Почти 100 млн. паролей открытым текстом утекли из Рамблер

Очередная утечка данных от 2012 года, и на этот раз, это крупнейший российский интернет-портал и поставщик услуг электронной почты Rambler.ru.

Rambler.ru, также известный как Российский Yahoo, подвергся обширной утечке в 2012 году. Неизвестному хакеру или группе хакеров удалось украсть почти 100 миллионов учетных записей, включая пароли открытым текстом.

Копия взломанной базы данных содержит подробности о 98 167 935 пользователях Rambler.ru, которые первоначально были украдены 17 февраля 2012 года, но эта информация замалчивается.

Утекшая пользовательская база данных включает в себя имена пользователей, адреса электронной почты, номера ICQ, детали аккаунтов социальных сетей, пароли и некоторые внутренние данные.

Сообщил об утечке хакер, что использует Jabber ID daykalif@xmpp.jp, который передал LeakedSource более 43,5 млн записей пользователей из другого взлома 2012 года — сервиса потоковой передачи музыки Last.fm.

По словам LeakedSource, ни один из паролей не был хэширован, а это означает, что компания хранит пароли своих пользователей в незашифрованном текстовом формате.

Это похоже на взлом VK.com, в котором аккаунты 171 млн пользователей были изъяты из российской социальной сети, где, как оказалось, пароли также хранятся в незашифрованном виде, без каких — либо хешей или подмешивания соли.

Опять же, как и следовало ожидать, наиболее распространенные пароли, используемые пользователями Rambler.ru, включает в себя «Asdasd», «123456», «000000», «654321», «123321», или «123123».

LeakedSource добавила утечку в свою базу данных, так что пользователи Rambler.ru могут проверить, были ли они скомпрометированы.

Rambler.ru является очередной жертвой, присоединившейся к списку «Mega-Breaches», выявленных за последние месяцы, когда сотни миллионов онлайн учетных данных, устаревшие на годы, в том числе LinkedIn, MySpace, vk.com, Tumblr, и Dropbox, были выставлены в Интернет.

Рамблер пока никак не отреагировал на инцидент.

* Вольный перевод этой статьи
Метки:
Поделиться публикацией
Комментарии 67
  • +13
    100 миллионов пользователей рамблера… зачееем? Кто все эти люди?
    • +9
      Наследие старины глубокой
      • +3
        Когда трава была зеленее, а пароли — открытым текстом?
      • +3
        gmail был далеко не первым почтовым сервисом
        • +5

          База уже лежит в открытом доступе?

          • +3
            у меня там к примеру было три ящика) До сих пор получаю переадресацию с двух из них.
            • +5
              всё очень просто, было время когда регая почту на рамблере, автоматом давали номер аськи, и это было проще и быстрее чем на сайте аси ;)
              • +2
                Моей почте на рамблере около 15 лет. Да, какой-никакой выбор был и тогда, но по тем временам рамблер был вполне на уровне. Я тогда даже пользовался им как поисковиком — гугл ещё не был так популярен, я узнал о нём несколько позже. А гмейла тогда ещё даже в проектах не было. А сейчас — жалко терять старый почтовый ящик, на который много что было зарегено. Постепенно стараюсь то чем пользуюсь перепривязывать на что-то более актуальное, но полностью забить на рамблер, к сожалению, не готов.
                • +1
                  К сожалению не могу поддержать коммент.
                  Но аналогичная ситуация. Зарегил ящик на Рамблере, на заре первых шагов Интернета еще даже не в жилые дома, а в основные ВУЗы страны. Реально он был хорош, много места, стабильность. Потом понеслась. Сейчас скатились к тому, что запросы в техподдержке висят месяцами без ответа, спам долбит, спам фильтры не помогают, в почте какие-то глюки со счетчиками писем. У меня например висят несколько писем с кривой датой 01.01.1900 и ни у меня всегда как «новые».

                  Понимаю, что Рамблер уже дно, но разом переехать на что-то другое — не реально.
              • +7
                К сожалению, нужно признать, что Рамблер сегодня — очень проблемный сервис. Мой акк увели (скорее всего, в результате той утечки, так как пароль был сложный), два месяца Рамблер возвращал мне контроль над ним. Фильтрация спама на основе каких-то странных алгоритмах: спам так и прет во входящие, а нормальные письма попадают в спам. Сколько вручную не указывал — бесполезно. Видимо, настало время уходить с этого гнилого сервиса.
                • 0
                  Мне он никогда толком не нравился.
                  Сам давно перешел на собственный почтовый сервер. И фильтровать удобно и спам сам режешь вполне эффективно. Да и доккер позволяет быстро мигрировать с сервера на сервер, если есть необходимость.
                  • 0
                    Расскажете как настроен почтовый сервер? Также интересует настройка фильтров и DKIM.
                    • +1
                      Если в кратце, то связка postfix, dovecot, cirus, spamassassin, amavis.
                      Если нужны подробности, то думаю это не для комментариев.
                      В личку отвечу на любые вопросы.
                      • +1
                        Понятно, спасибо! Буду у себя в ближайшее время что-нибудь подобное организовывать.
                        • +1
                          Будет отлично, если напишите это в формате статьи.
                          • 0
                            В формате статьи если оно и будет, то скорее всего у себя в блоге. ;)
                    • 0
                      По информации агентства ОБС, внутри самой компании, среди самих сотрудников уже много лет живет синдром «горящей платформы».
                    • +8
                      *facepalm* За что они там свои деньги получают? За решение олимпиадных задач на собеседованиях?
                      • +1
                        Будем ждать комментарий Рамблера. Может, объяснят, почему пароли в открытом виде, а заодно и прочие гадкие «прелести» работы старейшего рунетовского сервиса, за которые должно быть стыдно в 2016 году.
                        • +4
                          Почему-то мне кажется, что вряд ли дождемся.
                          • 0
                            Ну зачем нужны пароли plaintextом понять вполне можно. Чтобы использовать тот-же CRAM-MD5 при авторизации, например, на SMTP.
                            Конечно, можно пароли шифровать обратимым шифрованием, и непосредственно в приложении, кому нужен пароль его расшифровывать и сравнивать… В этом случае защищенность будет чуточку выше, до тех пор, пока из приложения не стянут ключи.
                            • +1
                              Так вроде стыдно было еще в 2012 году? Или я что-то упустил в тексте статьи?
                              • 0
                                А НПР, он же slonik-v-domene не в 2012 ушел?
                              • –14
                                Большинство таких «утечек» на деле оказывались кражей паролей пользователей с помощью фишинга, кейлогинга и прочих способов.
                                Вероятность того, что крупная интернет компания хранит в базе нехешированные пароли равна бесконечно малой величине.
                                • +8
                                  Мой знакомый разработчик той самой почти подтвердил, что в Рамблере пароли раньше действительно хранились в PlainText, в том числе в 2012 году.
                                  • +1
                                    Учитывая размер базы, и то что она включает в себя не только пароли, но и другую подробную информацию, то думаю всё же речь идет о краже незашифрованной базы у Рамблера. Когда вы делаете такие громкие утверждения, насчет практически нулевой вероятности, то вспоминайте почаще Бритву Хэнлона.
                                    • +2
                                      Пару месяцев назад восстанавливал пароль на Мосигре. Мне его любезно прислали в plain text. Передаю привет milfgard.
                                      • 0
                                        Ваш старый пароль? Тогда да, хотелось бы комментария Милфгарда.
                                        • +6
                                          Принимаю привет. Мы присылаем новый пароль в письме, да. Если ваш ящик сломан — скорее всего, вам токен не поможет.
                                          • 0
                                            А если ваш сайт сломан?
                                            • –2

                                              А зачем вы вообще храните пароли открытым текстом? Ведь намного безопаснее хранить их в виде солёного хэша (а медленное хэширование дополнительно усложнит брутфорс), а при восстановлении просто сбрасывать на новый.

                                              • +7
                                                То, что они присылают пароль открытым текстом, не означает, что они его хранят так же.
                                                • –4
                                                  Может они хранят в бестолковом md5. =)
                                                  • +3
                                                    А чтобы прислать открытый пароль, они брутфорсят нго хэш.
                                                • +6
                                                  А где я написал, что мы храним пароли открытым текстом?
                                                  • +2

                                                    Вопрос снят, предположение о хранении открытого текста сделал на основе ответа pehat выше. Сейчас проверил, присылают новый.

                                                  • 0
                                                    del
                                                  • 0
                                                    Ящик могут украсть и позже или просто подсмотреть пароли, поэтому надежная схема, когда присылают ссылку активации, которая может быть нажата только один раз и активна 24 часа. Тогда даже если почта просматривается, все равно можно успешно зарегистрироваться в новом сервисе.
                                                    • 0
                                                      Это очень, очень плохой метод. Правильный — двухфакторка. А здесь можно случайно кликнуть дважды по ссылке, не успеть по ней пройти и т.п. В противовес — весьма иллюзорная защита от злоумышленника.
                                                  • 0
                                                    тоже самое на RuTaxi
                                                    пароль хранится в plain text и всегда присылают старый
                                                  • 0
                                                    Это сколько времени и сил надо, чтобы спереть 100млн. паролей фишингом и социнженерией? И ради чего?
                                                    • +1
                                                      при определнном везениии минут 30-40 и пару бутылок хорошего алкоголя…
                                                  • 0
                                                    Что такого случилось в 2012 году, что массово ломали сервисы?
                                                    • 0
                                                      Поговаривают adobe 0-day.
                                                      • 0
                                                        Например, Дезмонд спас нас всех от конца света, а «тень» богини Юноны вышла во всемирную сеть и использует его в своих целях. С тех пор все веб-сервисы человечества подвергаются неведомой опасности.
                                                      • 0
                                                        Почему все удивлены тем, что пароли хранятся в открытом виде? Это же почта, если вы хотите что-то отличное от AUTH PLAIN, надо иметь полный пароль, а не хэш.
                                                        Конечно, можно в одном месте хранить шифрованные пароли, а ключи где-то еще, но мы же все прекрасно понимаем что такая схема не намного безопаснее.
                                                        • 0
                                                          PLAIN метод авторизации никак не связан с хранением паролей, как таковым.
                                                          • –2

                                                            Для проверки пароля не нужно знать сам пароль, нужно знать только его хэш. Потом просто получаем хэш от полученного пароля и сравниваем его с хэшем из базы.

                                                            • +2
                                                              Нет, с SMTP не все так просто. :)
                                                              Если вы не хотите гонять пароль по сети в открытом виде (пусть и внутри зашифрованного канала), то другие методы требуют знания пароля от обоих сторон
                                                              • 0

                                                                Сейчас у рамблера SMTP через SSL (если верить странице настройки почты), возможно в 2012 было по-другому, но сейчас можно пароль и открытым текстом гонять.

                                                              • +3
                                                                Это как раз для PLAIN, а если у нас какой-нибудь RFC-1734 поддерживается, то уже ой и хеша недостаточно.
                                                            • +3
                                                              Пошел пароль менять. Почувствуй себя роботом — попробуй разгадать капчу от Рамблера!
                                                              • +1
                                                                А я как раз забыл пароль от аськи, где его посмотреть можно?
                                                                • 0
                                                                  спустя 8 лет помню пароль от аськи, но напрочь забыл пароль от имейла… х)
                                                                  • 0
                                                                    Спустя 8 лет помню пароль от аськи, но напрочь забыл сам номер аськи :)
                                                                    • 0
                                                                      Спустя 8 лет помню номер аськи и пароль. Раз в пол года захожу. Вижу 78 мертвых душ — выхожу.
                                                                      • 0
                                                                        Спустя 18 лет в аське осталось 6 живых контактов
                                                                • 0
                                                                  Нашел свою заблокированую почту от мейл ру там, на сервисе. предлагают купить за 2 доллара. весело.

                                                                  товарищи, есть ли хоть какой тут представитель мейл ру, что мог бы помочь? я изза этой утечки 12 года (по сайту 13) не могу зайти на свой аккаунт мейл ру (vip-zone@mail.ru) хотя у меня есть доступ к привязаному к аккаунту телефону, который там висит там уже много лет. пароль вспомнить не могу, вместо секретного вопроса стоит 21 знак вопроса. вводя код восстановления — отправляет заполнять анкету «так как помню», после чего меня шлют на 3 буквы боты, каким фиг что обьяснишь. Есть хоть один живой человек? крыша уже едет! свяжитесь со мной по адресу justasstog@mail.ru, пожалуйста.
                                                                  • 0
                                                                    mail.ru тоже хранит пароли в открытом виде. Может и не на все сервисы, но один точно. Как я узнал: купил освободившийся домен, нашел на сервисе где счётчики посещений от майл ру, этот домен, ну и нехитрыми действиями восстановил пароль, указав новую (свою) почту (не на мейл ру, если что), и подтвердив владение доменом. На новую почту мне прислали пароль от статистики, который установил предыдущий владелец, в открытом виде. Не удивлюсь, что и в других своих сервисах тоже хранят в открытом виде.
                                                                    • 0
                                                                      ну. мне честно говоря все равно как они пароли хранят) хоть на бумажке, у системника. Мне важно, что бы они не взрывали мне мозг, когда я имейю привязанный к аккаунту телефон.
                                                                      • +1
                                                                        Скорее всего это заново сгенерированный пароль, а не тот что установил предыдущий владелец. Вы не помните, был ли он похож на придуманный человеком или это был случайный пароль?
                                                                        • 0
                                                                          Пароль не был заново сгенерированный, явно было видно, что человек придумал, особо не напрягаясь.
                                                                          Вот, нашёл то письмо, заголовок «Ваш пароль в Рейтинге@Mail.ru»
                                                                          часть содержимого:
                                                                          «E-Mail: *@***.ru
                                                                          Пароль: 222111222»
                                                                          Да, в том письме и мыло предыдущего владельца засветили, это я вместо него звёздочки поставил.
                                                                      • 0
                                                                        на myspace, adobe и lastfm у вас такой же пароль очевидно?)
                                                                        там достаточно простой пароль вида числобуквачислобуквачислобуква
                                                                        я что-то не уверен, что сюда стоит его писать, хотя он уже практически в паблике
                                                                      • –2
                                                                        «Утекли из Рамблера» или «Утекли из Рамблер»?
                                                                      • 0
                                                                        Недавно был год, как я просил Рамблер поправить 2 бага в спам-фильтрах. В ответ на юбилейное письмо опять сослались на технические проблемы. Уже несколько дней перевожу все сервисы на новую почту.

                                                                        Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.