LINUX.ORG.RU

В «Яндексе» произошла утечка данных 5 тысяч почтовых ящиков

 , ,


1

1

UPD: В «Яндексе» произошла утечка данных 5 тысяч почтовых ящиков. Виноват сисадмин с высоким уровнем доступа

В «Яндексе» произошла утечка данных 5 тысяч почтовых ящиков. Виноват сисадмин с высоким уровнем доступа. Владельцам ящиков направили уведомление о смене пароля.

Во время внутреннего расследования «Яндекс» обнаружил, что сотрудник компании предоставлял несанкционированный доступ в почтовые ящики пользователей.

«Это был один из трёх системных администраторов, обладавших правами доступа, необходимыми для выполнения рабочих задач по обеспечению технической поддержки сервиса». (С сайта компании)

Из-за действий сисадмина было скомпрометировано 4887 почтовых ящиков. Неавторизованный доступ в них уже заблокирован. «Яндекс» планирует пересмотреть процессы работы сотрудников, обладающих административными правами такого уровня доступа.

Итак, скрин.

Решил залогиниться в почту через веб-интерфейс. А почта мне такая говорит «Возможно, ваш аккаунт был взломан. Восстановите доступ, смените пароль, и проверьте ваши ФИО и номер телефона в „Паспорте“».

Сначала у меня попросили код с картинки. Потом контрольный вопрос. Потом номер телефона, хотя я не настраивал двухфакторную аутентификацию по SMS.

Констатирую, что Яндекс окончательно испортился и стал требовать введения «зондов». Интересно, а если бы не пользовался веб-интерфейсом, а только клиентом (наподобие Outlook или Thunderbird), он бы тоже попросил номер телефона?

★★★★★

Последнее исправление: ZenitharChampion (всего исправлений: 7)

Ответ на: комментарий от ZenitharChampion

Представь чисто теоретическую ситуацию, что я из-за Яндекса теряю доступ к рабочей переписке

Да что доступ. Сама переписка терялась, поддержка отнекивалась. Нет возможности, а платные тарифы обеспечивают другие функции. Была рабочая почта со своим доменом. К тому же постоянно были неудачные отправки/получения из-за жутких неписанных ограничений и постоянные отвалы по таймауту на любом (smtp,imap,web) протоколе. И то как Microsoft SmartFilter, который в IE, ограждал от скачивания с Яндекс.Диск тоже стоило человкочасов. Ну и при заходе с тех IP и сейчас постоянно капчу подсовывает.

boowai ★★★★
()
Ответ на: комментарий от Stanson

Есть сервисы одноразового приёма SMS. Это позволит залогиниться, чтобы загрузить всё в Thunderbird, а также на всех сайтах и форумах, которые привязаны к этому e-mail, сменить e-mail. Вопрос теперь в том, куда валить. Protonmail вон тоже номер требует.

ZenitharChampion ★★★★★
() автор топика
Ответ на: комментарий от ZenitharChampion

Protonmail вон тоже номер требует.

Зеня познает мир.

anonymous
()
Ответ на: комментарий от ZenitharChampion

что я из-за Яндекса теряю доступ к рабочей переписке и теряю деньги.

И ведь ты натурально не видишь, какую глупость пишешь. Не платил за услугу? Тогда ты не клиент, ты товар.

И да, в данном предложении «из-за яндекса» надо заменить на «из-за меня»

zemidius
()
Ответ на: комментарий от ZenitharChampion

Вопрос теперь в том, куда валить. Protonmail вон тоже номер требует.

Может быть телефон с двумя симками /одна для всякого хлама/?

Владимир 123

anonymous
()
Ответ на: комментарий от ZenitharChampion

Забесплатно ничего приличного и надёжного не найдёшь. Проще купить домен в приличном регистраторе, арендовать VPS и поднять на нём всё, что твоей душе угодно.

Stanson ★★★★★
()
Ответ на: комментарий от anonymous

Может быть телефон с двумя симками /одна для всякого хлама/?’

Вангую, что он до сих пор мечтает об анонимности.

Zhbert ★★★★★
()

Резюмируя

Похоже, что двухфакторной аутентификацией по SMS на номер телефона пользуется настолько много людей, что в форме «восстановления пароля» просто забыли предусмотреть возможность восстановить его для тех, кто не привязывал аккаунт к номеру. Это ошибка, и я надеюсь, что это недоразумение, и форму поправят.

Напишу им на incident@support.yandex.ru со старой почты, или может кто-нибудь отпишет им?

ZenitharChampion ★★★★★
() автор топика
Ответ на: комментарий от zemidius

> И ведь ты натурально не видишь, какую глупость пишешь. Не платил за услугу? Тогда ты не клиент, ты товар.

Если завтра GitHub потрёт твой репозиторий с годами накопленного кода, ты так же скажешь?

ZenitharChampion ★★★★★
() автор топика
Ответ на: комментарий от Stanson

> Забесплатно ничего приличного и надёжного не найдёшь.

Четврёртый раз спрашиваю - какие альтернативы вы предлагаете? Чтоб платно и с sla.

> Проще купить домен в приличном регистраторе, арендовать VPS и поднять на нём всё, что твоей душе угодно.

От этого отказались даже SDL и kernel.org, а вы предлагаете делать это рядовому гражданину.

ZenitharChampion ★★★★★
() автор топика
Ответ на: комментарий от Zhbert

Вангую, что он до сих пор мечтает об анонимности.

На барахолке какую-нибудь старую мобилу для этих целей купить …

Владимир 123

anonymous
()
Ответ на: комментарий от Zhbert

> Вангую, что он до сих пор мечтает об анонимности.

«Зачем он хочет надёжный дверной замок?» «Возможно, он до сих пор мечтает об анонимности».

ZenitharChampion ★★★★★
() автор топика
Последнее исправление: ZenitharChampion (всего исправлений: 1)
Ответ на: комментарий от ZenitharChampion

Четврёртый раз спрашиваю - какие альтернативы вы предлагаете? Чтоб платно и с sla.

Тебе выше ответили, ты проигнорировал. Более того, на лоре была куча тредов по этому поводу, но тебе ведь надо истерить и шланговать, а не выбирать почту.

anonymous
()
Ответ на: комментарий от ZenitharChampion

Сервисы одноразового приёма SMS.

Привязывать чужой номер к своему аккаунту - отличная идея, а потом плачут «у меня увели аккаунт».

anonymous
()
Ответ на: комментарий от ZenitharChampion

Не потрет если у них есть бекапы. А они у них есть, я восстанавливал через поддержку, когда случайно удалял, и issues тоже, не бекапятся лишь бинарные загрузки на бесплатных тарифах.

Годами накопленный код можно держать дома в бекапе. Так же как и почту с любого сервиса можно бекапить по smtp, или же даже rsync в случае своего VPS.

Напишу им на incident@support.yandex.ru со старой почты, или может кто-нибудь отпишет им?

Ты как RMS который читает новости из государственных газет потому что доступ в интернет требует передачи паспортных данных при заключении договора покупки сим карты.

bhfq ★★★★★
()
Ответ на: Резюмируя от ZenitharChampion

> Напишу им на incident@support.yandex.ru со старой почты

Либо зайду к ним в офис в Новосибирске, но вот беда, завтра суббота, а по субботам он не работает.

Кто-нибудь на ЛОРе работает в Яндексе? Кастаните их, покажите им это.

ZenitharChampion ★★★★★
() автор топика
Ответ на: комментарий от ZenitharChampion

От этого отказались даже SDL и kernel.org, а вы предлагаете делать это рядовому гражданину.

И что, ваш почтовый трафик сравним с SDL и kernel.org?

А за деньги и чтобы ничего самому не делать, те же регистраторы доменов и продаватели VPS обычно предлагают и почтовые сервера. Но смысла в этом большого нет. Если VPSная контора сдохнет, то собственный сервак можно за пять минут полностью восстановить на другом VPS. А вот с серваком который поддерживает кто-то другой так уже не получится.

Нужно для начала определиться - что ценнее, нежелание потратить полчаса на настройку своего сервака, или надёжность.

Stanson ★★★★★
()
«Во время внутреннего расследования было обнаружено, что сотрудник предоставлял несанкционированный доступ в почтовые ящики пользователей. Это был один из трех системных администраторов, обладавших такими правами доступа, необходимыми для выполнения рабочих задач по обеспечению технической поддержки сервиса. В результате его действий было скомпрометировано 4887 почтовых ящиков», — пояснил Яндекс.

обладавших такими правами доступа, необходимыми для выполнения рабочих задач по обеспечению технической поддержки сервиса

Очень интересно.

vvn_black ★★★★★
()
Ответ на: комментарий от ZenitharChampion

Если завтра GitHub потрёт твой репозиторий с годами накопленного кода, ты так же скажешь?

Я не плачу гитхабу => я товар. Соответственно, все мои репозитории хранятся в т.ч. и локально. Да и self-hosted gitlab поднять очень просто (он у меня тоже есть)

Очень странно читать это от человека, который одной рукой топит за приватность и ругает яндекс за привязку мобильного телефона, а с другой стороны хранит всю рабочую переписку за 17 лет у него же без локального бэкапа. Мягко говоря, сильное несоответствие.

zemidius
()
Ответ на: комментарий от bhfq

Паспортные данные хоть по закону нужно предоставлять, а мобильный? Провайдеры интернета никакой номер мобильного не требуют - только паспорт.

ZenitharChampion ★★★★★
() автор топика
Последнее исправление: ZenitharChampion (всего исправлений: 1)

Вы не можете войти только в web- клиент? У меня есть несколько скриптов, работающих по IMAP с яндекс-почтой и они, кажется, продолжают функционировать.

Leupold_cat ★★★★★
()
Ответ на: комментарий от ZenitharChampion

От этого отказались даже SDL и kernel.org

Ты какой-то инфантильный или глупенький что ли, я ее пойму. Во-первых, у sdl/kernel.org репутация сильно лучше в сети, чем у тебя перед яндексом и их проблемы будут решаться в ручном порядке. Во-вторых, ты же не думаешь, что у них локальных копий/бэкапов нет?

zemidius
()
Ответ на: комментарий от Stanson

> И что, ваш почтовый трафик сравним с SDL и kernel.org?

В проектах SDL и kernel.org всяко больше технических специалистов, чем я располагаю, и их квалификация значительно выше. И тем не менее, не справились даже они. В какой-то момент им это надоело, и они сделали выбор в пользу людей, которые получают за это деньги, и располагают достаточным количеством ресурсов, CDN и проч.

ZenitharChampion ★★★★★
() автор топика
Ответ на: комментарий от ZenitharChampion

Пожалуй, я так и сделаю. У меня на рабочей почте - рабочие контакты, а также много сервисов завязаны именно на мою почту. Я конечно введу любой номер с сайта одноразового приёма SMS, а потом сбэкаплю почту и удалю акк.

А если кто-то создаст новый «акк» с тем же именем и начнёт что-то делать от твоего лица?

hobbit ★★★★★
()
Ответ на: комментарий от ZenitharChampion

а также много сервисов завязаны именно на мою почту

а потом сбэкаплю почту и удалю акк

Опять же, неужели совсем-совсем не видишь дичайшего противоречия?

zemidius
()
Ответ на: комментарий от ZenitharChampion

Они просто собирают почту с множества ящиков, сортируют по отправителям и генерируют единый текстовый файл, который я читаю по мере свободного времени. Эти скрипты никому кроме меня не могут быть полезны, да и написал я их для развлечения, а не потому что они были мне необходимы.

Leupold_cat ★★★★★
()
Последнее исправление: Leupold_cat (всего исправлений: 3)

Дядь, ты в норме? Или стукнулся? У компании случился серьезный инцидент, они пытаются ограничить доступ к скомпрометированным учеткам, и сделать так, что бы он остался только у легитимных владельцев. Естественно, что они стараются максимально удостовериться в том, что ты - реальный владелец ящика.

Что не так?

CaveRat ★★
()

И телефона нет и паспорта нет и фио нет и вообще кот.

А вообще всегда можно дауншифнуться к бурито на болото 😁

chenbr0
()
Ответ на: комментарий от ZenitharChampion

Даже если так, какого хрена они у меня просят номер телефона, если я не привязывал аккаунт к номеру телефона?

А почему нет? Если акк уведут как восстановить?

chenbr0
()
Ответ на: комментарий от ZenitharChampion

Твоя рабочая почта на яндексе и без привязки мобилы?

Слушай, вам с шульманом нужно сделать стартап и предлагать услуги аутсорсинга.

chenbr0
()
Ответ на: комментарий от ZenitharChampion

Там это, яндекс почта про есть. Не хочешь инвестировать средства в свою работу?

chenbr0
()
Ответ на: комментарий от ZenitharChampion

То ли дело фильмы про дворцы, или это другое?

chenbr0
()
Ответ на: комментарий от ZenitharChampion

Ты соглашение при регистрации читал? И кто виноват? У яндекса бизнес, а не благотворительность.

chenbr0
()
Ответ на: комментарий от ZenitharChampion

Я не влиял на это. Там сейчас свой сервер с виндовым пакетом. По сути, там всегда был тот или такой же сервер для других доменов, так что не знаю, зачем за Яндекс держались так долго.

boowai ★★★★
()
Ответ на: комментарий от mexx

Неудобная (пока, мне) система подписок, туча каких-то Плюсов, сразу и не разберешься

Классика же:
https://www.youtube.com/watch?v=vbHqUNl8YFk

Но это временные трудности.

Хахахахаха!

Shadow ★★★★★
()
Ответ на: комментарий от ZenitharChampion

Заключи уже с Яндексом договор...

Shadow ★★★★★
()
Ответ на: комментарий от CaveRat

> У компании случился серьезный инцидент, они пытаются ограничить доступ к скомпрометированным учеткам, и сделать так, что бы он остался только у легитимных владельцев.

«и сделать так, что бы он остался только у легитимных владельцев», угу, а номер-то можно указать вообще любой. Согласен, случился факап, и компания пытается минимализировать последствия. И как следствие, не растерять клиентов.

Я вижу, что форма восстановления пароля требует номер мобильного даже у тех, кто не подключал двухфакторную аутентификацию. То есть, до сего момента ты или предоставлял, или не предоставлял номер - по своему желанию. С этого момента ты должен предоставить его в любом случае.

Я вижу, что это ошибка, так как, при создании нового аккаунта, номер по-прежнему спрашивают только в качестве опции. Что ж, жду когда форму восстановления пароля исправят.

ZenitharChampion ★★★★★
() автор топика
Последнее исправление: ZenitharChampion (всего исправлений: 2)
Ответ на: комментарий от ZenitharChampion

Я вижу, что форма восстановления пароля требует номер мобильного даже у тех, кто не подключал двухфакторную аутентификацию. То есть, до сего момента ты или предоставлял, или не предоставлял номер - по своему желанию. С этого момента ты должен предоставить его в любом случае.

Им как-то надо подтвердить, что ты являешься владельцем ящика. Номер телефона - самое простое.

Я вижу, что это ошибка, так как, при создании нового аккаунта, номер по-прежнему спрашивают только в качестве опции. Что ж, жду когда форму восстановления пароля исправят.

НЯП, там еще есть приписка, что без этого могут быть проблемы при восстановлении доступа к почте.

CaveRat ★★
()
Ответ на: комментарий от CaveRat

Ну так я ж могу любой номер написать, хоть свой, хоть чужой. Сервисы одноразовых номеров для SMS позволят таки залогиниться в почту, и никак не поможет Яндексу определить, что это действительно я.

ZenitharChampion ★★★★★
() автор топика

У меня что-то такое было несколько месяцев назад.

AVRS ★★
()
Ответ на: комментарий от ZenitharChampion

Ну а как же без номера твоими ПД торговать-то? И они это у всех, кто зарегился без номера телефона, требуют. В какой-то момент «ой, ваш номер пытались взломать, мы его заблокировали, подтвердите с номером».

hungry_ewok
()
Ответ на: комментарий от ZenitharChampion

посоветуй альтернативу

Если это и правда для работы, то альтернатива называется «дешёвый дедик» (для мажоров за 50 баксов в месяц на всю шарашкину контору) или «VPS» (для студентов) + postfix

NHS7
()
Ответ на: комментарий от Zhbert

поднять почту на своем домене, но это в итоге не вызывало доверия

«Кто на ком стоял ?» У кого это не вызывало доверия, у того, кто поднял или у тех, кто мылы оттуда получал ?

NHS7
()
Ответ на: комментарий от ZenitharChampion

Яндекс - полный отстой, который требует мобильный телефон, взяв в заложники уже имеющуюся почту

Трудно не согласиться, так оно и есть. Но номер телефона твоего они теперь поимеют (во всех смыслах), запишут «куда надо в Чо-о-о-орную Книжечку» и он там останется на веки вечные. Однако если получится вырвать из плена переписку при помощи одноразового СМС, то я буду ждать отчёта об этом, ибо интересно.

NHS7
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.