имели пароли. Согласно данным Mail.ru, у компании более 100 млн. активных пользователей, В Яндексе свои данные предпочли не раскрывать, однако известно, что число корпоративных пользователей почтового сервиса Яндекс около 320 тысяч, корпоративных адресов Mail.ru – приблизительно 23 тысячи.
Пользователь tvskit пояснил, что выложил базы данных для криптоманов, чтобы задумались о безопасности, хотя следует понимать, что база уже отработана кем-то, и кого нужно, уже взломали. Компании Яндекс и Mail.ru тоже сделали свои заявления. Они возложили вину на пользователей, потому что своей вины в краже информации не видят, также они заявили, что процесс утечки данных происходил не сразу, а постепенно. Почтовые ящики пользователей, попавших в списки, были заблокированы с предложением сменить пароль и привязать к почте свой номер сотового телефона. История с утечкой паролей несущественно повлияла на итоги торгов на бирже Nasdaq. Акции Яндекс упали на 1 процент, в то время как котировки Mail.ru 8 сентября выросли на 2 процента.
В Mail.ru вину возлагают не неопытных пользователей.
В компании Mail.ru отреагировали на публикацию солидной базы данных ее пользователей сообщением о том, что многие из данных уже утратили свою актуальность ввиду того, что пользователи уже сменили пароли. Кроме того, специалисты сообщили, что опубликованная база данных старая и, более того, она собрана из кусочков нескольких баз данных паролей, украденных в свое время в разный период и, скорее всего, разными способами, в том числе при помощи вирусов. Среди общего количества аккаунтов, по сообщению пресс-службы Mail.ru, около 95 процентов уже проходили в сервисе как подозрительные, то есть к ним применена блокировка, пока их пользователи не сменят пароль. Касаемо остальных 5 процентов, то информации о них ранее не было, но достаточно быстро они были добавлены в базу с подозрительными аккаунтами, их пользователи в ближайшее время получат уведомления.
Как пояснили в Mail.ru, те 95 процентов аккаунтов, что были ранее превентивно ограничены, выявлялись с помощью сложной системы анализа действий этого аккаунта, для чего было применен целый ряд претензий. Для них строился динамический рейтинг или карма, если карма падала ниже определенного уровня, то пользователю шло предупреждение о смене пароля или другие санкции.
В то же время специалисты компании Mail.ru по безопасности предполагают, что основная вина за кражу паролей лежит на пользователях, виной этому их легкомыслие или неопытность. Причинами взлома могут быть разные факторы: вирусы, фишинг, излишне простые пароли, одинаковые пароли на разных сайтах. В таких случаях вначале ломают слабозащищенный ресурс, а затем проникают в почту. Отсюда вытекают и рекомендации: придумывать сложные пароли, избегая их повторения на разных ресурсах, обязательно установить на компьютер антивирус.