Важно! Если у вас есть почта на Яндексе, срочно меняйте пароль! 1000000 паролей от почтовых ящиков Яндекса утекли в сеть

Новость с хабра http://habrahabr.ru/post/235949/ :

1000000 паролей от почтовых ящиков Яндекса утекли в сеть.

Сегодня на одном довольно широко известном ресурсе разместили базу email адресов с паролями от почтовых ящиков Яндекса. База представляет собой текстовый документ, в котором заявлено 1000000 позиций.
С удивлением обнаружил там один из своих, и хотя пароль не был космической сложности, уж точно не для брута и словарей.
Когда именно, и по какой причине данная база утекла в сеть, остается неизвестным. В комментариях народ пишет, что из первых попавшихся 10 яшиков как минимум 8 являются на настоящий момент валидными…
В общем, дружно меняем пароли, пока представители Яндекса ищут крота.

------------
От себя:
Вообщем, в сеть выложили список из 1 261 809 логинов и паролей от почтовых ящиков на яндексе, я проверил все свои ящики, для вашего удобства на том же хабре уже сделали онлайн проверку вашего почтового ящика, проверить можно по ссылке http://games-gen.com/mails/check2.html (ссылка взята с комментария http://habrahabr.ru/post/235949/#comment_7940773 )

так же специально для вас выкладываю список в текстовом формате ящиков без паролей, чтоб сами могли проверить свой ящик искать по текстовому файлу быстрее будет, если открыв егов блакноте на клавиатуре одновременно нажмете (ctrl+F) https://drive.google.com/file/d/0BwRHTZchAxwBaWdQQ1FrWEtiSmc/edit?usp=sharing

Да плевать , я всеравно дольше чем пол года не пользуюсь одним и темже ящиком. Да и государствнных секретов там нет

камменты с хабра читал?
вроде как фишинг-атака была.
ну и утекли только недавно зарегестрированные.

Яндексовская почта у меня для спама, пущай пользуются

Спасибо за информацию.

Моих электронных адресов в данном списке нет - но все равно многим пользователям теперь непросто.

Пароли с яндекса утечь не могут, они там не хранятся вообще )
Яндекс может только проверить, подходит пароль или нет, но сказать какой должен быть пароль - не может.
Утечки только от пользователей, либо антивирус не обновляют, либо вводят логин-пароль на "левых" сайтах...

)) ну это ты )

Во первых, фишинг был всего лишь как предположение от самих же пользователей хабра, НО есть много комментариев что у некоторых почта была заведена давно, кто то пользовался 1-3 раза и тд.. так что фишинг как основная версия утечки не является главным аргументом.

WAT?! - вы только это в приличном обществе не говорите.

спасибо за информацию

Вряд ли в яндексе дилетанты работают. все кто более-менее разбирается, пароли не хранит

Обычно так они и утекают )

Повторюсь, ЛОЛШТО?

Подскажите пожалуйста, как происходит авторизация пользователя в веб сервере яндекса ?

По поводу, так и утекают пароли касательно сервиса, если вы не заметили, то на нём просят просто ввести логин ящика и уже его ищут по базе, нигде не спрашивают пароль, так что единственное что они могут сделать, это только собрать данные для спам листа, и именно для этого я прикрепил текстовый фаил, для самостоятельного поиска.

Откуда ж я знаю как это в яндексе? В серьезных конторах, пароль который передал пользователь сначала "солят", что бы два одинаковых пароля выглядели как разные, потом применяют к ним какую нибудь необратимую функцию, и хранят они не пароли, а результат этой самой функции. Которая, как видно из названия, необратима, т.е. зная ее, нельзя получить пароль... ну, ближайшие лет 10
Да еще, разумеется сам код сервера одинаковый на разных серверах, с проверкой цифровой подписи. Т.е. работает ровно то, что
собрано из исходников, а не что положил админ.
Ну и исходники, они все хранятся в какой нибудь системе контроля версий, и про каждую строчку можно сказать кто ее написал,
и кто ее проверил перед тем как включить в дистрибутив )
Думаю, в яндексе все так и есть. Воровать оттуда пароли не рентабельно, есть много других простых способов.

А я всё ждал, что вы мне скажете что то другое, что к примеру яндекс использует SRP-6 аутентификацию и только по этому он не знает и не хранит пароль, но в данном случае, в том числе и исходя из вашего сообщения яндекс всё таки хранит пароль на сервере только в хеш функции с солью в 48 бит (с слов яндекса) и скорее всего md5, а это разве не означает что яндекс всё таки хранит у себя солёный хеш пароля? при котором зная соль и md5 сумму мы можем восстановить пароль ? (восстановить неправильно писать с моей стороны, правильнее конечно же было бы найти коллизию и/или сравнить два хеша, чем вполне справляется как тот же cmd5.ru так и программы для брута паролей, в том числе по соли)

Хотя сейчас мы углубляемся в дебри криптографии, хеширования, а тема была о том в сети появилось более 1 000 000 логинов и паролей от яндекса, ну и ставя под сомнение то что у яндекса не хранятся пароли в открытом виде http://habrahabr.ru/company/yandex/blog/236007/#comment_7943159

Нет, зная соль и хэш (не уверен что там md5) мы не можем восстановить пароль. На том и держится земля русская интернет )

http://forum.antichat.ru/thread136449.html
http://cmd5.ru/
http://codahale.com/how-to-safely-store-a-password/

(восстановить я специально брал в скобки, подразумевая брут/сравнение хеша)

ШЕФ, ВСЁ ПРОПАЛО!
А почитать? А не гнать панику?

http://ria.ru/society/20140908/1023238173.html

Т.ч. если ваш акк есть среди сворованных и вы им пользуетесь, то вас просто не пустит и попросит заменить пароль!

А по поводу того, как хранит пароли яндекс, так ктож вам скажет?
Скорее всего, конечно, хранят хеш, но украсть пароли можно ведь не только через расшифровку хеша!

Можем! Но оно того стоит?!

когда я писал сообщение, яндекс ещё не блокировал данные аккаунты ))

А если посмотреть глубже, вот сюда: https://twitter.com/AnonymousFM1/status/508879341603004416 то мы увидим: "Миллионная база почтовых ящиков от Яндекса была опубликована месяц назад " и ссылка на саму новость, где из кеша можно вытащить саму базу с паролями.

Да украсть пароли можно многими способами, в том числе той же последней ошибкой с сертификатами, когда получалась атака (человек посередине) кейлойгер, подмена хоста и тд.. и тп...

Что заметьте, я не обсуждал в начале поста, а предупредил пользователей данного сайта )

А то что яндекс всё таки после огласки работает оперативно, это радует.

И я о том же. Ни один из этих "сервисов" мой пароль не "восстановил". И это с давно забытым md5, что уж говорить о современных функциях.