Еще 150 тыс. аккаунтам после известий о взломе поисковик сбросил пароль, и, прежде чем вновь воспользоваться этими учетными записями, пользователи должны будут пароль поменять.

Аналогичное заявление сделала Mail.ru по поводу опубликованной базы данных ее аккаунтов. По мнению экспертов компании, файл с 4,66 млн учетных записей был собран «из нескольких баз паролей, которые были украдены у пользователей в разное время и, скорее всего, разными способами (фишинг, вирусы)». Около 95% опубликованных паролей, по заявлению компании, и ранее «проходили в системе как подозрительные».

Проверить наличие своей учетной записи в базах скомпрометированных аккаунтов «Яндекса», Mail.ru и Google можно на сайте yaslit.ru. Создатели сайта заявляют, что он не содержит информации об украденных паролях, а также не сохраняет введенные почтовые адреса.

Как Yandex, так и Mail.ru в ядре своих сервисов используют операционную систему Linux и ряд open-source продуктов. Часто эти продукты дорабатываются компаниями под свои нужды, но основа остается неизменной. Мы предполагаем, что взлом произошел через неопубликованную (0-day) уязвимость либо в веб-сервисе, либо в системе управления базами данных (MySQL и др.), которые позволили сделать дамп базы — других вариантов взлома нет, разве что изнутри компании. Итогом взлома стала таблица с именами пользователей (логинами) и значениями хеш-функций их паролей, — сказано в отчете. — Через какую именно уязвимость мог произойти взлом, сказать точно сейчас нельзя — эти данные интернет-компании точно не раскроют ни при каких сценариях.

В компании напомнили, что основополагающий принцип хранения паролей — хеширование в соответствии с российскими (ГОСТ Р 34.11-2012) или иностранными (SHA/SHA2) алгоритмами.

— Эти алгоритмы являются математическими функциями, которые производят односторонние преобразования, создавая для каждого пароля уникальный хеш, то есть код, — говорит технический директор Cloudseller Владимир Рузайкин. — Восстановить исходный пароль по хешу невозможно. Однако для коротких паролей (до 8 знаков) существуют таблицы данных («радужные таблицы», rainbow tables), которые значительно ускоряют процесс восстановления пароля по значению его хеша путем последовательного перебора, этакий ускоритель «брутфорса». Для составления «радужных таблиц» требуются значительные вычислительные мощности, но для значительного типа хешей такие таблицы уже сформированы и доступны в интернете любому пользователю.

Рузайкин указал, что для демонстрации факта утечки были опубликованы в основном восстановленные по таблицам короткие и простые пароли.

— Не исключаем того факта, что произошла утечка всей пользовательской базы, и со временем злоумышленники путем перебора получат доступ к учетным записям с более защищенными паролями длиной до 10-12 символов, — добавили в Cloudseller.

Пользователь форума Bitcoin Security под псевдонимом tvskit 6 сентября опубликовал 1,3 млн пар «логин-пароль» к почтовому сервису «Яндекса», 8 сентября поднялась шумиха. Вечером того же дня он выложил файл с 4,7 млн «учеток» Mail.ru, около 800 тыс. из которых сопровождались паролями. Всего в Mail.ru, по данным компании, более 100 млн активных учетных записей, «Яндекс» свою статистику по ящикам не раскрывает. Корпоративной почтой «Яндекс» для бизнес-целей пользуется порядка 320 тыс. компаний, корпоративной почтой Mail.ru — около 23 тыс. компаний.

— Я выложил базу только для криптоманов, чтоб задумались о политике безопасности! Вы должны понимать, что база кем-то уже отработана и кто надо взломан, — написал tvskit. Ранее этот пользователь активно участвовал в темах форума, посвященных биткоинам. Так, он, по всей видимости, покупал у оборудование для генерации этой виртуальной валюты у швейцарской Bitmine AG и упоминал, что для верификации отправлял сканы своего паспорта биткоин-сервисам.

В ответ на «сливы» «Яндекс» и Mail.ru выступили с похожими заявлениями о том, что в краже паролей они не виноваты и данные утекли с пользовательской стороны — причем не сразу, а постепенно. Сервисы временно заблокировали скомпрометированные ящики, предложив пользователям сменить пароль и привязать номер телефона. К середине торгов в Нью-Йорке на бирже Nasdaq акции «Яндекса» подешевели на 1% (индекс Nasdaq снижался в пределах 0,05%), котировки Mail.ru выросли 8 сентября на 2%.