UPD: ivlad подтвердил утечку

Где подтверджение об утечке? В случае утечки не было бы неверных паролей (читай внимательно этот тред).

Для тупых — подтверждено появление списка аккаунтов, некоторые с верными паролями. Утечка и фишинг — не одно и то же.

Посмотрел пароли, почитал хабр, проверил себя и знакомых.

Как диванный специалист вангую - это вброс, собранный из спамботов и фишинга.

Да, уже качнул, спасибо

все пароли подбираются за секунды/минуты словарём, или мне показалось?

Благодарю за ссыль. Моей там нет. Но все равно сменю.

На хабре много кто говорит про прослушку яндекса организацией на три буквы, это слухи или официальное заявление было?

ломали возможно хэши, а такие пароли вполне реально перебрать _очень_ быстро с хорошим словарём и всякими радужными таблицами. хотя нет, wd7j1n9lk9bq56fzxc7 — вряд ли, тогда более вероятно, что где-то перехватили plain-текстом (если он настоящий, что может быть и не так, тогда фейк).

Как будто на хабре недостаточно хомячья.

Полный 38 мб весит http://rghost.net/57903276

У меня в 38Мб файлик. Своих ящиков не нашёл. Почитав немного, решил, что виной всему фишинг.

Почитав немного, решил, что виной всему фишинг.

Странноватый какой-то фишинг выходит. Мой вариант — база слеплена из разных кусков. Фишинг/Кейлогерринг/Брут.

Обнаружил в базе один из моих email, почта не основная, была зарегана на всякий случай пару лет назад. Использовался только для пересылки почты на gmail, больше нигде пароль не вводил. Так что ввод пароля на левом сайте исключаю.

Как говориться — нет худа без добра. Нашел свой старый ящик, в который не заходил очень давно. Давным давно забыл от него пароль. Очень жалел тот ящик, пришлось регистрировать такой же, но с циферкой в конце. А теперь — ящик вернулся домой :)

Использовал Яндекс.Деньги, а сейчас только Диск. Телефон и 2 компьютера… оказался в первой тысяче! Вот те на… Почту пару лет не открывал

Нашел емеил жены, примечательно что неделю назад слили еще и ее пс4 аккаунт., который был к нему привязан. Теперь понятно как. PS пароль — буквы в разном регистре-символ-цифра. Предвещая вопрос — на двух аккаунтах пароли были разные)

Мой вариант — база слеплена из разных кусков. Фишинг/Кейлогерринг/Брут.

А нафига туда напихали аккаунтов с невалидными паролями? Для массовости?

Решето, блин... То пароли утекут, то «яндекс.диск» rm -rf /

А нафига туда напихали аккаунтов с невалидными паролями? Для массовости?

А как ты их чекаешь? Всё что я проверил вначале были валидны, но сейчас заблочены и требуют подтвердить через смс. Ну или кто-то уже сменил пассы.

Врятли пароли открытым текстом хранились.

Пароли от почты практически нереально хранить НЕ открытым текстом. Из-за зоопарка протоколов почты и зоопарка протоколов аутентификации к ним.

Этот топик перечитай сначала.

Мой вариант — база слеплена из разных кусков

Меня та же мысль посетила.

Нет, ну почему? Забываешь про всякое старье из разряда cram-md5 и радуешься. Но да, хорошо бы ssl при этом форсировать.

А нафига туда напихали аккаунтов с невалидными паролями? Для массовости?

КО предполагает, что юзвери могли сменить пароли уже после того, как их слили в базу

Ну это да. Единственный вариант — plaintext не клиенте, хэши в базе на сервере и обязательный ssl.

Спросим у PerfectReactor.

Говнокод не надо писать. Вот из популярных все умеют работать с LDAP. Скажем так, в яндексе неосиляторы или жмоты сидят. Это более правдоподобно.

много кто говорит про прослушку яндекса организацией на три буквы

РПЦ?

КО предполагает, что юзвери могли сменить пароли уже после того, как их слили в базу

После слива базы их мог кто угодно сменить.

После слива базы их мог кто угодно сменить.

только если нет привязки к телефону

А причем здесь ldap? LDAP кстати умеет только salt+sha1 и salt+md5, что также принуждает к ssl+plaintext на клиенте. Bcrypt/Scrypt нам не снился.

Это понятно. Вообще не красиво они сделали, надо было делать восстановление через секретный вопрос\саппорт, а не давать вводить номер телефона.

Нет, пароли, разумеется, не хранятся в открытом виде

Доо, я взял и поверил мистеру Решето. Пока, Яндекс.у меня там был ящик для разного хлама и диска, но и это видимо слишком большая честь для них.

Вообще не красиво они сделали

зато удобно. Через саппорт (человеческий) - это долго, неэффективно и дорого (для яндекса =). Вопрос/ответ, видимо, менее надёжно, чем телефон...

для репутации яндекса удар ниже пояса плюс по почкам...

на СМС жлобятся

на одном довольно широко известном ресурсе

Это где?

нафиг диванную аналитику

Или как вариант - если через ssl heartbleed слили ключ сертификата, его какое-то время могли использовать для сбора паролей через расшифровку трафика в сетях домашних провайдеров.

LDAP кстати умеет только salt+sha1 и salt+md5

А ЗП программистам за что платят? Епрст, еще раз, гугл, яндекс, фейсбук МОГУТ запилить все что угодно.

Я намекнул где хранить пароли и не парится. Никто не заставляет в LDAP хранить sha1,md5, ибо для LDAP это СТРОКА. Запихни {TWOFISH}mYcryt0H75|-. и работай с ним.

Как после этого жить?

Кто-нибудь обратил внимание на

-r--r--r--. 1 user user 40030549 сен 5 19:11 1000000 yandex accounts.txt

?

Вовремя я себе менеджер паролей с версионностью накодил…

Оно у тебя генерит пароли?

Надо бы тоже заняться, зареген много где. Пока помню, но старческий склероз не за горами. =)

Тред не читал

10 яшиков как минимум 8 являются на настоящий момент валидными… В общем, дружно меняем пароли, пока представители Яндекса ищут крота

А где они его найдут? банальный фишинг, люди вбивают свои пароли (которые 100% совпадают с яндексом) на сторонних сайтах и сдают свои аккаунты в рабство. Люди в массе своей не думают о таких вещах, поэтому все эти пароли собираются элементарно без брутфорсов.

Там есть акки неактивные с 08-10 года, вот что странно. Они явно давно заброшены, а хранить пустые акии 5 лет что-бы однажды вбросить?

А фоточки голых обладательниц аккаунтов уже есть?

Для хранения паролей рекомендую Vim and GnuPG

http://pig-monkey.com/2013/04/4/password-management-vim-gnupg/

Моего акка нет в списке, так не интересно :(

Знаешь, сколько времени, бывало, хранили неожиданный ход в стандартном дебюте шахматисты?

Казалось бы, майл.ру технологически сильно отстаёт от яндекса. Тот же https внедрили на несколько лет позже. Да и пользователи у майл.ру более «простые» (по личным наблюдениям). Есть впечатление, что яндекс наказывают.

http://top.rbc.ru/yandex/index.html

Всех знакомых попытался найти - ниодного нет :(

«яндекс.диск» rm -rf /

А вот с этого места поподробнее. Т.е. инфа которая хранится на нем может быть утеряна?

естессно

Меня убила не сама новость что слили базу, а то как яндекс сделал восстановление пароля.

Нашел в списке один из своих «левых» аккаунтов. Пароль оказался верный.

На оффтопике аккаунт не использовался, скорее всего брутфорс - пароль там простой.

Из забавного - в файле в названии аккаунта пара букв написаны в верхнем регистре. Такое написание есть только в настройках Яндекса, при логинах использовали только строчное написание.

На данный момент аккаунт Яндексом заблокирован не был. Так что список они не отрабатывают.

Вот блин. Надо поменять. А как посмотреть на базу и поискать себя? Слушайте, а даже рассылку не сделали с просьбой поменять пароли.

Оперой для доступа к ящику пользовался?

Ссылку на базу без паролей трудно не увидеть.