Про витік бази паролів користувачів

    Вчора на Хабре в коментарях до статті про витік бази паролів Яндекса з'явилася інформація про те, що в мережу потрапила база паролів від поштових скриньок Mail.Ru. Ми проаналізували всі акаунти, що опинилися в цій базі, і хочемо розповісти про те, що це було і які ми вжили заходів.
 
 Що сталося? Звідки база? Масового злому, що має під собою якусь конкретну причину або дірку в безпеці, не відбулося. Аналіз бази показав, що, швидше за все, вона збиралася по частинах з декількох баз паролів, які були вкрадені у користувачів в різний час і різними способами, в тому числі за допомогою вірусів, фішингу та т.п.
 
 Що дає нам підстави так думати? По-перше, досить великий відсоток паролів з потрапила в мережу бази наразі неактуальне, тобто власники скриньок вже встигли їх змінити.
 
По-друге, приблизно 95%, що залишилися акаунтів вже проходять у нас в системі як підозрілі (тобто ми вважаємо, що вони або створені роботом, або зламані). Такі акаунти обмежені у відправці пошти, а їх власникам ми рекомендуємо змінити пароль.
 
Як це працює? У нас існує складна система, яка, починаючи з реєстрації, аналізує дії кожного аккаунта за цілою низкою критеріїв (розповідати про всі ми не хочемо, щоб не полегшувати зловмисникам життя, але наприклад, один з найбільш очевидних — спроба розсилки спаму з цього аккаунта або різка зміна патерну поведінки). У цій системі у кожного аккаунта є динамічний рейтинг (називається «карма»). Як тільки карма падає нижче певного параметра, до аккаунту починають застосовуватися різні санкції, у тому числі наполеглива рекомендація змінити пароль.
 
Таким чином, власники майже всіх ящиків зі знайденої бази, паролі для яких виявилися досі актуальні, вже давно отримували від нас повідомлення, що з їх ящика зафіксована підозріла активність і що їм потрібно якнайскоріше змінити пароль. Судячи з того, що вони цього досі не зробили, напрошується висновок, що багато хто з них — це «авторегистрации». Такі ящики, як правило, не відновлюються після блокування, оскільки обходити захист для зміни пароля зловмисникам досить дорого. Ще значна частина — це кинуті власниками ящики (адже складно активно користуватися аккаунтом, якщо тобі не дозволяють відправляти пошту, а в поштовій скриньці все час спливає вікно з проханням змінити пароль).
 
 А як же решта 5%? Протягом вчорашнього дня власники цих ящиків вже отримали повідомлення про необхідність змінити пароль.
 
 І все ж, як повели ящики? Найпоширеніші способи злому ящиків — це фішинг, віруси на користувальницьких комп'ютерах і занадто прості паролі. Ще одна дуже поширена ситуація: користувачі лінуються вигадувати унікальні паролі для кожного зі своїх акаунтів і використовують пароль від пошти на форумах, торрент-трекерах або ще якихось ресурсах з низьким рівнем захисту, які потім піддаються атаці. В результаті зловмисники отримують доступ до цілої базі паролів, а потім підбирають їх до інших сервісів, в першу чергу, до ящиків, які часто вказуються в якості логіна або способу зв'язку.
 
Ми настійно рекомендуємо мати окремий і дуже надійний пароль на поштовому акаунті, так як на нього зав'язані багато інших сервіси.
 
 А що ми робимо, щоб захищати своїх користувачів? Ми дійсно дуже багато робимо для того, щоб запобігти «угони» ящиків.
 
По-перше, ми виключили можливість MITM-атаку, тому що передача даних користувача і в веб-інтерфейсі, і в наших мобільних додатках, і по в POP / IMAP / SMTP в Пошті Mail.Ru відбувається через HTTPS / TLS / STARTTLS. Більш того, в веб-інтерфейсі HTTPS працює завжди за замовчуванням, за допомогою технології Strict Transport Security (STS), яка змушує браузер завжди звертатися в Пошті Mail.Ru відразу по HTTPS.
 
До речі, на відміну від того ж Яндекса, наша головна сторінка також працює завжди по HTTPS і захищена через STS, що робить неможливою крадіжку пароля через атаку SSL Strip.
 
Перехопити пароль від Mail.Ru через MITM-атаку IMAP-сервісу теж неможливо, оскільки наш IMAP-сервіс завжди і скрізь працює тільки по TLS / STARTTLS. Це важливо, оскільки саме IMAP-сервіс найбільшою мірою схильний до цієї атаці, так як його часто використовують на мобільних додатках, а слухати трафік найзручніше саме з Wi-Fi-мереж. Крім того, такий захистом нехтують деякі поштові сервіси, і зловмисники про це знають.
 
Також хотілося б відзначити, що витік подібних даних зсередини компанії практично виключена. Доступ до продакшн-серверам і базам даних жорстко регламентований. Крім того, паролі користувачів Mail.Ru зберігаються в зашифрованому і «солоному» вигляді (тобто при шифруванні до паролів підмішуються додаткові дані). Це означає, що навіть крадіжка бази паролів не допускає можливість її розшифровки. Але й сама крадіжка неможлива завдяки багаторівневій системі захисту.
 
 Отже Ми дуже стараємося захистити наших користувачів. Тільки за останні рік-два ми впровадили цілий ряд великих сек'юріті-фіч, наприклад, примусовий HTTPS в Пошті і на головній сторінці порталу, content security policy, поділ сесій на порталі та багато іншого. Запустили програму Bug Bounty .
 
На жаль, всі наші зусилля будуть марними, якщо користувач не зробить свою частину роботи по захисту поштової скриньки. Ми, як і багато інших інтернет-сервіси, постійно говоримо про це користувачам, у тому числі і на Хабре, де у нас був дуже докладний пост про те, як зламують ящики і що потрібно робити, щоб захистити свої дані. Говорити про них докладно зараз не будемо, нагадаємо лише основні: пароль для Пошти повинен бути а) складним, б) унікальним і в) його бажано регулярно (в ідеалі — не рідше, ніж раз на три місяці) змінювати.
    
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.