6 сентября 2016 в 11:10

Почти 100 млн. паролей открытым текстом утекли из Рамблер recovery mode

Очередная утечка данных от 2012 года, и на этот раз, это крупнейший российский интернет-портал и поставщик услуг электронной почты Rambler.ru.

Rambler.ru, также известный как Российский Yahoo, подвергся обширной утечке в 2012 году. Неизвестному хакеру или группе хакеров удалось украсть почти 100 миллионов учетных записей, включая пароли открытым текстом.

Копия взломанной базы данных содержит подробности о 98 167 935 пользователях Rambler.ru, которые первоначально были украдены 17 февраля 2012 года, но эта информация замалчивается.

Утекшая пользовательская база данных включает в себя имена пользователей, адреса электронной почты, номера ICQ, детали аккаунтов социальных сетей, пароли и некоторые внутренние данные.

Сообщил об утечке хакер, что использует Jabber ID daykalif@xmpp.jp, который передал LeakedSource более 43,5 млн записей пользователей из другого взлома 2012 года — сервиса потоковой передачи музыки Last.fm.

По словам LeakedSource, ни один из паролей не был хэширован, а это означает, что компания хранит пароли своих пользователей в незашифрованном текстовом формате.

Это похоже на взлом VK.com, в котором аккаунты 171 млн пользователей были изъяты из российской социальной сети, где, как оказалось, пароли также хранятся в незашифрованном виде, без каких — либо хешей или подмешивания соли.

Опять же, как и следовало ожидать, наиболее распространенные пароли, используемые пользователями Rambler.ru, включает в себя «Asdasd», «123456», «000000», «654321», «123321», или «123123».

LeakedSource добавила утечку в свою базу данных, так что пользователи Rambler.ru могут проверить, были ли они скомпрометированы.

Rambler.ru является очередной жертвой, присоединившейся к списку «Mega-Breaches», выявленных за последние месяцы, когда сотни миллионов онлайн учетных данных, устаревшие на годы, в том числе LinkedIn, MySpace, vk.com, Tumblr, и Dropbox, были выставлены в Интернет.

Рамблер пока никак не отреагировал на инцидент.

* Вольный перевод этой статьи
@dmitriylyalyuev
карма
1,0
рейтинг 0,0
DevOps
Самое читаемое

Комментарии (67)

  • +13
    100 миллионов пользователей рамблера… зачееем? Кто все эти люди?
    • +9
      Наследие старины глубокой
      • +3
        Когда трава была зеленее, а пароли — открытым текстом?
    • +3
      gmail был далеко не первым почтовым сервисом
    • +5

      База уже лежит в открытом доступе?

    • +3
      у меня там к примеру было три ящика) До сих пор получаю переадресацию с двух из них.
    • +5
      всё очень просто, было время когда регая почту на рамблере, автоматом давали номер аськи, и это было проще и быстрее чем на сайте аси ;)
    • +2
      Моей почте на рамблере около 15 лет. Да, какой-никакой выбор был и тогда, но по тем временам рамблер был вполне на уровне. Я тогда даже пользовался им как поисковиком — гугл ещё не был так популярен, я узнал о нём несколько позже. А гмейла тогда ещё даже в проектах не было. А сейчас — жалко терять старый почтовый ящик, на который много что было зарегено. Постепенно стараюсь то чем пользуюсь перепривязывать на что-то более актуальное, но полностью забить на рамблер, к сожалению, не готов.
      • +1
        К сожалению не могу поддержать коммент.
        Но аналогичная ситуация. Зарегил ящик на Рамблере, на заре первых шагов Интернета еще даже не в жилые дома, а в основные ВУЗы страны. Реально он был хорош, много места, стабильность. Потом понеслась. Сейчас скатились к тому, что запросы в техподдержке висят месяцами без ответа, спам долбит, спам фильтры не помогают, в почте какие-то глюки со счетчиками писем. У меня например висят несколько писем с кривой датой 01.01.1900 и ни у меня всегда как «новые».

        Понимаю, что Рамблер уже дно, но разом переехать на что-то другое — не реально.
  • +7
    К сожалению, нужно признать, что Рамблер сегодня — очень проблемный сервис. Мой акк увели (скорее всего, в результате той утечки, так как пароль был сложный), два месяца Рамблер возвращал мне контроль над ним. Фильтрация спама на основе каких-то странных алгоритмах: спам так и прет во входящие, а нормальные письма попадают в спам. Сколько вручную не указывал — бесполезно. Видимо, настало время уходить с этого гнилого сервиса.
    • 0
      Мне он никогда толком не нравился.
      Сам давно перешел на собственный почтовый сервер. И фильтровать удобно и спам сам режешь вполне эффективно. Да и доккер позволяет быстро мигрировать с сервера на сервер, если есть необходимость.
      • 0
        Расскажете как настроен почтовый сервер? Также интересует настройка фильтров и DKIM.
        • +1
          Если в кратце, то связка postfix, dovecot, cirus, spamassassin, amavis.
          Если нужны подробности, то думаю это не для комментариев.
          В личку отвечу на любые вопросы.
          • +1
            Понятно, спасибо! Буду у себя в ближайшее время что-нибудь подобное организовывать.
          • +1
            Будет отлично, если напишите это в формате статьи.
            • 0
              В формате статьи если оно и будет, то скорее всего у себя в блоге. ;)
    • 0
      По информации агентства ОБС, внутри самой компании, среди самих сотрудников уже много лет живет синдром «горящей платформы».
  • +8
    *facepalm* За что они там свои деньги получают? За решение олимпиадных задач на собеседованиях?
  • +1
    Будем ждать комментарий Рамблера. Может, объяснят, почему пароли в открытом виде, а заодно и прочие гадкие «прелести» работы старейшего рунетовского сервиса, за которые должно быть стыдно в 2016 году.
    • +4
      Почему-то мне кажется, что вряд ли дождемся.
    • 0
      Ну зачем нужны пароли plaintextом понять вполне можно. Чтобы использовать тот-же CRAM-MD5 при авторизации, например, на SMTP.
      Конечно, можно пароли шифровать обратимым шифрованием, и непосредственно в приложении, кому нужен пароль его расшифровывать и сравнивать… В этом случае защищенность будет чуточку выше, до тех пор, пока из приложения не стянут ключи.
    • +1
      Так вроде стыдно было еще в 2012 году? Или я что-то упустил в тексте статьи?
    • 0
      А НПР, он же slonik-v-domene не в 2012 ушел?
  • –14
    Большинство таких «утечек» на деле оказывались кражей паролей пользователей с помощью фишинга, кейлогинга и прочих способов.
    Вероятность того, что крупная интернет компания хранит в базе нехешированные пароли равна бесконечно малой величине.
    • +8
      Мой знакомый разработчик той самой почти подтвердил, что в Рамблере пароли раньше действительно хранились в PlainText, в том числе в 2012 году.
    • +1
      Учитывая размер базы, и то что она включает в себя не только пароли, но и другую подробную информацию, то думаю всё же речь идет о краже незашифрованной базы у Рамблера. Когда вы делаете такие громкие утверждения, насчет практически нулевой вероятности, то вспоминайте почаще Бритву Хэнлона.
    • +2
      Пару месяцев назад восстанавливал пароль на Мосигре. Мне его любезно прислали в plain text. Передаю привет milfgard.
      • 0
        Ваш старый пароль? Тогда да, хотелось бы комментария Милфгарда.
      • +6
        Принимаю привет. Мы присылаем новый пароль в письме, да. Если ваш ящик сломан — скорее всего, вам токен не поможет.
        • 0
          А если ваш сайт сломан?
        • –2

          А зачем вы вообще храните пароли открытым текстом? Ведь намного безопаснее хранить их в виде солёного хэша (а медленное хэширование дополнительно усложнит брутфорс), а при восстановлении просто сбрасывать на новый.

          • +7
            То, что они присылают пароль открытым текстом, не означает, что они его хранят так же.
            • –4
              Может они хранят в бестолковом md5. =)
              • +3
                А чтобы прислать открытый пароль, они брутфорсят нго хэш.
          • +6
            А где я написал, что мы храним пароли открытым текстом?
            • +2

              Вопрос снят, предположение о хранении открытого текста сделал на основе ответа pehat выше. Сейчас проверил, присылают новый.

          • 0
            del
        • 0
          Ящик могут украсть и позже или просто подсмотреть пароли, поэтому надежная схема, когда присылают ссылку активации, которая может быть нажата только один раз и активна 24 часа. Тогда даже если почта просматривается, все равно можно успешно зарегистрироваться в новом сервисе.
          • 0
            Это очень, очень плохой метод. Правильный — двухфакторка. А здесь можно случайно кликнуть дважды по ссылке, не успеть по ней пройти и т.п. В противовес — весьма иллюзорная защита от злоумышленника.
      • 0
        тоже самое на RuTaxi
        пароль хранится в plain text и всегда присылают старый
    • 0
      Это сколько времени и сил надо, чтобы спереть 100млн. паролей фишингом и социнженерией? И ради чего?
      • +1
        при определнном везениии минут 30-40 и пару бутылок хорошего алкоголя…
  • 0
    Что такого случилось в 2012 году, что массово ломали сервисы?
    • 0
      Поговаривают adobe 0-day.
    • 0
      Например, Дезмонд спас нас всех от конца света, а «тень» богини Юноны вышла во всемирную сеть и использует его в своих целях. С тех пор все веб-сервисы человечества подвергаются неведомой опасности.
  • 0
    Почему все удивлены тем, что пароли хранятся в открытом виде? Это же почта, если вы хотите что-то отличное от AUTH PLAIN, надо иметь полный пароль, а не хэш.
    Конечно, можно в одном месте хранить шифрованные пароли, а ключи где-то еще, но мы же все прекрасно понимаем что такая схема не намного безопаснее.
    • 0
      PLAIN метод авторизации никак не связан с хранением паролей, как таковым.
    • –2

      Для проверки пароля не нужно знать сам пароль, нужно знать только его хэш. Потом просто получаем хэш от полученного пароля и сравниваем его с хэшем из базы.

      • +2
        Нет, с SMTP не все так просто. :)
        Если вы не хотите гонять пароль по сети в открытом виде (пусть и внутри зашифрованного канала), то другие методы требуют знания пароля от обоих сторон
        • 0

          Сейчас у рамблера SMTP через SSL (если верить странице настройки почты), возможно в 2012 было по-другому, но сейчас можно пароль и открытым текстом гонять.

      • +3
        Это как раз для PLAIN, а если у нас какой-нибудь RFC-1734 поддерживается, то уже ой и хеша недостаточно.
  • +3
    Пошел пароль менять. Почувствуй себя роботом — попробуй разгадать капчу от Рамблера!
  • +1
    А я как раз забыл пароль от аськи, где его посмотреть можно?
    • 0
      спустя 8 лет помню пароль от аськи, но напрочь забыл пароль от имейла… х)
      • 0
        Спустя 8 лет помню пароль от аськи, но напрочь забыл сам номер аськи :)
        • 0
          Спустя 8 лет помню номер аськи и пароль. Раз в пол года захожу. Вижу 78 мертвых душ — выхожу.
          • 0
            Спустя 18 лет в аське осталось 6 живых контактов
  • 0
    Нашел свою заблокированую почту от мейл ру там, на сервисе. предлагают купить за 2 доллара. весело.

    товарищи, есть ли хоть какой тут представитель мейл ру, что мог бы помочь? я изза этой утечки 12 года (по сайту 13) не могу зайти на свой аккаунт мейл ру (vip-zone@mail.ru) хотя у меня есть доступ к привязаному к аккаунту телефону, который там висит там уже много лет. пароль вспомнить не могу, вместо секретного вопроса стоит 21 знак вопроса. вводя код восстановления — отправляет заполнять анкету «так как помню», после чего меня шлют на 3 буквы боты, каким фиг что обьяснишь. Есть хоть один живой человек? крыша уже едет! свяжитесь со мной по адресу justasstog@mail.ru, пожалуйста.
    • 0
      mail.ru тоже хранит пароли в открытом виде. Может и не на все сервисы, но один точно. Как я узнал: купил освободившийся домен, нашел на сервисе где счётчики посещений от майл ру, этот домен, ну и нехитрыми действиями восстановил пароль, указав новую (свою) почту (не на мейл ру, если что), и подтвердив владение доменом. На новую почту мне прислали пароль от статистики, который установил предыдущий владелец, в открытом виде. Не удивлюсь, что и в других своих сервисах тоже хранят в открытом виде.
      • 0
        ну. мне честно говоря все равно как они пароли хранят) хоть на бумажке, у системника. Мне важно, что бы они не взрывали мне мозг, когда я имейю привязанный к аккаунту телефон.
      • +1
        Скорее всего это заново сгенерированный пароль, а не тот что установил предыдущий владелец. Вы не помните, был ли он похож на придуманный человеком или это был случайный пароль?
        • 0
          Пароль не был заново сгенерированный, явно было видно, что человек придумал, особо не напрягаясь.
          Вот, нашёл то письмо, заголовок «Ваш пароль в Рейтинге@Mail.ru»
          часть содержимого:
          «E-Mail: *@***.ru
          Пароль: 222111222»
          Да, в том письме и мыло предыдущего владельца засветили, это я вместо него звёздочки поставил.
    • 0
      на myspace, adobe и lastfm у вас такой же пароль очевидно?)
      там достаточно простой пароль вида числобуквачислобуквачислобуква
      я что-то не уверен, что сюда стоит его писать, хотя он уже практически в паблике
  • –2
    «Утекли из Рамблера» или «Утекли из Рамблер»?
  • 0
    Недавно был год, как я просил Рамблер поправить 2 бага в спам-фильтрах. В ответ на юбилейное письмо опять сослались на технические проблемы. Уже несколько дней перевожу все сервисы на новую почту.

Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.