Вечером 7 сентября 2014 года в открытый доступ попал текстовый файл с учётными данными миллиона пользователей «Яндекс.Почты». Файл 1000000cl.txt изначально разместили на «Яндекс.Диске», но к настоящему моменту список разошёлся повсеместно по Сети.

002

Проверить свой адрес электронной почты на предмет компрометации можно самостоятельно, скачав файл с паролями. Как менее предпочтительный вариант, есть веб-форма для проверки.

Многочисленные пользователи уже подтвердили аутентичность базы, нашли свои пароли и успешно зашли в чужие почтовые ящики (статья 272 УК РФ). Если чужой ящик не привязан к номеру телефона, то есть возможность указать свой email, активировать тем самым ящик и сменить пароль, не вводя ответов на секретные вопросы.

По примерной оценке, около 65% паролей из базы валидны на эту минуту, остальные аккаунты заблокированы.

Скорее всего, утечка стала результатом взлома какого-то веб-сервиса, фишинга или брутфорса. Компания «Яндекс» пока не дала подробных разъяснений по инциденту, но заранее отрицает свою причастность.

Пресс-служба «Яндекса» заявила: «Пароли пользователей “Яндекса” надёжно защищены и не хранятся в открытом виде. Поэтому опубликованный список — это не “взлом” и не “утечка” “Яндекса”. Наши специалисты проверяют этот список, и пока нет оснований считать, что среди опубликованных аккаунтов есть те, что принадлежат “живым” пользователям (тем, кто бы заходил на наши сервисы, в “Почту”, и совершал какие-либо действия), или тех, о взломе которых бы мы не знали (такие аккаунты уже давно отправлены на восстановление пароля)».

В «Яндексе» добавили, что каждый отдельный пароль мог утечь вследствие заражения компьютера пользователя вирусом, который передаёт персональные данные мошенникам. Также рассматривается вариант фишинга.

Топ-100 паролей в базе «Яндекса»

Сколько раз встречается = Пароль

39177 123456
13892 123456789
9826 111111
7926 qwerty
5853 1234567890
4668 1234567
4606 7777777
4324 123321
3304 000000
3031 123123
2807 666666
2570 12345678
2416 555555
2299 654321
1804 gfhjkm
1500 777777
1482 112233
1432 121212
1431 12345
1385 987654321
1172 159753
1120 qwertyuiop
1109 qazwsx
967 222222
939 1q2w3e
874 0987654321
872 1q2w3e4r
832 1111111
804 123qwe
772 zxcvbnm
762 88888888
724 123654
707 333333
697 131313
690 999999
661 4815162342
639 12344321
633 1qaz2wsx
615 11111111
609 asdfgh
583 qweasdzxc
578 123123123
574 159357
571 zxcvbn
545 qazwsxedc
533 ghbdtn
524 1234554321
523 1111111111
500 1q2w3e4r5t
465 1029384756
455 qwe123
448 789456123
444 147258369
439 1234qwer
428 135790
426 098765
422 999999999
408 888888
408 12341234
401 12345qwert
395 qweasd
392 987654
391 111222
380 147852369
375 asdfghjkl
375 789456
373 samsung
365 159951
357 101010
355 vfhbyf
353 444444
348 qwerty123
348 nikita
335 qweqwe
331 q1w2e3
328 fyfcnfcbz
325 qwaszx
325 00000000
322 qazxsw
321 010203
319 marina
316 9379992
316 123789
308 zzzzzz
308 qqqqqq
307 11223344
306 dbrnjhbz
303 qwertyu
299 147258
298 12345678910
296 232323
294 yfnfif
292 55555
291 aaaaaa
289 147852
287 fylhtq
284 fktrcfylh
279 1qazxsw2
278 q1w2e3r4
277 7654321



38 комментариев

  1. 08.09.2014 at 10:33

    Не плохо тока жалко что не всю базу полностью слили =D

  2. 08.09.2014 at 11:20

    Всё эти ящики уже в списке «подозрительных» у Яндекса. Требуют сменить. Здесь они хорошо сработали.

  3. 08.09.2014 at 11:28

    Странное заявление: «Пароли «Яндекса» надежно защищены…»
    Как же тогда их обнародовали?

    • 08.09.2014 at 11:34

      Яндекс защищает пароли. Но Яндекс не будет ходить за пользователем по всем сайтам и долбить его по рукам с криками: «нет, дебил, здесь пароль вводить нельзя — сопрут». Другими словами — пароли слиты не Яндексом, и не из баз Яндекса, потому что там они вообще в открытом виде не хранятся. Всё корректно.

      • 08.09.2014 at 12:54

        Да не, не правдоподобно как-то, что бы кто-то специально лазил по всем сайтам ради сбора миллиона паролей именно от Яндекса. А почему не от гугла или яху? Скорей всего утечка с яндекса.

        • 08.09.2014 at 19:06

          Недавно (в мая) с безопасниками провели «скрытую ревизию» паролей в домене. результаты типа этого. пароли 12345 или qwerty на канают, но Vasya12345 и тому подобное просто море. заставили всех поменять пароли.

          • 09.09.2014 at 01:36

            Потому что для людей пароль — это не элемент безопасности, а «запоминать ещё чё-то надо, не могли что ли по одному имени вход сделать, всё равно никто кроме меня за этим компьютером не сидит»

        • 09.09.2014 at 18:57

          По каким «по всем»?
          Пароли в открытом виде не хранятся. И даже не шифруются. И для проверки правильности введеного пароля — его хранить не нужно в принципе, потому что вся сверка идет по хешам.

          • 10.09.2014 at 23:04

            По каким «по всем»?

            Откуда мне знать?

            Но Яндекс не будет ходить за пользователем по всем сайтам

            Это разве не ты писал в своем первом коменте? Вот сам себе и отвечай.

            • 11.09.2014 at 19:23

              Ой божечки, а. Яндекс ПО ВСЕМ сайтам ходить и тыкаться в безопасность не будет. А чтобы собрать паролей — достаточно ОДНОГО фишингового сайта. И не нужно собирать по каким-то другим ВСЕМ, которые Вы там себе придумали.

              • 11.09.2014 at 21:11

                Неправда. Я ничего не придумывал. Информацию получил из первоисточника — вашего комментария. Ваш последний опус (комментарий) ничего не объясняет. Зачем вы его написали?

    • 08.09.2014 at 11:35

      Тебе срочно нужно посмотреть фильм «Изобретение ЛЖИ».
      Откроешь для себя много нового!

  4. 08.09.2014 at 11:51

    Ну на конц то я узнаю забытый пароль. Спасибо парням.

  5. 08.09.2014 at 12:13

    А разве пароль типа «123456» позволят поставить? Вроде как сейчас ни на одном сервисе только цифры не пропускают?

  6. 08.09.2014 at 13:40

    Apple теперь ржет

  7. 08.09.2014 at 14:45

    почему 272 статья? что бы войти в почту, ломать ничего не нужно. а вот «чтение чужой переписки» есть.

    • 09.09.2014 at 01:39

      Скажи это чуваку, которого осудили за то, что у эпла через общедоступный сервис слил инфу перебором айдишников.
      «Ломать» — понятие растяжимое. Кроме «ломать» есть ещё несанкционированный доступ. Можно подумать, что если ты забыл закрыть дверь в квартиру, то тебя можно грабить без опасности сесть, ведь ломать-то не надо.

      • 16.09.2014 at 13:34

        ломать — нетяжимое понятие. 🙂
        в целом согласен. но у тебя небольшая неточность: дверь заперта и у тебя есть ключ.

  8. 08.09.2014 at 17:58

    Всегда будут идиоты, которые ставят пароль 123456 а потом жалуются на взлом

  9. 08.09.2014 at 20:13

    меня там нет :-Р

    • 08.09.2014 at 22:00

      Там — это в списке, или там — это на Яндексе? Если речь о Яндексе, то меня — тоже 🙂

    • 09.09.2014 at 12:43

      Молодец, слил свой реальный адрес. Хотелось бы знать, сколько еще таких же простофиль на хакере обитает!!)))))))))

      • 11.09.2014 at 10:59

        Хотелось бы знать, сколько еще таких же простофиль на хакере обитает!

        Не сайт, а рассадник ламерства.

      • 06.01.2015 at 16:33

        Ввах! Как категорично! Своим адресом на Яндексе я сорю направо и налево — для того он и создан. А IP прокси — бооольшая добыча для хакера…

  10. 09.09.2014 at 13:07

    Можно ли таким образом утверждать — что люди с именами Никита и Марина хуже всего разбираются в вопросе информационной безопасности? 😉

  11. 09.09.2014 at 20:24

    нашёл там свой старый ящик, пароль и правда был не особо сложный
    не пользовался им более 2-х лет, если даже не более
    скорее всего это был брутфорс

  12. 10.09.2014 at 13:34

    Уже с гугола пароли спустили, а уважаемая редакция события всё одно за другим игнорирует.

  13. 10.09.2014 at 15:37

    Собственно это не пароли, а логины от ЯДа. Документ весит почти чуть больше 15 МБ. Класно что слили, вечерок другой можно скоротать на брутфорс, а там как повезет=)

  14. 16.09.2014 at 00:16

    Пожалуй таки да.
    Думаю готовят сново закон.
    По факту до пседо-слива при попытке восстановить условно-взломанный ящик маил и ящя просили поменять пароль с указанием номера и письма в ящике были доступны для чтения, а после слива одновременно на двух сервисах теперь не введешь номер телефона к почте доступ не получишь вообще. Вот так.

Оставить мнение