mancunian1998 | Миллион рашкодебилов

iCloud тоже недавно обчистили

Вроде как русскую прогу юзали, злодеи.

ну вот сейчас и гугл тоже подкачал

allegedly

Я сам русофоб, но наброс не по делу.

1. Нет никаких признаков утечки именно из Яндекса, напрашивается версия, что из базы скомпрометированных паролей были выбраны принадлежащие именно Яндексу и опубликованы (число "миллион" очень за эту версию).

2. Яндексы молодцы, что мгновенно отреагировали. заблокировав доступ, а не заняв позицию "проблемы индейцев шерифа не волнуют".

3. Вирус или фишинг-сайту все равно, в каком домене у вас адрес.

4. Если вести речь об общедоступных почтовых службах, то Яндексу одна альтернатива - Гугль. Все остальное отстой.

5. Яндекс, кстати, 100-американская компания.

по п.1
Яндексовские пароли не в яндексовской базе? Как такое может быть?
Только если в какой-то другой базе они вдруг такие же. Но чтобы миллион таких же...

Edited 2014-09-08 14:53 (UTC)

Там пароли открытым текстом выложены. В базе яндекса сам текст пароля храниться не может, там все же не идиоты работают.

Ну даже если хеши, то можно их изрядно подобрать.
А так бывает, что и просто encoded (не думаю, что так в яндеске, но бывает).

> подобрать

Это же какая time complexity у этой задачи.

Небольшая на самом деле.
Вот пример: http://habrahabr.ru/post/107243/
А так - рассуждения про time complexity относятся к временам, когда GPU-ферм не было еще.

Все равно нужно иметь хэши на руках. И даже если взять оптимистичные 5.3 секунды из статьи, все равно получится 61 день работы. Верится с трудом.

И далеко не все алгоритмы эффективно распараллеливаются на GPU фермы.

Ага, я и коментировал толдько ситуацию с наличием хешей.
Я, собственно, не особый специалист, но распараллеливание тут тривиально же.
Алгоритмы для GPU есть готовые, (и даже ботнеты есть готовые). Т.е. тредозатраты тут минимальны.

Я сталкивался лет 12 лет назад с подбором хешей даже на CPU в небольшом тестлабе (компов 30...). Применительно к сейчас это должно быть примерно во столько же раз быстрее, как майнинг какого-нибудь биткоина на GPU-ферме в сравнении с Пентиумом.

А теперь, товарищи, давайте послушаем песню "Why does it always rain on me?"

Не стыдно быть таким компьютерно-безграмотным? Это просто физически невозможно выкрасть миллион паролей с сервера в открытом виде. Даже если бы их украли с сервера, пароли были бы в зашифрованном виде.

Ну да, строго говоря, ни одна приличная система не хранит у себя пароли, и даже не знает их. Она хранит хеш, то есть предположительно одностороннее преобразование пароля в уникальную строку(но здесь есть засада, в случае если хеш-функция плохая, есть программы вычисления по хэшу пароля). Если пользователь забывает пароль, его просто сбрасывают, то есть генерируют временный.

> ни одна приличная система не хранит у себя пароли

Я не могу привести по памяти примеров, но я регулярно натыкаюсь на вполне взрослых сервисах на попытку выслать мне забытый пароль на почту.
А мэйл ру, например, до сих пор работает на CGI(только что смотрел). То есть писали его лет 15 назад и не переписывали до сих пор.

Скажите, почему вы идиот?

Почему "украсть"? Слили, конечно.
Рашка же, там маму родную сольют, если о цене договорятся.

чем яху не угодил?

Фишинг на миллион не бывает. Это просто СОРМ. Или слитая база.

ООО Яндекс это 100 процентов русская компания. Она принадлежит голландской. Но это ничего не значит. Потому что ООО полностью под законом РФ. Завтра его закроют. И акционерам останется пустой голландский херъ.

>Фишинг на миллион не бывает.

Exactly.
Но и поверить в то, что яндекс хранит сами пароли а не хэши, я не могу.
А значит товарищи полковники что-то не поделили а начали друг на друга сливать все что есть.

Ну да. А мне там ниже всё пытаются объяснить, каким факелом свободы и демократии был и остается яндекс. Смешно же.

Edited 2014-09-08 22:24 (UTC)

Яндекс хранит то. Что сказано хранить.

5. А новости у них 100% ватные. Загадка!

Правительство же им ОФИЦИАЛЬНО, на уровне парламентского расследования, указывает, что их новости русофобские и проукраинские. Они отвечают правительству, что у них не новости (по росс. цензурному закону, они и не имеют права публиковать новости, это могут только "официальные СМИ"), а агрегатор - зеркало росс. прессы.

То же они и Вам ответят.

Вообще, атака на Яндекс (с политическими доносами, в том числе в прессе, общей и профессиональной) идет аккурат с Крымнаша, у нас тут тотализатор, кого раньше юкосизируют - Яндекс или АББИИ (но АББИИ, кажется, уже почти полностью эвакуировался). Публикация паролей (еще раз, украденных не у Яндекса, а у пользователей) - явная часть этой кампании, и не вижу, чему тут радоваться, если честно. Огорчен Вашим постом.

+1, просто еще один эпизод давления на компанию, которая одна из немногих вообще заслуживает уважения в .ру

Коллаборционизм на полшишечки. Это все равно коллаборционизм.

Пора делать выбор. Тем более для работников яндекса он всегда есть. Уволиться и в гугл.

> Нет никаких признаков утечки именно из Яндекса

Кроме количества украденного. Я, конечно, не верю, что яндекс хранит пароли плейнтекстом и в нехэшированном виде, но очевидно же что миллион паролей можно слить только нюхая очень близко к серверу. Например, сидя на сорме.

Не "дебил", а Дима Анатолич Медведев - юзает только Яндекс-почту. "Скомпрометированы"? Какая-то калька с английского, кмк, в русском там должно быть другое слово.

Самым распространенным паролем, который использовали владельцы взломанных аккаунтов, стало сочетание цифр 123456, сообщается на сайте pastebin.com. Этот пароль использовали более 37 тысяч пользователей. Порядка 13 тысяч человек ограничились паролями 123456789, еще девять тысяч — 111111, а семь тысяч человек — qwerty.

1.2 миллиона не выходит как-то. Не говоря уже о том, что сколько-нибудь нормальный почтовый сервис (вроде гмыла) такие пароли просто не принял бы.

яндекс наверняка тоже не принял бы

сейчас

не факт, что все эти аккаунты не были заброшены лет десять назад

А какая разница-то?

Очевидно же что они не брутфорсом перебирали миллион паролей.

И Mail.ru подтянулся, хе-хе:

http://www.novayagazeta.ru/news/1686752.html

Основная российская нармасса не видит проблемы в .ru и в том, что в их почте копаются чекисты - это же свои, родные чекисты.

То ли дело прекрасные американские чекисты, копающиеся в гмыле!

Gmail тоже не удержался, меняйте агенду )

Где? Не вижу в новостях.

Google it!

http://lenta.ru/news/2014/09/10/gmail/

Нормальный источник, не русский же.

Пока нет такого. По-английски везде добавляют allegedly и т.п.
Например, вот тут: http://www.ibtimes.co.uk/five-million-gmail-accounts-passwords-mostly-russia-based-users-leaked-online-1464808

Ну, ждут, чего скажут в Гугле. На реддите тоже уже обсуждают тему.

Ну а почему бы не быть такому? Фишинг же, ему все равно, каким именно сервисом юзер-лох пользуется (я сам такой же лох --- на требования безопасности плюю почти всегда, когда это не связано с номерами кредиток, хотя и знаю, что неправильно делаю). Вы же не думаете, что это Яндекс и мэйлру слили?

Я думаю, надо подождать официальной реакции.

Вас же не смущает, что источник новостей по яндексу- русский? А тут по гмайлу смутил... Прям какие-то двойные стандарты...

http://www.bbc.co.uk/news/technology-24821528
http://www.bbc.co.uk/news/technology-18338956
http://www.bbc.co.uk/news/technology-18358485
etc.

Миллион рашкодебилов

no subject

no subject

no subject

no subject

Не в кассу

no subject

no subject

no subject

no subject

no subject

no subject

no subject

no subject

no subject

no subject

no subject

no subject

no subject

no subject

no subject

no subject

no subject

no subject

no subject

no subject

no subject

no subject

no subject

no subject

no subject

no subject

no subject

no subject

no subject

no subject

no subject

no subject

no subject

no subject

no subject

no subject

no subject

no subject

no subject

no subject