- PVSM.RU - https://www.pvsm.ru -
Прочитав новость [1] об утечке базы паролей «Яндекса» и официальное заявление [2] «Яндекса» вместе с комментариями, стало понятно, что ситуация запутанная и некоторые думают, что база утекла из самого «Яндекса».
Увидев недоверие пользователей, я решил сопоставить все факты и логически выявить наиболее вероятный вариант появления базы:
1. Брутфорс;
2. Фишинг;
3. Кросс-чек;
4. Утечка с компьютеров пользователей;
5. Утечка из Яндекса;
6. Утечка из спецслужб;
7. База составлена за долгое время из разных источников;
8. Через мобильных операторов (если привязан телефон).
Напрямую сбрутфорсить пароли вида «51iII%jch^f6» практически нереально или нецелесообразно, даже если бы не было никакой защиты от брутфорса. Тут, я думаю, комментарии излишни.
Некоторые пользователи в комментария утверждают, что не пользовались [3] почтой с 2005 года, либо вообще давно забыли пароль [4]. Если эти высказывания принять за истину (при беглом осмотре профилей не видно ничего подозрительного), даже если фишинг имеет место быть, то эта БД — не единый случай массового фишинга.
Опять же, в комментариях утверждают [5], что пароль стоял только на почте и на хабре. Вряд ли сломали пароль от хабра, а потом от почты. Даже если сломали от хабра, то это не массовое явление (если у кого-то тоже такой вариант исключен — пишите в комментариях).
Хотя этот вариант возможен, но все-равно есть сомнения, что у некоторых пользователей [6] могли украсть пароль данным способом. Нужны более убедительные примеры (если есть — пишите в комментариях).
Фактов нет. Единственная возможность опровергнуть — доказать обратное. Можно заметить, что если Яндекс хранит хэши паролей, то некоторые пароли пришлось бы брутфорсить очень долго. Пример: для хэша md5 без соли из пароля с символами latin small + large + numbers + special characters длинной в 10 символов существует 96 ^ 10 = 66483263599150104576 вариантов. Чтобы перебрать такое количество вариантов, например, с помощью такой программы [7] и мощного видеоадаптера (возьмем, для примера, скорость 5000М/s) потребуется (96 ^ 10 / 5000000000 / 60 / 60 / 24 / 365) примерно 421 год или 421 мощный видеоадаптер и 1 год. В данном пароле из базы «03jkd64k57d6t9h6$!X&» — 20 символов, что потребует намного больше времени или вычислительных мощностей.
Это какая-то треш-база. У спецслужб была бы база покачественнее. Ниже мои комментарии.
Наиболее вероятный на мой взгляд вариант. Ниже мои рассуждения.
Учитывая, что на Хабре обитают не глупые люди [8], разбирающиеся в информационной безопасности, то можно предположить, что пароли угнали каким-то образом через мобильного оператора. Не знаю, массовое явление было или нет, но недавно приятель рассказал мне о том, как у него угнали с Яндекс.Денег немаленькую сумму. Предварительно перед этим у него перестал находить сеть телефон. т.е. сим-карта перестала работать, как будто её восстановили в офисе оператора, а старую заблокировали. В этот промежуток времени как раз и были украдены деньги. Оператор сказал, что никакой информации о данном предположении нет — и выдал сим-карту заново, т.к. старая так и не заработала. Пруфов нет, возможно, кто-то поделится, если это массовое явление.
Сначала попробовал поискать случайным образом пароли со спец-символами, после чего гуглил эти ящики — нигде в интернете не встречаются. Я решил использовать меленькую лазейку «Вконтакте», которую давно обнаружил: проверил, на кого эти ящики зарегистрированы во «Вконтакте» следующим образом:
1. Жмем восстановление пароля;
2. Вводим почтовый ящик;
3. У нас спрашивают, та ли эта страница, от которой мы хотим восстановить пароль — и отображает Имя Фамилия с аватаркой и городом;
4. В поиске vk.com ищем по имени, фамилии и городу и сверяем аватарку;
5. Если не находит, гуглим по имени и фамилии, перебираем страницы vk.com из поиска, сверяем аватарку;
6. Если не находит, используем гугловский поиск по картинкам и копируем ссылку аватарки пользователя, если надо, то дописываем имя и фамилию в поиск;
7. Profit.
Результат:
hellraiser84@yandex.ru:03jkd64k57d6t9h6$!X&
iurusov.tolya@yandex.ru:hdkYwk*^2v2
Пользователи заблокированы или страница удалена. Не стал искать ссылки на страницы.
alisa.arhangelskaya@yandex.ru:51iII%jch^f6
vk.com/id108362638 [9]
super.denvgj2010@yandex.ru:jgbkcvbf^sdlfewi
vk.com/id103201231 [10]
(В поиске не нашлась страница, зато гугл нашел).
kijaka@yandex.ru:s1gh57NTS%%^%
vk.com/id64404050 [11]
(Нашел по аватарке через поиск картинок гугл + ввел имя фамилия).
Две страницы пустые, на первой какой-то спам.
Закономерностей тут особо нет, нужно проверить больше страниц, но мне все-таки удалось выявить некую закономерность на основе других данных: был обнаружен подозрительно популярный пароль [12], после чего другой пользователь заметил [13], что логины у этих паролей автоматически сгенерированы. Я заметил, что они раскиданы по разным частям файла случайным образом (как вариант: а может и не случайным, т.к. возможно почтовые ящики идут в порядке времени регистрации. Но, учитывая, что в базе есть ящики 2005 года и есть зарегистрированные недавно, этот вариант маловероятен и другие варианты тоже). Такое ощущение, что эти почтовые ящики специально перемешали по всей базе, чтобы не вызвать подозрения и подтвердить статистику о том, что много валидных адресов и база не липовая.
Чтобы подтвердить одинаковое происхождение данных адресов, проверяем во «Вконтакте» данные почтовые ящики вышеописанным способом:
vla13854625@yandex.ru
dmi46685101@yandex.ru
dmi16144725@yandex.ru
Они зарегистрированы с одним и тем же именем, что ещё раз намекает, что данные почтовые ящики специально перемешаны с остальными для увеличения размера БД.
Мне кажется, что «Яндекс» тут действительно не виноват. Я попытался сложить все факты воедино, логически рассуждать и выявить некоторые закономерности, которые могут хотя бы косвенно что-то доказывать.
Предлагаю всем вместе обсудить данный вопрос. Приводите аргументы за и против данных предположений или предлагайте свои.
Автор: Sosiska
Источник [14]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/yandeks/69193
Ссылки в тексте:
[1] новость: http://habrahabr.ru/post/235949/
[2] официальное заявление: http://habrahabr.ru/company/yandex/blog/236007/
[3] не пользовались: http://habrahabr.ru/post/235949/#comment_7942111
[4] забыли пароль: http://habrahabr.ru/post/235949/#comment_7941485
[5] утверждают: http://habrahabr.ru/post/235949/#comment_7942423
[6] некоторых пользователей: http://habrahabr.ru/post/235949/#comment_7941779
[7] такой программы: http://www.golubev.com/hashgpu.htm
[8] не глупые люди: http://habrahabr.ru/company/yandex/blog/236007/#comment_7943159
[9] vk.com/id108362638: http://vk.com/id108362638
[10] vk.com/id103201231: http://vk.com/id103201231
[11] vk.com/id64404050: http://vk.com/id64404050
[12] подозрительно популярный пароль: http://habrahabr.ru/post/235949/#comment_7941381
[13] другой пользователь заметил: http://habrahabr.ru/post/235949/#comment_7942389
[14] Источник: http://habrahabr.ru/post/236169/
Нажмите здесь для печати.