Компания «Яндекс» сообщает, что во время регулярной проверки ее служба безопасности выявила факт внутренней утечки данных.

Расследование показало, что один из сотрудников компании предоставлял несанкционированный доступ к почтовым ящикам пользователей. Это был один из трех системных администраторов, «обладавших такими правами доступа, необходимыми для выполнения рабочих задач по обеспечению технической поддержки сервиса». В результате его действий оказались скомпрометированы 4887 почтовых ящиков.

Сообщается, что в настоящее время неавторизованный доступ в скомпрометированные ящики уже заблокирован, а все пострадавшие получили уведомления о необходимости смены пароля. Также компания уже обратилась в правоохранительные органы.

«По выявленному инциденту проводится внутреннее расследование и будут пересмотрены процессы работы сотрудников, обладающих административными правами такого уровня доступа. Это поможет минимизировать влияние человеческого фактора на безопасность данных пользователей.

Мы очень сожалеем о случившемся и приносим извинения пользователям, которые пострадали из-за этого инцидента», — пишут представители «Яндекса».

18 комментариев

  1. Аватар

    0d8bc7

    12.02.2021 в 15:24

    «Мы очень сожалеем, но объективной необходимости E2EE для пользовательских данных по-прежнему не осознаём»? 🙂

    • Аватар

      [Alien]

      12.02.2021 в 23:20

      Ну а как потом «обезличенные» данные собирать?

    • Аватар

      ak545

      14.02.2021 в 03:11

      20d8bc7: «Мы очень сожалеем, но похоже, Вы не осознаёте всех проблем использования End-to-End Encryption в электронной почте»? 🙂

      • Аватар

        Doooh

        15.02.2021 в 14:18

        Проблем при слежке для «правоохранительных» органов?
        Чего-то как касается шифрования, так сразу «ой-ой, только сильно не шифруйте, ну пожалуйста».

      • Аватар

        0d8bc7

        15.02.2021 в 15:11

        «Мы очень сожалеем, но не хотим думать над тем, как решить эти проблемы, чтобы всё-таки ввести E2EE и качественно шагнуть вперёд»? 🙂

        • Аватар

          ak545

          15.02.2021 в 17:42

          «Мы очень сожалеем, но мы не хотим вникать в фундаментальные принципы протокола End-to-End Encryption, вся суть которого красноречиво высказана в самом названии»…

          Сделайте же с собой наконец то, к чему сами же и призвали в своём последнем комментарии. ПОДУМАЙТЕ, как именно Вы обеспечите, обмен ключами между участниками переписки? А если это будет массовая рассылка? А если кто-то встанет между? А если кто-то потеряет ключ? А если… если… если…
          Подумайте так же и о том, как исключить использование такого сервиса преступными структурами, чай не в мире розовых единорогов живём.

          Сперва подумайте, и только потом козыряйте знанием модных терминов. А ещё лучше сделайте «что-то» сами, чтобы у Вас было ОБОСНОВАННОЕ право критиковать «что-то» похожее.

          P.S. ProtonMail в пример не приводите (подумайте почему).

          • Аватар

            0d8bc7

            16.02.2021 в 03:12

            О да, конечно, я подумаю. Когда придёт моё время, когда мне наконец будет не лень сделать какую-нибудь свою систему. (И вполне возможно, что думать я буду много, заменяя одну версию реализации другой, потому что тема эта и правда непростая.) Но сейчас, пока я не придумал такого решения и пока мне тупо лень, я и НЕ ДЕЛАЮ этого. Я не рискую конфиденциальностью чужих личных данных. И я не захватываю рынок и не стригу бабосики. В отличие от Яндекса.
            Думать о том, как «исключить использование такого сервиса преступными структурами», я не намерен: не моя война.
            Я не «козыряю модными терминами» — я знаю, что этот термин означает. И да, с реализацией E2EE действительно могут быть проблемы. Вот только слив чужих конфиденциальных данных непонятно кому является КУДА БОЛЬШЕЙ проблемой — это и является основным аргументом за E2EE.
            Ну а что касается конкретно критики Яндекса, то я имею полное моральное право обоснованно критиковать его сколько угодно после того как на веб-странице ЯндексКассы заметил попытки доступа к VNC, RDP и другим интересным портам моего локалхоста.
            Я не очень разбираюсь в почтовых сервисах и не знаю, у которых из них есть E2EE. Но, полагаю, у ProtonMail есть E2EE — не просто же так вы привели его в пример?) Думать, почему нельзя приводить в пример ProtonMail, я не буду, и причина очень проста: я в принципе не заинтересован в рамках спора искать подтверждение правоты оппонента, это должен делать сам оппонент, за исключением случая, когда в принципе можно прийти к согласию по основному вопросу.

            • Аватар

              0d8bc7

              16.02.2021 в 03:15

              > на веб-странице
              в веб-консоли

            • Аватар

              ak545

              18.02.2021 в 01:22

              О, да Вы лирик-моралист 😉
              Куда большей проблемой, на сколько я успел понять, является непонимание с Вашей стороны не только обозначенной темы, но и тем других, о которых Ваш рот, не подумавши, успел сообщить.
              Подозреваю, что не очень разбираетесь Вы во многом.
              Но… МНЕНИЕ, конечно же, имеете.
              https://xakep.ru/2020/06/02/threatmetrix/, угу?

              P.S. Извините, если чем обидел. Давайте будем считать сие конструктивным диалогом. Дабы впредь избегать голословных, непродуманных заявлений по поводу чего-либо.

              • Аватар

                0d8bc7

                18.02.2021 в 07:58

                Где вы видите непонимание моё непонимание упомянутых тем? Можете ПО СУЩЕСТВУ ответить, в чём я не прав?
                > https://xakep.ru/2020/06/02/threatmetrix/, угу?
                Угу.
                > Давайте будем считать сие конструктивным диалогом. Дабы впредь избегать голословных, непродуманных заявлений по поводу чего-либо.
                Да, конечно, давайте будем считать сие конструктивным диалогом 😉

                • Аватар

                  ak545

                  25.02.2021 в 16:35


                  Ну а что касается конкретно критики Яндекса, то я имею полное моральное право обоснованно критиковать его сколько угодно после того как на веб-консоли ЯндексКассы заметил попытки доступа к VNC, RDP и другим интересным портам моего локалхоста.

                  ———
                  «Обоснованно»!
                  Серьёзно?
                  Попытки доступа?
                  Вы ничего не путаете?
                  Если я на Вас… посмотрю, это будет расценено как попытка доступа?
                  А если я на Вас посмотрю строго?

                  Вы мне лучше тогда скажите, вот это:

                  (function(i,s,o,g,r,a,m){i[‘GoogleAnalyticsObject’]=r;i[r]=i[r]||function(){
                  (i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),
                  m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)
                  })(window,document,’script’,’//www.google-analytics.com/analytics.js’,’ga’);
                  ga(‘create’, ‘UA-6342695-5’, {alwaysSendReferrer:true, allowLinker:true});
                  ga(‘require’, ‘linkid’, ‘linkid.js’);
                  // ga(‘require’, ‘displayfeatures’);
                  // ga(‘require’, ‘ec’);
                  ga(‘set’, ‘transport’, ‘beacon’);
                  setTimeout(function(){ga(‘send’, ‘pageview’)}, 3000);

                  на странице, конкретно ЭТОГО сайта Вас случайно не беспокоит?

                  #МемЛаврова

                  • Аватар

                    0d8bc7

                    26.02.2021 в 07:14

                    Вообще-то в моём ответе «обоснованно» означало «когда есть основание для критики», в данном случае предметом критики является отсутствие E2EE, и этот предмет критики заслуживает критики. И да, тут уже не важно, есть у меня претензии к Яндексу или нет. Если есть, что критиковать, если это действительно заслуживает критики, то критика обоснованна по определению. А если мы считаем, что для того, чтобы тебя покритиковали, это нужно ещё и дополнительно заслужить, то это уже то, что я здесь назвал моральным правом. Т.е. «у меня есть моральное право на обоснованную критику», как-то так.
                    Но ладно, вы меня тут частично неправильно поняли, но частично правильно, и ваш вопрос тоже корректен, так что отвечу.
                    Что вам нужно, чтобы считать, что у меня есть моральное право / основание? Чтобы меня убили, ну например? 🙂
                    Даже мои необоснованно потраченные нервы является основанием, знаете ли. И нет, у меня не завышенное ЧСВ — это НОРМАЛЬНОЕ отношение к своей личности, я бы даже сказал, что оно хуже, чем нужно. А вот у других людей, похоже, сильно занижено v.v
                    Да следилки сейчас пихают повсюду. Но у меня в файле hosts забито «0.0.0.0 http://www.google-analytics.com«, чего и вам, и всем остальным желаю.
                    Но да, это неприятно.
                    Но, к счастью, такие следилки, вроде как, следят за тем, что пользователь делает на сайте, а не за экраном, не считая всяких там эксплоитов, вызывающих RCE. А вот происходящее на экране — это уже частная жизнь пользователя в полной мере. Перемещение мышки и тыкание кнопочек на сайте — частная жизнь не в полной мере, хотя подглядывать за этим тоже нехорошо.
                    Если вы посмотрите на меня, и всё, это будет расценено как попытка доступа. Но пока вы не стали моим врагом и намерены причинять мне зло, я не против. Учитывая, что вы всего лишь один человек и эти воспоминания будут только у вас, всё в порядке. Другое дело, когда используются технические средства для обработки и копирования информации и информация обо мне может попасть в руки вообще непонятно кому, причём этих непонятно кого заведомо неопределённое множество. Я думаю, совершенно очевидно, что такой характер получения информации делает целевых людей уязвимыми, а это нехорошо, и чем в меньшей мере это публичная информация, добровольно выставленная напоказ, тем хуже.
                    ———————
                    Может, давайте уже перейдём к основной теме? 🙂 Хотя вы, конечно, можете ещё спрашивать на счёт доступа к портам, если хотите. Но мне кажется, что мы уже просто уходим в другую тему. А при этом максимум, чего добьётесь вы, это ещё более понятного объяснения.
                    На самом деле не имеет значения, есть у меня какое-то специальное моральное право на критику или нет. Это всего лишь элемент этики, но, строго говоря, его наличие в данном случае не обязательно. А вот когда дело зайдёт о E2EE, он там всё равно обязательно будет 😉

                    • Аватар

                      0d8bc7

                      26.02.2021 в 07:24

                      Мда, у меня тут, конечно, куча безграмотности и опечаток — приношу свои извинения v.v
                      Да и движок «Хакера» кое-что «подкрасил»)
                      (Было бы тут редактирование своих сообщений — отредактировал бы.)

                    • Аватар

                      ak545

                      28.02.2021 в 13:28

                      Однако, какой у Вас богатый внутренний мир ))))


                      //..
                      Но у меня в файле hosts забито «0.0.0.0 http://www.google-analytics.com«, чего и вам, и всем остальным желаю.
                      ..//

                      Да упаси, Боже!
                      Зачем Вы в файле для трансляции доменных имён в сетевые адреса узлов к доменному имени добавили префикс протокола передачи данных прикладного уровня?

                      Срочно читать (и поменьше писать):
                      https://ru.wikipedia.org/wiki/Сетевая_модель_OSI⠀
                      https://ru.wikipedia.org/wiki/Hosts⠀⠀
                      https://ru.wikipedia.org/wiki/Доменное_имя⠀


                      С Уважением,
                      Ваш Даннинг Крюгер.

                    • Аватар

                      0d8bc7

                      01.03.2021 в 08:49

                      «Да и движок «Хакера» кое-что «подкрасил»)», OK?

                    • Аватар

                      ak545

                      01.03.2021 в 14:53


                      ———
                      http://www.google-analytics.com
                      ———

                      Полагаете, виновато зеркало?
                      Ну тогда ОК 😉

                    • Аватар

                      ak545

                      01.03.2021 в 14:58

                      ⠀www.domain.com⠀

                      И всё же лучше не 0.0.0.0, а 127.0.0.1

                      Ибо в контексте серверов, 0.0.0.0 означает «все адреса IPv4 на локальном компьютере». Например, если хост имеет два IP-адреса, 192.168.1.1 и 10.1.2.1, и сервер, запущенный на хосте, прослушивает 0.0.0.0, он будет доступен на обоих этих IP-адресах (плюс так же на 127.0.0.1).

                    • Аватар

                      0d8bc7

                      16.03.2021 в 02:02

                      Это движок «Хакера» добавил без моей явной просьбы «http://www.» к указанному мною домену. Ко мне тут претензий быть не может.
                      Мне итак норм, но спасибо за совет 🙂 А вот если делать локальный сервер, на который должны поступать запросы к таким доменам — тогда да, нужно что угодно, кроме 0.0.0.0 (хотя и не обязательно 127.0.0.1).

Оставить мнение