1000000 паролей от почтовых ящиков Яндекса утекли в сеть

Вовремя я себе менеджер паролей с версионностью накодил…

Вот что будет с теми, кто считает себя независимым, и выпендривается.

Моих логинов там нет. Комментарии на Хабре говорят, что там в основном «свежие» аккаунты.

фейк

О... А почта это и я.диск вроде. Печаль, лаб пополнится

Вызываю линк на пароли, и статистику используемых? Саботированы все password и qwerty?

у тебя же свой почтовик, чего тебе бояться. твоя почта разве что ночных тузиков с ЛОРа может заинтересовать, и то

а вот весело будет, если это реклама 0-day, который дампит пароли при их первичной установке и/или смене, и волна хомяков с возгласами «Надо сменить пароли на яндексе» сами отдадут свои аккаунты кулхацкерам

Ну аккаунт и на Яндексе есть у меня. Хотя в базе себя не нашёл.

0-day, который дампит пароли при их первичной установке и/или смене

СОРМ, или как он сейчас называется...

на одном довольно широко известном ресурсе

Это на каком (ну хоть направление ресурса)? Я не могу догадаться. Опять борда какая-то? База мне не нужна, просто интересно.

Это на каком (ну хоть направление ресурса)? Я не могу догадаться. Опять борда какая-то? База мне не нужна, просто интересно.

Это форма подачи такая. Максимум что выложат среди туевой хучи наживок в виде вирья - осколок спам-базы, да и то, собственноручно нареганной.

ксакеп или античат. руборда на худой конец

да не потрут за 5.3: может быть forum.0day.kiev.ua

На первые два я сразу зашел, не увидел базы, значит, думаю, не туда пришел. Решил спросить.

Список логинов без паролей скачивается по ссылке в каментах на хабре без проблем.

А тебе на эту почту приходили письма, мол чего-то там требует идентификации, пройдите по ссылке (и тут вводится пароль)?

А чем он тебе мог помочь? Пароли то прям с сервера утекли.

Пишут о подозрении на масштабный фишинг.

http://habrahabr.ru/post/235949/#comment_7940865

Хороший был фишинг, если даже пользователей с хабра развели.

Не факт, так же мог быть и собранный другими путями список. Людей, вводящих не глядя пароли от всего хватает.

Наверное старый бэкап поперли.

весной регистрировал, в базе нет. Правда это ничего не значит.

Ни одного из своих почтовых ящиков в той базе, что я нарыл (15.1Mb) не нашел. Тем более использовать qwerty123 и passw0rd ССЗБ. Так что те кто ноет что его взломали, придумывайте более сложный и длинный пароль и не ходите по левым ссылкам. Ваш КЭП.

Может быть, но уж больно много паролей утекло. Если проблема в настройках сервера у Яндекса, то они молчать об этом будут, скажут, что фишинг.

А ты уверен, что выложили ВСЕ пары логин/пароль?

Поменять без проблем можно.

Топ 100 паролей показателен. На вскидку составляет ~30% утекших аккаунтов.

Тот тектовый файл что я скачал был без паролей. Сколько строк в нем, я не считал, но не менее 500000. Пишут вроде что есть файлик размером в 38Мб.

Пишут вроде что есть файлик размером в 38Мб.

Находится за пару минут. Там уже с паролями.

В этом файле 1 261 810 строк. А учитывая, что на строке по логину...

Да, 38 Мб весит файл с паролями, а не только с логинами.

Где эта база?

Нашёл себя в базе, но с неверным паролем О_О.

Аккаунт очень старый, но активный.



Сгенерил жесткий пароль, поставил логин по СМС.


????


PROFIT!

менеджер паролей с версионностью накодил…

Так это уже менеджер?

На хабре несколько ссылок в комментариях.

Ага, он ещё кофе варит =).

кофе должна варить длинноногая секретарша с третьим размером бюста, а не какая-то программа на кютях, запускаемая на кофеварке с фряхой

Врятли пароли открытым текстом хранились. Похоже яндексовцы где-то накосячили и утекали новые аккаунты. И вот думаю зря пароли ломанулся менять... бреш то не устранили ещё, сервера-то всё-ещё дырявые...

Врятли пароли открытым текстом хранились.

Яндекс.

Самому-то не смешно? Они у них там считай в открытом виде валяются.

http://habrahabr.ru/post/82880/

ха-ха, никогда на яндексе и майл.ру ящиков не открывал.

Даже спамных для регистрации на всяких форумах?

а, ну это было дело, но ящик использовался только один раз для первого письма, ящиков 10 так открыл.

Прогресс! Технологии!

Моего в базе нет. Еще посмотрим, что это было, но вангую, что не зря я под вендами в свои аккаунты никогда не захожу.

Ну да.. для сборщика почты нужно хранить пароли, жадные буратины.

А текстовик плиз куда-нить залейте

1000000cl.txt 1млн 261тыс строк в том файле что только с логинами. Судя по тому что пишут люди в интернетах там только относительно свежие аккаунты, возможно созданные за этот год или за другой период.

Без паролей. Находится очень легко, стоит только открыть ссылку на хабр и чутка подумать головой. Кто хочет с паролями ищите сами, мне оно не нужно.

А моего там нет, хотя пароль таки решил сменить.

А потом вдруг подумалось: я ж первый раз за четырнадцать лет пароль от яндекса меняю!

Из 6 ящиков ничего не совпало. Вангую фишинг или просто фейк.

А ты не подумал о том что их могут переть через уязвимость в сервисе яндекса? И вот в тот самый момент когда ты меняешь пароль...

Тоже думаю что простой фишинг на каком-то сервисе. Пароли конечно могут совпадать с логинами на яндекс почте у тех кто использует один и тот же пароле хехе.

А где посмотреть-то?

Выше есть ссылка на логины без паролей. С паролями гуглится за пару минут.