загрузка
Главная Форум Сайт и форум "Где папа" Хочу создать новую тему, но не могу найти подходящую категорию Важно! Если у вас есть почта на Яндексе, срочно меняйте пароль! 1000000 паролей от почтовых ящиков Яндекса утекли в сеть
Страницы:
1
2
Quasimodo, Меня нет, меня не стало, я просто однажды *****, 42 года
Quasimodo, Меня нет, меня не стало, я просто однажды *****, 42 года.
 
Новость с хабра http://habrahabr.ru/post/235949/ :

1000000 паролей от почтовых ящиков Яндекса утекли в сеть.

Сегодня на одном довольно широко известном ресурсе разместили базу email адресов с паролями от почтовых ящиков Яндекса. База представляет собой текстовый документ, в котором заявлено 1000000 позиций.
С удивлением обнаружил там один из своих, и хотя пароль не был космической сложности, уж точно не для брута и словарей.
Когда именно, и по какой причине данная база утекла в сеть, остается неизвестным. В комментариях народ пишет, что из первых попавшихся 10 яшиков как минимум 8 являются на настоящий момент валидными…
В общем, дружно меняем пароли, пока представители Яндекса ищут крота.


------------
От себя:
Вообщем, в сеть выложили список из 1 261 809 логинов и паролей от почтовых ящиков на яндексе, я проверил все свои ящики, для вашего удобства на том же хабре уже сделали онлайн проверку вашего почтового ящика, проверить можно по ссылке http://games-gen.com/mails/check2.html (ссылка взята с комментария http://habrahabr.ru/post/235949/#comment_7940773 )

так же специально для вас выкладываю список в текстовом формате ящиков без паролей, чтоб сами могли проверить свой ящик искать по текстовому файлу быстрее будет, если открыв егов блакноте на клавиатуре одновременно нажмете (ctrl+F) https://drive.google.com/file/d/0BwRHTZchAxwBaWdQQ1FrWEtiSmc/edit?usp=sharing
Сообщение отредактировал Quasimodo, Меня нет, меня не стало, я просто однажды ***** (автор поста) 08.09.2014 01:21
Тема скрыта, т.к. её содержание не нравится большому количеству пользователей. Открыть содержание
Виталий, Россия, Краснодар, 49 лет
Виталий, Краснодар, 49 лет.
 
Да плевать , я всеравно дольше чем пол года не пользуюсь одним и темже ящиком. Да и государствнных секретов там нет rofl_rt_56.gif
Алена в мехах, Ушла взамуж, 29 лет
Алена в мехах, Ушла взамуж, 29 лет.
 
Quasimodo, Меня нет, меня не стало, я просто однажды ***** писал:
Новость с хабра http://habrahabr.ru/post/235949/ : 1000000 паролей от почтовых ящиков Яндекса утекли в сеть. Сегодня на одном довольно широко известном ресурсе разместили базу email адресов с паролями от почтовых ящиков Яндекса. База представляет собой текстовый документ, в котором заявлено 1000000 позиций. С удивлением обнаружил там один из своих, и хотя пароль не был космической сложности, уж точно не для брута и словарей. Когда именно, и по какой причине данная база утекла в сеть, ос
камменты с хабра читал?
вроде как фишинг-атака была.
ну и утекли только недавно зарегестрированные.
Дмитрий, Москва, м. Юго-Западная, 46 лет
Дмитрий, Москва, м. Юго-Западная, 46 лет.
 
Яндексовская почта у меня для спама, пущай пользуются biggrin_rt_40.png
Oleg, Москва, м. Профсоюзная, 51 год
Oleg, Москва, м. Профсоюзная, 51 год.
 
Спасибо за информацию.

Моих электронных адресов в данном списке нет - но все равно многим пользователям теперь непросто.
Фёдор, Россия, Москва, 49 лет
Фёдор, Москва, 49 лет.
 
Пароли с яндекса утечь не могут, они там не хранятся вообще )
Яндекс может только проверить, подходит пароль или нет, но сказать какой должен быть пароль - не может.
Утечки только от пользователей, либо антивирус не обновляют, либо вводят логин-пароль на "левых" сайтах...
Quasimodo, Меня нет, меня не стало, я просто однажды *****, 42 года
Quasimodo, Меня нет, меня не стало, я просто однажды *****, 42 года.
 
Виталий, Россия, Краснодар писал:
Да плевать , я всеравно дольше чем пол года не пользуюсь одним и темже ящиком. Да и государствнных секретов там нет
)) ну это ты )
Quasimodo, Меня нет, меня не стало, я просто однажды *****, 42 года
Quasimodo, Меня нет, меня не стало, я просто однажды *****, 42 года.
 
Алена в мехах, Ушла взамуж писала:
камменты с хабра читал? вроде как фишинг-атака была. ну и утекли только недавно зарегестрированные.
Во первых, фишинг был всего лишь как предположение от самих же пользователей хабра, НО есть много комментариев что у некоторых почта была заведена давно, кто то пользовался 1-3 раза и тд.. так что фишинг как основная версия утечки не является главным аргументом.
Quasimodo, Меня нет, меня не стало, я просто однажды *****, 42 года
Quasimodo, Меня нет, меня не стало, я просто однажды *****, 42 года.
 
Фёдор, Россия, Москва писал:
Пароли с яндекса утечь не могут, они там не хранятся вообще ) Яндекс может только проверить, подходит пароль или нет, но сказать какой должен быть пароль - не может. Утечки только от пользователей, либо антивирус не обновляют, либо вводят логин-пароль на "левых" сайтах...
WAT?! - вы только это в приличном обществе не говорите.
ЮЛИЯ, Россия, Санкт-Петербург, 44 года
ЮЛИЯ, Санкт-Петербург, 44 года.
 
Quasimodo, Меня нет, меня не стало, я просто однажды ***** писал:
Новость с хабра http://habrahabr.ru/post/235949/ : 1000000 паролей от почтовых ящиков Яндекса утекли в сеть. Сегодня на одном довольно широко известном ресурсе разместили базу email адресов с паролями от почтовых ящиков Яндекса. База представляет собой текстовый документ, в котором заявлено 1000000 позиций. С удивлением обнаружил там один из своих, и хотя пароль не был космической сложности, уж точно не для брута и словарей. Когда именно, и по какой причине данная база утекла в сеть, ос
спасибо за информацию give-rose_rt_60.gif
Фёдор, Россия, Москва, 49 лет
Фёдор, Москва, 49 лет.
 
Quasimodo, Меня нет, меня не стало, я просто однажды ***** писал:
WAT?! - вы только это в приличном обществе не говорите.
Вряд ли в яндексе дилетанты работают. все кто более-менее разбирается, пароли не хранит smile1_rt_40.png
Фёдор, Россия, Москва, 49 лет
Фёдор, Москва, 49 лет.
 
Quasimodo, Меня нет, меня не стало, я просто однажды ***** писал:
сделали онлайн проверку вашего почтового ящика,
Обычно так они и утекают )
Quasimodo, Меня нет, меня не стало, я просто однажды *****, 42 года
Quasimodo, Меня нет, меня не стало, я просто однажды *****, 42 года.
 
Фёдор, Россия, Москва писал:
Вряд ли в яндексе дилетанты работают. все кто более-менее разбирается, пароли не хранит
Повторюсь, ЛОЛШТО?

Подскажите пожалуйста, как происходит авторизация пользователя в веб сервере яндекса ?

По поводу, так и утекают пароли касательно сервиса, если вы не заметили, то на нём просят просто ввести логин ящика и уже его ищут по базе, нигде не спрашивают пароль, так что единственное что они могут сделать, это только собрать данные для спам листа, и именно для этого я прикрепил текстовый фаил, для самостоятельного поиска.
Фёдор, Россия, Москва, 49 лет
Фёдор, Москва, 49 лет.
 
Quasimodo, Меня нет, меня не стало, я просто однажды ***** писал:
Подскажите пожалуйста, как происходит авторизация пользователя в веб сервере яндекса ?
Откуда ж я знаю как это в яндексе? В серьезных конторах, пароль который передал пользователь сначала "солят", что бы два одинаковых пароля выглядели как разные, потом применяют к ним какую нибудь необратимую функцию, и хранят они не пароли, а результат этой самой функции. Которая, как видно из названия, необратима, т.е. зная ее, нельзя получить пароль... ну, ближайшие лет 10 smile_rt_40.png
Да еще, разумеется сам код сервера одинаковый на разных серверах, с проверкой цифровой подписи. Т.е. работает ровно то, что
собрано из исходников, а не что положил админ.
Ну и исходники, они все хранятся в какой нибудь системе контроля версий, и про каждую строчку можно сказать кто ее написал,
и кто ее проверил перед тем как включить в дистрибутив )
Думаю, в яндексе все так и есть. Воровать оттуда пароли не рентабельно, есть много других простых способов.
Quasimodo, Меня нет, меня не стало, я просто однажды *****, 42 года
Quasimodo, Меня нет, меня не стало, я просто однажды *****, 42 года.
 
Фёдор, Россия, Москва писал:
Откуда ж я знаю как это в яндексе? В серьезных конторах, пароль который передал пользователь сначала "солят", что бы два одинаковых пароля выглядели как разные, потом применяют к ним какую нибудь необратимую функцию, и хранят они не пароли, а результат этой самой функции. Которая, как видно из названия, необратима, т.е. зная ее, нельзя получить пароль... ну, ближайшие лет 10 Да еще, разумеется сам код сервера одинаковый на разных серверах, с проверкой цифровой подписи. Т.е. работает
А я всё ждал, что вы мне скажете что то другое, что к примеру яндекс использует SRP-6 аутентификацию и только по этому он не знает и не хранит пароль, но в данном случае, в том числе и исходя из вашего сообщения яндекс всё таки хранит пароль на сервере только в хеш функции с солью в 48 бит (с слов яндекса) и скорее всего md5, а это разве не означает что яндекс всё таки хранит у себя солёный хеш пароля? при котором зная соль и md5 сумму мы можем восстановить пароль ? (восстановить неправильно писать с моей стороны, правильнее конечно же было бы найти коллизию и/или сравнить два хеша, чем вполне справляется как тот же cmd5.ru так и программы для брута паролей, в том числе по соли)

Хотя сейчас мы углубляемся в дебри криптографии, хеширования, а тема была о том в сети появилось более 1 000 000 логинов и паролей от яндекса, ну и ставя под сомнение то что у яндекса не хранятся пароли в открытом виде http://habrahabr.ru/company/yandex/blog/236007/#comment_7943159
Фёдор, Россия, Москва, 49 лет
Фёдор, Москва, 49 лет.
 
Quasimodo, Меня нет, меня не стало, я просто однажды ***** писал:
при котором зная соль и md5 сумму мы можем восстановить пароль ?
Нет, зная соль и хэш (не уверен что там md5) мы не можем восстановить пароль. На том и держится земля русская интернет )
Quasimodo, Меня нет, меня не стало, я просто однажды *****, 42 года
Quasimodo, Меня нет, меня не стало, я просто однажды *****, 42 года.
 
Фёдор, Россия, Москва писал:
Нет, зная соль и хэш (не уверен что там md5) мы не можем восстановить пароль. На том и держится земля русская интернет )
http://forum.antichat.ru/thread136449.html
http://cmd5.ru/
http://codahale.com/how-to-safely-store-a-password/

(восстановить я специально брал в скобки, подразумевая брут/сравнение хеша)
Игорь, Россия, Москва, 60 лет
Игорь, Москва, 60 лет.
 
ШЕФ, ВСЁ ПРОПАЛО!
А почитать? А не гнать панику? nono_rt_50.gif

http://ria.ru/society/20140908/1023238173.html

Т.ч. если ваш акк есть среди сворованных и вы им пользуетесь, то вас просто не пустит и попросит заменить пароль! rtfm_rt_52.gif

А по поводу того, как хранит пароли яндекс, так ктож вам скажет?
Скорее всего, конечно, хранят хеш, но украсть пароли можно ведь не только через расшифровку хеша! ph34r_rt_40.gif
Игорь, Россия, Москва, 60 лет
Игорь, Москва, 60 лет.
 
Фёдор, Россия, Москва писал:
мы не можем восстановить пароль
Можем! Но оно того стоит?! smile1_rt_40.png
Quasimodo, Меня нет, меня не стало, я просто однажды *****, 42 года
Quasimodo, Меня нет, меня не стало, я просто однажды *****, 42 года.
 
Игорь, Россия, Москва писал:
ШЕФ, ВСЁ ПРОПАЛО! А почитать? А не гнать панику? http://ria.ru/society/20140908/1023238173.html Т.ч. если ваш акк есть среди сворованных и вы им пользуетесь, то вас просто не пустит и попросит заменить пароль! А по поводу того, как хранит пароли яндекс, так ктож вам скажет? Скорее всего, конечно, хранят хеш, но украсть пароли можно ведь не только через расшифровку хеша!
когда я писал сообщение, яндекс ещё не блокировал данные аккаунты ))

А если посмотреть глубже, вот сюда: https://twitter.com/AnonymousFM1/status/508879341603004416 то мы увидим: "Миллионная база почтовых ящиков от Яндекса была опубликована месяц назад " и ссылка на саму новость, где из кеша можно вытащить саму базу с паролями.

Да украсть пароли можно многими способами, в том числе той же последней ошибкой с сертификатами, когда получалась атака (человек посередине) кейлойгер, подмена хоста и тд.. и тп...

Что заметьте, я не обсуждал в начале поста, а предупредил пользователей данного сайта )

А то что яндекс всё таки после огласки работает оперативно, это радует.
Фёдор, Россия, Москва, 49 лет
Фёдор, Москва, 49 лет.
 
Quasimodo, Меня нет, меня не стало, я просто однажды ***** писал:
http://forum.antichat.ru/thread136449.html http://cmd5.ru/ http://codahale.com/how-to-safely-store-a-password/
И я о том же. Ни один из этих "сервисов" мой пароль не "восстановил". И это с давно забытым md5, что уж говорить о современных функциях.
Страницы:
1
2
В теме "Важно! Если у вас есть почта на Яндексе, срочно меняйте пароль! 1000000 паролей от почтовых ящиков Яндекса утекли в сеть" давно не было ответов, потому она считается закрытой. Вы можете создать новую тему, или поискать похожие.

Похожие темы

Вы не можете ответить, т.к. в данный момент не зарегистрированы или не авторизованы

Регистрация | Напомнить пароль | Или введите e-mail (номер телефона) и пароль в форме "Вход на сайт"

Или Вы можете войти на сайт (создать анкету), используя Войти через Mail.Ru Mail.ru, Войти через Одноклассники OK.ru или Войти через ВКонтакте VK.com Войти через Yandex Yandex

наверх
Вход на сайт
Логин, email или телефон
Пароль
Закр