Миллион рашкодебилов

Sep. 8th, 2014 02:56 pm
mancunian1998: (rasiya)
[personal profile] mancunian1998
Более миллиона почтовых ящиков «Яндекса» оказались скомпрометированы: в сети появилась база данных с логинами и паролями пользователей

ру-сру же, чему тут удивляться. Какой дебил в рашечном домене еще что-то держит?
Tags:
  • Add Memory
  • Share This Entry
Flat | Top-Level Comments Only

Date: 2014-09-08 02:08 pm (UTC)
From: [identity profile] phoonzang.livejournal.com
iCloud тоже недавно обчистили

Date: 2014-09-08 03:23 pm (UTC)
From: [identity profile] mancunian.livejournal.com
Вроде как русскую прогу юзали, злодеи.

Date: 2014-09-10 10:29 am (UTC)
From: [identity profile] phoonzang.livejournal.com
ну вот сейчас и гугл тоже подкачал

Date: 2014-09-10 01:34 pm (UTC)
From: [identity profile] mancunian.livejournal.com
allegedly

Не в кассу

Date: 2014-09-08 02:12 pm (UTC)
From: [identity profile] taki-net.livejournal.com
Я сам русофоб, но наброс не по делу.

1. Нет никаких признаков утечки именно из Яндекса, напрашивается версия, что из базы скомпрометированных паролей были выбраны принадлежащие именно Яндексу и опубликованы (число "миллион" очень за эту версию).

2. Яндексы молодцы, что мгновенно отреагировали. заблокировав доступ, а не заняв позицию "проблемы индейцев шерифа не волнуют".

3. Вирус или фишинг-сайту все равно, в каком домене у вас адрес.

4. Если вести речь об общедоступных почтовых службах, то Яндексу одна альтернатива - Гугль. Все остальное отстой.

5. Яндекс, кстати, 100-американская компания.

Date: 2014-09-08 02:53 pm (UTC)
From: [identity profile] krakenrus.livejournal.com
по п.1
Яндексовские пароли не в яндексовской базе? Как такое может быть?
Только если в какой-то другой базе они вдруг такие же. Но чтобы миллион таких же...
Edited Date: 2014-09-08 02:53 pm (UTC)

Date: 2014-09-08 03:47 pm (UTC)
From: [identity profile] grey-narn.livejournal.com
Там пароли открытым текстом выложены. В базе яндекса сам текст пароля храниться не может, там все же не идиоты работают.

Date: 2014-09-08 04:11 pm (UTC)
From: [identity profile] krakenrus.livejournal.com
Ну даже если хеши, то можно их изрядно подобрать.
А так бывает, что и просто encoded (не думаю, что так в яндеске, но бывает).

Date: 2014-09-08 08:11 pm (UTC)
From: [identity profile] john smith (from livejournal.com)
> подобрать

Это же какая time complexity у этой задачи.

Date: 2014-09-09 09:45 am (UTC)
From: [identity profile] krakenrus.livejournal.com
Небольшая на самом деле.
Вот пример: http://habrahabr.ru/post/107243/
А так - рассуждения про time complexity относятся к временам, когда GPU-ферм не было еще.

Date: 2014-09-09 10:16 am (UTC)
From: [identity profile] john smith (from livejournal.com)
Все равно нужно иметь хэши на руках. И даже если взять оптимистичные 5.3 секунды из статьи, все равно получится 61 день работы. Верится с трудом.

И далеко не все алгоритмы эффективно распараллеливаются на GPU фермы.

Date: 2014-09-09 11:37 am (UTC)
From: [identity profile] krakenrus.livejournal.com
Ага, я и коментировал толдько ситуацию с наличием хешей.
Я, собственно, не особый специалист, но распараллеливание тут тривиально же.
Алгоритмы для GPU есть готовые, (и даже ботнеты есть готовые). Т.е. тредозатраты тут минимальны.

Я сталкивался лет 12 лет назад с подбором хешей даже на CPU в небольшом тестлабе (компов 30...). Применительно к сейчас это должно быть примерно во столько же раз быстрее, как майнинг какого-нибудь биткоина на GPU-ферме в сравнении с Пентиумом.

Date: 2014-09-08 03:24 pm (UTC)
From: [identity profile] mancunian.livejournal.com
А теперь, товарищи, давайте послушаем песню "Why does it always rain on me?"

Date: 2014-09-08 04:36 pm (UTC)
From: [identity profile] delox.livejournal.com
Не стыдно быть таким компьютерно-безграмотным? Это просто физически невозможно выкрасть миллион паролей с сервера в открытом виде. Даже если бы их украли с сервера, пароли были бы в зашифрованном виде.

Date: 2014-09-08 04:41 pm (UTC)
From: [identity profile] akor168.livejournal.com
Ну да, строго говоря, ни одна приличная система не хранит у себя пароли, и даже не знает их. Она хранит хеш, то есть предположительно одностороннее преобразование пароля в уникальную строку(но здесь есть засада, в случае если хеш-функция плохая, есть программы вычисления по хэшу пароля). Если пользователь забывает пароль, его просто сбрасывают, то есть генерируют временный.

Date: 2014-09-08 08:13 pm (UTC)
From: [identity profile] john smith (from livejournal.com)
> ни одна приличная система не хранит у себя пароли

Я не могу привести по памяти примеров, но я регулярно натыкаюсь на вполне взрослых сервисах на попытку выслать мне забытый пароль на почту.
А мэйл ру, например, до сих пор работает на CGI(только что смотрел). То есть писали его лет 15 назад и не переписывали до сих пор.

Date: 2014-09-24 06:44 am (UTC)
From: [identity profile] slonik-v-domene.livejournal.com
Скажите, почему вы идиот?

Date: 2014-09-08 05:10 pm (UTC)
From: [identity profile] mancunian.livejournal.com
Почему "украсть"? Слили, конечно.
Рашка же, там маму родную сольют, если о цене договорятся.

Date: 2014-09-08 03:34 pm (UTC)
From: [identity profile] buddhistmind.livejournal.com
чем яху не угодил?

Date: 2014-09-08 04:40 pm (UTC)
From: [identity profile] wenas-yakima.livejournal.com
Фишинг на миллион не бывает. Это просто СОРМ. Или слитая база.

ООО Яндекс это 100 процентов русская компания. Она принадлежит голландской. Но это ничего не значит. Потому что ООО полностью под законом РФ. Завтра его закроют. И акционерам останется пустой голландский херъ.

Date: 2014-09-08 08:06 pm (UTC)
From: [identity profile] john smith (from livejournal.com)
>Фишинг на миллион не бывает.

Exactly.
Но и поверить в то, что яндекс хранит сами пароли а не хэши, я не могу.
А значит товарищи полковники что-то не поделили а начали друг на друга сливать все что есть.

Date: 2014-09-08 10:23 pm (UTC)
From: [identity profile] mancunian.livejournal.com
Ну да. А мне там ниже всё пытаются объяснить, каким факелом свободы и демократии был и остается яндекс. Смешно же.
Edited Date: 2014-09-08 10:24 pm (UTC)

Date: 2014-09-09 12:35 am (UTC)
From: [identity profile] wenas-yakima.livejournal.com
Яндекс хранит то. Что сказано хранить.

Date: 2014-09-08 05:37 pm (UTC)
From: [identity profile] mancunian.livejournal.com
5. А новости у них 100% ватные. Загадка!

Date: 2014-09-08 06:18 pm (UTC)
From: [identity profile] taki-net.livejournal.com
Правительство же им ОФИЦИАЛЬНО, на уровне парламентского расследования, указывает, что их новости русофобские и проукраинские. Они отвечают правительству, что у них не новости (по росс. цензурному закону, они и не имеют права публиковать новости, это могут только "официальные СМИ"), а агрегатор - зеркало росс. прессы.

То же они и Вам ответят.

Вообще, атака на Яндекс (с политическими доносами, в том числе в прессе, общей и профессиональной) идет аккурат с Крымнаша, у нас тут тотализатор, кого раньше юкосизируют - Яндекс или АББИИ (но АББИИ, кажется, уже почти полностью эвакуировался). Публикация паролей (еще раз, украденных не у Яндекса, а у пользователей) - явная часть этой кампании, и не вижу, чему тут радоваться, если честно. Огорчен Вашим постом.

Date: 2014-09-08 08:04 pm (UTC)
From: [identity profile] igoriando.livejournal.com
+1, просто еще один эпизод давления на компанию, которая одна из немногих вообще заслуживает уважения в .ру

Date: 2014-09-09 12:38 am (UTC)
From: [identity profile] wenas-yakima.livejournal.com
Коллаборционизм на полшишечки. Это все равно коллаборционизм.

Пора делать выбор. Тем более для работников яндекса он всегда есть. Уволиться и в гугл.

Date: 2014-09-08 08:08 pm (UTC)
From: [identity profile] john smith (from livejournal.com)
> Нет никаких признаков утечки именно из Яндекса

Кроме количества украденного. Я, конечно, не верю, что яндекс хранит пароли плейнтекстом и в нехэшированном виде, но очевидно же что миллион паролей можно слить только нюхая очень близко к серверу. Например, сидя на сорме.

Date: 2014-09-08 04:55 pm (UTC)
From: [identity profile] ellio-jordah.livejournal.com
Не "дебил", а Дима Анатолич Медведев - юзает только Яндекс-почту. "Скомпрометированы"? Какая-то калька с английского, кмк, в русском там должно быть другое слово.

Date: 2014-09-08 05:17 pm (UTC)
From: [identity profile] delox.livejournal.com
Самым распространенным паролем, который использовали владельцы взломанных аккаунтов, стало сочетание цифр 123456, сообщается на сайте pastebin.com. Этот пароль использовали более 37 тысяч пользователей. Порядка 13 тысяч человек ограничились паролями 123456789, еще девять тысяч — 111111, а семь тысяч человек — qwerty.

Date: 2014-09-08 05:36 pm (UTC)
From: [identity profile] mancunian.livejournal.com
1.2 миллиона не выходит как-то. Не говоря уже о том, что сколько-нибудь нормальный почтовый сервис (вроде гмыла) такие пароли просто не принял бы.

Date: 2014-09-08 06:03 pm (UTC)
From: [identity profile] benderskiy.livejournal.com
яндекс наверняка тоже не принял бы

сейчас

не факт, что все эти аккаунты не были заброшены лет десять назад

Date: 2014-09-08 08:10 pm (UTC)
From: [identity profile] john smith (from livejournal.com)
А какая разница-то?

Очевидно же что они не брутфорсом перебирали миллион паролей.

Date: 2014-09-09 04:40 am (UTC)
From: [identity profile] drug-detei.livejournal.com
И Mail.ru подтянулся, хе-хе:

http://www.novayagazeta.ru/news/1686752.html

Date: 2014-09-09 08:45 am (UTC)
From: [identity profile] natfugl.livejournal.com
Основная российская нармасса не видит проблемы в .ru и в том, что в их почте копаются чекисты - это же свои, родные чекисты.

Date: 2014-09-09 09:14 pm (UTC)
From: [identity profile] stronzium.livejournal.com
То ли дело прекрасные американские чекисты, копающиеся в гмыле!

Date: 2014-09-10 05:18 am (UTC)
From: [identity profile] ivory-mascot.livejournal.com
Gmail тоже не удержался, меняйте агенду )

Date: 2014-09-10 07:11 am (UTC)
From: [identity profile] mancunian.livejournal.com
Где? Не вижу в новостях.

Date: 2014-09-10 09:59 am (UTC)
From: [identity profile] ivory-mascot.livejournal.com
Google it!

Date: 2014-09-10 11:34 am (UTC)
From: [identity profile] grey-narn.livejournal.com
http://lenta.ru/news/2014/09/10/gmail/

Date: 2014-09-10 11:42 am (UTC)
From: [identity profile] mancunian.livejournal.com
Нормальный источник, не русский же.

Date: 2014-09-10 01:32 pm (UTC)
From: [identity profile] grey-narn.livejournal.com
Пока нет такого. По-английски везде добавляют allegedly и т.п.
Например, вот тут: http://www.ibtimes.co.uk/five-million-gmail-accounts-passwords-mostly-russia-based-users-leaked-online-1464808

Ну, ждут, чего скажут в Гугле. На реддите тоже уже обсуждают тему.

Ну а почему бы не быть такому? Фишинг же, ему все равно, каким именно сервисом юзер-лох пользуется (я сам такой же лох --- на требования безопасности плюю почти всегда, когда это не связано с номерами кредиток, хотя и знаю, что неправильно делаю). Вы же не думаете, что это Яндекс и мэйлру слили?

Date: 2014-09-10 01:33 pm (UTC)
From: [identity profile] mancunian.livejournal.com
Я думаю, надо подождать официальной реакции.

Date: 2014-09-13 05:49 am (UTC)
From: [identity profile] drweb.livejournal.com
Вас же не смущает, что источник новостей по яндексу- русский? А тут по гмайлу смутил... Прям какие-то двойные стандарты...

Date: 2014-09-10 09:32 pm (UTC)
From: [identity profile] yurri.livejournal.com
http://www.bbc.co.uk/news/technology-24821528
http://www.bbc.co.uk/news/technology-18338956
http://www.bbc.co.uk/news/technology-18358485
etc.
  • Add Memory
  • Share This Entry
Flat | Top-Level Comments Only

Profile

mancunian1998: (Default)
mancunian1998

March 2017

S M T W T F S
   1 23 4
56 7891011
12131415161718
19 202122 2324 25
262728293031 

Most Popular Tags

Page Summary

Style Credit

Expand Cut Tags

No cut tags
Page generated May. 23rd, 2025 10:16 am
Powered by Dreamwidth Studios