Дилер Google: «Яндекс» и Mail.ru взломаны через новую уязвимость

Неожиданные крупные утечки паролей к почтовых ящикам «Яндекса» и Mail.ru стали результатами взлома через уязвимости в бесплатном ПО, которое используют крупнейшие российские интернет-компании. Далее, захешированные пароли нетрудно расшифровать — именно этим может объясняться обилие простых паролей в опубликованных базах. Об этом говорится в отчете, который для «Известий» подготовила компания Cloudseller, она является официальным партнером Google в России по распространению корпоративных продуктов Google Apps, в частности почты Gmail.

— Как Yandex, так и Mail.ru в ядре своих сервисов используют операционную систему Linux и ряд open-source продуктов. Часто эти продукты дорабатываются компаниями под свои нужды, но основа остается неизменной. Мы предполагаем, что взлом произошел через неопубликованную (0-day) уязвимость либо в веб-сервисе, либо в системе управления базами данных (MySQL и др.), которые позволили сделать дамп базы — других вариантов взлома нет, разве что изнутри компании. Итогом взлома стала таблица с именами пользователей (логинами) и значениями хеш-функций их паролей, — сказано в отчете. — Через какую именно уязвимость мог произойти взлом, сказать точно сейчас нельзя — эти данные интернет-компании точно не раскроют ни при каких сценариях.

В компании напомнили, что основополагающий принцип хранения паролей — хеширование в соответствии с российскими (ГОСТ Р 34.11-2012) или иностранными (SHA/SHA2) алгоритмами.

— Эти алгоритмы являются математическими функциями, которые производят односторонние преобразования, создавая для каждого пароля уникальный хеш, то есть код, — говорит технический директор Cloudseller Владимир Рузайкин. — Восстановить исходный пароль по хешу невозможно. Однако для коротких паролей (до восьми знаков) существуют таблицы данных («радужные таблицы», rainbow tables), которые значительно ускоряют процесс восстановления пароля по значению его хеша путем последовательного перебора, этакий ускоритель «брутфорса». Для составления «радужных таблиц» требуются значительные вычислительные мощности, но для значительного типа хешей такие таблицы уже сформированы и доступны в интернете любому пользователю.

Рузайкин указал, что для демонстрации факта утечки были опубликованы в основном восстановленные по таблицам короткие и простые пароли.

— Не исключаем того факта, что произошла утечка всей пользовательской базы, и со временем злоумышленники путем перебора получат доступ к учетным записям с более защищенными паролями длиной до 10–12 символов, — добавили в Cloudseller.

Пользователь форума Bitcoin Security под псевдонимом tvskit 6 сентября опубликовал 1,3 млн пар логин–пароль к почтовому сервису «Яндекса», 8 сентября поднялась шумиха. Вечером того же дня он выложил файл с 4,7 млн «учеток» Mail.ru, около 800 тыс. из которых сопровождались паролями. Всего в Mail.ru, по данным компании, более 100 млн активных учетных записей, «Яндекс» свою статистику по ящикам не раскрывает. Корпоративной почтой «Яндекс» для бизнес-целей пользуется порядка 320 тыс. компаний, корпоративной почтой Mail.ru — около 23 тыс. компаний.

«Я выложил базу только для криптоманов, чтоб задумались о политике безопасности! Вы должны понимать, что база кем-то уже отработана и кто надо, взломан», — написал tvskit.

Ранее этот пользователь активно участвовал в темах форума, посвященных биткоинам. Так, он, по всей видимости, покупал у оборудование для генерации этой виртуальной валюты у швейцарской Bitmine AG и упоминал, что для верификации отправлял сканы своего паспорта биткоин-сервисам.

В ответ на «сливы» «Яндекс» и Mail.ru выступили с похожими заявлениями о том, что в краже паролей они не виноваты и данные утекли с пользовательской стороны — причем не сразу, а постепенно. Сервисы временно заблокировали скомпрометированные ящики, предложив пользователям сменить пароль и привязать номер телефона. К середине торгов в Нью-Йорке на бирже Nasdaq акции «Яндекса» подешевели на 1% (индекс Nasdaq снижался в пределах 0,05%), котировки Mail.ru выросли 8 сентября на 2%.