Три вечера подряд на российских форумах публикуются базы логинов и паролей самых популярных в России почтовых сервисов — «Яндекса», Mail.ru и Gmail. Как эти данные попали в открытый доступ, и кому это нужно?
Показательные утечки
Статьи10 сентября 2014• runet
Показательные утечки
Три вечера подряд на российских форумах публикуются базы логинов и паролей самых популярных в России почтовых сервисов — «Яндекса», Mail.ru и Gmail. Как эти данные попали в открытый доступ, и кому это нужно?
Вечером седьмого сентября пользователь Habrahabr cообщил, что на форуме Bitcoin Security опубликовано 1,3 миллиона логинов и паролей пользователей «Яндекса». Компания объяснила, что никакого взлома сервиса не было, а данные стали известны злоумышленникам в результате фишинга или заражения компьютеров пользователей вирусом. После этого многие предположили, что это было сделано конкурентами почтового сервиса.
На следующий вечер та же история повторилась с логинами и паролями пользователей Mail.ru. На этот раз в сети опубликовали 4,5 миллиона аккаунтов. Как оказалось, только к 800 тысячам логинов были указаны пароли. В Mail.ru cообщили, что 95% из них уже проходят в системе сервиса как подозрительные и их функционал ограничен. Подозрительные означает-либо созданные роботом, либо взломанные.
10 сентября история продолжилась. На форуме Bitcoin Security было опубликовано 4,9 миллиона логинов и паролей пользователей Gmail. Администрация сервиса тоже сообщила, что сервис не был подвергнут атакам. Компания пока что не сообщила, почему эти данные могли оказаться в свободном доступе.
Как воруют пароли?
Эксперты подтверждают слова представителей «Яндекса» и Mail.ru о том, что опубликованные пароли были добыты при помощи вирусов, фишинга и подбора паролей. Специалист по информационной безопасности компании Cisco Алексей Лукацкий рассказал, что есть несколько подобных способов кражи паролей.
Самый распространенный — это вредоносные программы. Они могут попасть на компьютер по электронной почте в виде вложения. Когда пользователь запускает вложение, она считывает пароль и отправляет его злоумышленнику. Либо они могут быть размещены для скачивания на неофициальных сайтах под видом бесплатных версий популярного ПО.
Второй способ кражи — это фишинг. То есть, специальные сайты, которые выглядят как страница входа в аккаунт электронной почты. Пользователь вводит свой логи и пароль, но не попадает в email, а передает свои даные злоумышленникам. По словам Алексея, этот способ используется не так часто, потому что современные браузеры быстро отслеживают и блокируют таких сайты.
Еще один метод — перехват паролей в общественных WiFi-точках. В них даные, как правило, передаются в открытом виде, поэтому могут быть украдены.
Также злоумышленники могут взломать менее защищенный сервис, чем электронная почта, например, онлайн-магазин или сайт игры, и украсть логины и пароли оттуда. Так как логины чаще всего являются адресом электронной почты, и многие пользователи используют один и тот же пароль для всех своих аккаунтов, злоумышленники могут таким образом получить доступ к почте.
И еще один способ — подбор паролей. Существуют специальные программы для автоматического подбора. Они перебирают все распространенные варианты паролей, исходя из его заданной длины и диапазона доступных символов. Для этого существуют специальные словари популярных паролей, которые постоянно пополняются.
По словам Алексея, комбинация этих методов за несколько лет позволяет собрать неколько миллионов логинов и паролей, так что утверждение «Яндекса» и Mail.ru звучит правдоподобно. Это же подтверждают и специалисты «Лаборатории Касперского».
Вячеслав Закоржевский
руководитель группы исследования уязвимостей «Лаборатории Касперского».
«Мы предполагаем, что эти почтовые адреса собирались на протяжении большого промежутка времени с помощью „традиционных“ методов мошенников: фишинг, вредоносное ПО, подбор пароля и т. п. Нет информации о том, что это была одна, но масштабная фишинговая атака или что произошла утечка от кого-либо еще — будь то сами сервисы, Microsoft или любой другой производитель ПО».
Он также добавил, что все три базы были опубликованы одним и тем же пользователем «tvskit» на форуме Bitcoin Security, из чего следует, что за этими публикациями стоит один и тот же человек или группа людей.
Кто и зачем мог организовать публикацию паролей в сети?
Конкуренция между почтовыми сервисами
«Первоначальная версия — война конкурентов, но так как все основные сервисы попали под раздачу, вряд ли это так», — говорит Лукацкий. Но он считает, что организатором публикации баз паролей могли стать не существующие конкуренты, а представители сервиса, который появится в ближайшем будущем. Например, государственного поисковика, о запуске которого уже заявляли власти. С помощью такого черного пиара он мог бы привлечь пользователей.
Госрегулирование
«Потом возникла версия, что это делают регуляторы, которые хотят обратить внимание на проблему безопасности персональных данных для дальнейших законодательных ужесточений», — продолжает Лукацкий.
Это предположение может казаться конспирологическим, но после публикации паролей пользователей Gmail депутат Госдумы Александр Сидякин опубликовал такой твит:
Настораживает утечка паролей от миллионов почтовых ящиков- сперва Яндекс, потом mail.ru, теперь gmail. Необходимы защитные законодат. меры.
К тому же, в начале сентября депутаты предложили ускорить начало действия закона о хранении персональных данных на российских серверах. Он должен был вступить в силу в сентябре 2016 года, а Госудума предлагает перенести эту дату на январь 2015 года.
Конкуренция хакеров
«Лаборатория Касперского» придерживается менее политических версий. По словам Закоржевского, одна группа хакеров могла увести у другой базу данных с паролями и выложить их в публичный доступ, чтобы «насолить» конкурентам.
PR хакеров
Таким образом злоумышленники могут пытаться привлечь внимание к себе ради продвижения своих услуг или хвастовства и жажды популярности.
Привлечение внимания пользователей и сервисов к безопасности
«Эти данные могли быть похищены у мошенников так называемыми „белыми“ хакерами, то есть группой экспертов в области IT безопасности, преследующей благородные цели — как правило, повышение безопасности пользователей или сервисов», — говорит Закоржевский.
Как обезопасить себя от кражи паролей?
Необходимо использовать более сложные пароли, содержащие одновременно буквы, цифры и разные регистры.
Необходимо использовать разные пароли в разных сервисах. Для того, чтобы не забыть их, а также для дополнительной защиты существуют специальные сервисы хранения паролей.
Двухфакторная авторизация. Почтовый ящик привязывается к номеру мобильного телефона, и пользователь может зайти в аккаунт только после того, как введет проверочный код из смс.
При пользовании почтовыми сервисами нужно всегда следить за адресной строкой браузера — адрес должен начинаться с https: (дальше, в зависимости от сервиса, будет идти: mail.yandex.ru, или e.mail.ru, или mail.google.com). Кроме того, корректность сервиса подтверждается SSL сертификатом — в браузерах успешная проверка сертификата, как правило, отображается зеленым замком.