4 929 090 паролей Gmail попали в Сеть
На форуме Bitcoin Seсurity опубликована база аккаунтов без паролей. Автор публикации под ником polym0rph объяснил на «Хабре», что считает правильным публиковать базу без паролей, поскольку это не дает злоумышленникам шанса воспользоваться взломанными аккаунтами. Проверить наличие электронного адреса Google в базе можно также на сайте isleaked.com.
В представленной базе, как пишут пользователи, ознакомившиеся с ней, около 60 процентов пар логин — пароль оказались действующими. Среди взломанных аккаунтов, по предварительной информации, есть пользователи, говорящие на русском, английском и испанском языках.
Публикация базы данных с паролями Gmail стала третьей с начала сентября: сперва в открытом доступе оказались пароли от 1,2 миллиона аккаунтов «Яндекс.Почты», после — еще 4,6 миллиона паролей от ящиков Mail.ru. В обеих компаниях заявили, что среди скомпрометированных адресов большинство устарели или заведены ботами: у «Яндекса» таких 85 процентов, а у Mail.ru — 95 процентов.
В обоих почтовых сервисах заявили, что многие опубликованные данные об аккаунтах ранее не раз появлялись в базах с паролями. Новая база, по словам представителей компаний, сформирована из множества старых. Специалисты предположили, что пароли украли с помощью вирусов или во время фишинговых атак.
Александр Варской, специалист по информационной безопасности, хакер:
Утечки паролей — обычная история, такие новости можно писать каждый день, я могу хоть сейчас выложить в сеть еще 20 миллионов паролей. Люди читают в новостях, что сначала в открытый доступ попало четыре миллиона паролей, потом еще пять. На первый взгляд от 140 миллионов населения России это очень много. Но на самом деле на Mail.ru зарегистрировано сотни миллионов ящиков, у одного меня их только 20 штук и это не так много, как кажется.
Возможных источников и сценариев утечки очень много. Представьте, что вы спамер. Один из эффективных методов спама — это спам с других ящиков. Их либо автогенерируют, либо взламывают уже существующие. Соответственно на черном рынке это является товаром. В виде архивов всем этим безобразием они и обмениваются друг с другом, закачивая на какой-нибудь Rghost или Slil.ru. Это все очень прозрачно, даже с помощью Google такие архивы можно найти без особого труда. Почему именно эта утечка подняла такой шум — это вопрос к средствам массовой информации.
Источником утечки пароля может быть и не сам сервис Gmail или Mail.ru: если появится новость о том, что это дыра в их системе безопасности, это может быть неправдой. Персональные данные можно увести с какого-нибудь большого сервиса, например интернет-магазина. Пароль со сторонних сервисов в восьми случаях из 10 совпадет с вашим паролем от почтового ящика: это естественно, когда людям приходится регистрироваться миллион раз то на форумах, то на других ресурсах. Эти базы тоже можно украсть, проверить их на соответствие доступа к ящикам и затем успешно продать.
Еще одна версия заключается в том, что «Яндекс.почта» и Mail.ru — это конкурирующие друг с другом сервисы. Поэтому почему бы им не развернуть друг против друга такую кампанию? Это наименее вероятный сценарий, но иногда и такие вещи случаются.
Для безопасности рядовой пользователь ничего не может сделать кроме как создавать достаточно сложные пароли и менять их достаточно часто. Согласно федеральному закону о персональных данных есть очень смешная формулировка, что оператор персональных данных обязан обеспечить безопасность этих персональных данных. В переводе на русский язык — «мир во всем мире, все девушки красивые». Это какой-то идеализм.
У Gmail в свою очередь есть достаточно хорошая антифродовая система, на которую Mail.ru сознательно не переходит просто потому, что тогда людям будет сложнее пользоваться своим ящиком. Gmail из-за этого и правда бывает космически неудобен, но выбирать приходится между удобством и безопасностью.
Алексей Раевский, специалист по информационной безопасности:
Самый вероятный сценарий утечки заключается в том, что хакеры взломали системы и попытались продать пароли, но что-то не сложилось и они просто выложили базу в свободный доступ.
Как уменьшить риск взлома почты? Надо пользоваться сервисами, которые лучше остальных следят за защитой: используют протокол HTTPS для обмена данными, дополнительные методы подтверждения использования аккаунта, например, смс.
Согласно одной из версий, была украдена база данных хэшей этих паролей. Хэш для взлома использовать нельзя, сначала из него надо восстановить пароль. Делается это методом прямого перебора, поэтому чем проще пароль, тем легче его подобрать. И если менять пароль раз в полгода-год, это существенно затруднит взлом.
И сами пароли должны быть достаточно сложными. Тысячи украденных паролей Яндекса представляли собой обычную последовательность цифр «123456».
Среди паролей от взломанных аккаунтов «Яндекс.Почты» самым распространенным стало сочетание цифр 123456, который из миллиона пользователей использовали более 37 тысяч человек. Порядка 13 тысяч юзеров заходили на почту, введя пароль 123456789, еще девять тысяч — 111111, а семь тысяч человек — qwerty.
В декабре 2013 года в Сети опубликовали два миллиона паролей от фейсбука, твиттера, российских «Одноклассников» и «ВКонтакте». Самым популярным паролем в том случае стали последовательности цифр от одного до шести и от одного до девяти. Среди двух миллионов похищенных паролей больше тысячи содержали лишь один символ — «1». Среди буквенных паролей наиболее востребованными стали «password» и «admin» — на каждый пришлось примерно по две тысячи аккаунтов.
Читайте также:
Российских хакеров обвинили в краже 1,2 миллиарда учетных записей