Rambler.ru, также известный как Российский Yahoo, подвергся обширной утечке в 2012 году. Неизвестному хакеру или группе хакеров удалось украсть почти 100 миллионов учетных записей, включая пароли открытым текстом.
Копия взломанной базы данных содержит подробности о 98 167 935 пользователях Rambler.ru, которые первоначально были украдены 17 февраля 2012 года, но эта информация замалчивается.
Утекшая пользовательская база данных включает в себя имена пользователей, адреса электронной почты, номера ICQ, детали аккаунтов социальных сетей, пароли и некоторые внутренние данные.
Сообщил об утечке хакер, что использует Jabber ID daykalif@xmpp.jp, который передал LeakedSource более 43,5 млн записей пользователей из другого взлома 2012 года — сервиса потоковой передачи музыки Last.fm.
По словам LeakedSource, ни один из паролей не был хэширован, а это означает, что компания хранит пароли своих пользователей в незашифрованном текстовом формате.
Это похоже на взлом VK.com, в котором аккаунты 171 млн пользователей были изъяты из российской социальной сети, где, как оказалось, пароли также хранятся в незашифрованном виде, без каких — либо хешей или подмешивания соли.
Опять же, как и следовало ожидать, наиболее распространенные пароли, используемые пользователями Rambler.ru, включает в себя «Asdasd», «123456», «000000», «654321», «123321», или «123123».
LeakedSource добавила утечку в свою базу данных, так что пользователи Rambler.ru могут проверить, были ли они скомпрометированы.
Rambler.ru является очередной жертвой, присоединившейся к списку «Mega-Breaches», выявленных за последние месяцы, когда сотни миллионов онлайн учетных данных, устаревшие на годы, в том числе LinkedIn, MySpace, vk.com, Tumblr, и Dropbox, были выставлены в Интернет.
Рамблер пока никак не отреагировал на инцидент.
* Вольный перевод этой статьи
Комментарии (67)
sirri
06.09.2016 11:33+7К сожалению, нужно признать, что Рамблер сегодня — очень проблемный сервис. Мой акк увели (скорее всего, в результате той утечки, так как пароль был сложный), два месяца Рамблер возвращал мне контроль над ним. Фильтрация спама на основе каких-то странных алгоритмах: спам так и прет во входящие, а нормальные письма попадают в спам. Сколько вручную не указывал — бесполезно. Видимо, настало время уходить с этого гнилого сервиса.
dmitriylyalyuev
06.09.2016 11:40Мне он никогда толком не нравился.
Сам давно перешел на собственный почтовый сервер. И фильтровать удобно и спам сам режешь вполне эффективно. Да и доккер позволяет быстро мигрировать с сервера на сервер, если есть необходимость.
vtyulb
06.09.2016 17:02Расскажете как настроен почтовый сервер? Также интересует настройка фильтров и DKIM.
dmitriylyalyuev
06.09.2016 17:16+1Если в кратце, то связка postfix, dovecot, cirus, spamassassin, amavis.
Если нужны подробности, то думаю это не для комментариев.
В личку отвечу на любые вопросы.vtyulb
06.09.2016 17:21+1Понятно, спасибо! Буду у себя в ближайшее время что-нибудь подобное организовывать.
cyberorg
07.09.2016 12:24+1Будет отлично, если напишите это в формате статьи.
dmitriylyalyuev
07.09.2016 13:07В формате статьи если оно и будет, то скорее всего у себя в блоге. ;)
dom1n1k
06.09.2016 16:54По информации агентства ОБС, внутри самой компании, среди самих сотрудников уже много лет живет синдром «горящей платформы».
Mabusius
06.09.2016 11:44+8*facepalm* За что они там свои деньги получают? За решение олимпиадных задач на собеседованиях?
sirri
06.09.2016 11:55+1Будем ждать комментарий Рамблера. Может, объяснят, почему пароли в открытом виде, а заодно и прочие гадкие «прелести» работы старейшего рунетовского сервиса, за которые должно быть стыдно в 2016 году.
mikluha
06.09.2016 16:46Ну зачем нужны пароли plaintextом понять вполне можно. Чтобы использовать тот-же CRAM-MD5 при авторизации, например, на SMTP.
Конечно, можно пароли шифровать обратимым шифрованием, и непосредственно в приложении, кому нужен пароль его расшифровывать и сравнивать… В этом случае защищенность будет чуточку выше, до тех пор, пока из приложения не стянут ключи.
ferosod
06.09.2016 17:15+1Так вроде стыдно было еще в 2012 году? Или я что-то упустил в тексте статьи?
Sinclair2K
06.09.2016 11:59-14Большинство таких «утечек» на деле оказывались кражей паролей пользователей с помощью фишинга, кейлогинга и прочих способов.
Вероятность того, что крупная интернет компания хранит в базе нехешированные пароли равна бесконечно малой величине.
silvansky
06.09.2016 12:01+8Мой знакомый разработчик той самой почти подтвердил, что в Рамблере пароли раньше действительно хранились в PlainText, в том числе в 2012 году.
goricvet
06.09.2016 12:27+1Учитывая размер базы, и то что она включает в себя не только пароли, но и другую подробную информацию, то думаю всё же речь идет о краже незашифрованной базы у Рамблера. Когда вы делаете такие громкие утверждения, насчет практически нулевой вероятности, то вспоминайте почаще Бритву Хэнлона.
pehat
06.09.2016 12:31+2Пару месяцев назад восстанавливал пароль на Мосигре. Мне его любезно прислали в plain text. Передаю привет milfgard.
Milfgard
06.09.2016 12:44+6Принимаю привет. Мы присылаем новый пароль в письме, да. Если ваш ящик сломан — скорее всего, вам токен не поможет.
tmin10
06.09.2016 12:56-2А зачем вы вообще храните пароли открытым текстом? Ведь намного безопаснее хранить их в виде солёного хэша (а медленное хэширование дополнительно усложнит брутфорс), а при восстановлении просто сбрасывать на новый.
Bytamine
06.09.2016 13:01+7То, что они присылают пароль открытым текстом, не означает, что они его хранят так же.
vics001
06.09.2016 13:24Ящик могут украсть и позже или просто подсмотреть пароли, поэтому надежная схема, когда присылают ссылку активации, которая может быть нажата только один раз и активна 24 часа. Тогда даже если почта просматривается, все равно можно успешно зарегистрироваться в новом сервисе.
Milfgard
06.09.2016 17:32Это очень, очень плохой метод. Правильный — двухфакторка. А здесь можно случайно кликнуть дважды по ссылке, не успеть по ней пройти и т.п. В противовес — весьма иллюзорная защита от злоумышленника.
Roman_Popov
06.09.2016 12:32Это сколько времени и сил надо, чтобы спереть 100млн. паролей фишингом и социнженерией? И ради чего?
vyacheslav_ka
06.09.2016 12:52Что такого случилось в 2012 году, что массово ломали сервисы?
Kenya-West
06.09.2016 14:04Например, Дезмонд спас нас всех от конца света, а «тень» богини Юноны вышла во всемирную сеть и использует его в своих целях. С тех пор все веб-сервисы человечества подвергаются неведомой опасности.
miga
06.09.2016 13:05Почему все удивлены тем, что пароли хранятся в открытом виде? Это же почта, если вы хотите что-то отличное от AUTH PLAIN, надо иметь полный пароль, а не хэш.
Конечно, можно в одном месте хранить шифрованные пароли, а ключи где-то еще, но мы же все прекрасно понимаем что такая схема не намного безопаснее.dmitriylyalyuev
06.09.2016 13:08PLAIN метод авторизации никак не связан с хранением паролей, как таковым.
tmin10
06.09.2016 13:14-2Для проверки пароля не нужно знать сам пароль, нужно знать только его хэш. Потом просто получаем хэш от полученного пароля и сравниваем его с хэшем из базы.
miga
06.09.2016 13:16+2Нет, с SMTP не все так просто. :)
Если вы не хотите гонять пароль по сети в открытом виде (пусть и внутри зашифрованного канала), то другие методы требуют знания пароля от обоих сторонtmin10
06.09.2016 13:23Сейчас у рамблера SMTP через SSL (если верить странице настройки почты), возможно в 2012 было по-другому, но сейчас можно пароль и открытым текстом гонять.
xforce
06.09.2016 13:18+3Это как раз для PLAIN, а если у нас какой-нибудь RFC-1734 поддерживается, то уже ой и хеша недостаточно.
Lorien_Elf
06.09.2016 13:19+3Пошел пароль менять. Почувствуй себя роботом — попробуй разгадать капчу от Рамблера!
wighthawk
06.09.2016 14:28Нашел свою заблокированую почту от мейл ру там, на сервисе. предлагают купить за 2 доллара. весело.
товарищи, есть ли хоть какой тут представитель мейл ру, что мог бы помочь? я изза этой утечки 12 года (по сайту 13) не могу зайти на свой аккаунт мейл ру (vip-zone@mail.ru) хотя у меня есть доступ к привязаному к аккаунту телефону, который там висит там уже много лет. пароль вспомнить не могу, вместо секретного вопроса стоит 21 знак вопроса. вводя код восстановления — отправляет заполнять анкету «так как помню», после чего меня шлют на 3 буквы боты, каким фиг что обьяснишь. Есть хоть один живой человек? крыша уже едет! свяжитесь со мной по адресу justasstog@mail.ru, пожалуйста.
AVX
06.09.2016 15:33mail.ru тоже хранит пароли в открытом виде. Может и не на все сервисы, но один точно. Как я узнал: купил освободившийся домен, нашел на сервисе где счётчики посещений от майл ру, этот домен, ну и нехитрыми действиями восстановил пароль, указав новую (свою) почту (не на мейл ру, если что), и подтвердив владение доменом. На новую почту мне прислали пароль от статистики, который установил предыдущий владелец, в открытом виде. Не удивлюсь, что и в других своих сервисах тоже хранят в открытом виде.
wighthawk
06.09.2016 15:41ну. мне честно говоря все равно как они пароли хранят) хоть на бумажке, у системника. Мне важно, что бы они не взрывали мне мозг, когда я имейю привязанный к аккаунту телефон.
Sinclair2K
06.09.2016 18:12+1Скорее всего это заново сгенерированный пароль, а не тот что установил предыдущий владелец. Вы не помните, был ли он похож на придуманный человеком или это был случайный пароль?
AVX
06.09.2016 19:45Пароль не был заново сгенерированный, явно было видно, что человек придумал, особо не напрягаясь.
Вот, нашёл то письмо, заголовок «Ваш пароль в Рейтинге@Mail.ru»
часть содержимого:
«E-Mail: *@***.ru
Пароль: 222111222»
Да, в том письме и мыло предыдущего владельца засветили, это я вместо него звёздочки поставил.
mistiman
06.09.2016 18:07на myspace, adobe и lastfm у вас такой же пароль очевидно?)
там достаточно простой пароль вида числобуквачислобуквачислобуква
я что-то не уверен, что сюда стоит его писать, хотя он уже практически в паблике
SvyatoslavMC
06.09.2016 20:08Недавно был год, как я просил Рамблер поправить 2 бага в спам-фильтрах. В ответ на юбилейное письмо опять сослались на технические проблемы. Уже несколько дней перевожу все сервисы на новую почту.
Noeren
100 миллионов пользователей рамблера… зачееем? Кто все эти люди?
DMGarikk
Наследие старины глубокой
geisha
Когда трава была зеленее, а пароли — открытым текстом?
ton1
gmail был далеко не первым почтовым сервисом
Jeditobe
База уже лежит в открытом доступе?
Kasatich
у меня там к примеру было три ящика) До сих пор получаю переадресацию с двух из них.
zartarn
всё очень просто, было время когда регая почту на рамблере, автоматом давали номер аськи, и это было проще и быстрее чем на сайте аси ;)
Jogger
Моей почте на рамблере около 15 лет. Да, какой-никакой выбор был и тогда, но по тем временам рамблер был вполне на уровне. Я тогда даже пользовался им как поисковиком — гугл ещё не был так популярен, я узнал о нём несколько позже. А гмейла тогда ещё даже в проектах не было. А сейчас — жалко терять старый почтовый ящик, на который много что было зарегено. Постепенно стараюсь то чем пользуюсь перепривязывать на что-то более актуальное, но полностью забить на рамблер, к сожалению, не готов.
sp01
К сожалению не могу поддержать коммент.
Но аналогичная ситуация. Зарегил ящик на Рамблере, на заре первых шагов Интернета еще даже не в жилые дома, а в основные ВУЗы страны. Реально он был хорош, много места, стабильность. Потом понеслась. Сейчас скатились к тому, что запросы в техподдержке висят месяцами без ответа, спам долбит, спам фильтры не помогают, в почте какие-то глюки со счетчиками писем. У меня например висят несколько писем с кривой датой 01.01.1900 и ни у меня всегда как «новые».
Понимаю, что Рамблер уже дно, но разом переехать на что-то другое — не реально.