|https://e.mail.ru/api-proxy/*

||an.mail.ru^

В Firefox 52 работает, в Opera 12 - нет.

|https://img.imgsmail.ru/webim/agent/release/*
|https://img.imgsmail.ru/pm/*

Эта российская компания знает, что вы лайкаете на Facebook

inopressa.ru
13 июля 2018 г.

"Не так давно дискуссии о личном пространстве и слежке были теоретическими. В чем вред, если Amazon, Google и Facebook знают о моих местах и желаниях?" - пишет профессор медиаисследований Виргинского университета Шива Вайдхинатан в статье для The New York Times.

Призывавшие усилить защиту от слежки обращались к гипотетическим ситуациям, когда деспотические государства, используя личные данные, выявляют нежелательные группы населения или людей. "Нам больше не нужно заниматься гипотетическими предположениями", - отмечает автор.

Facebook 29 июня сообщил следователям Конгресса США, что предоставил тесно связанной с Кремлем российской компании Mail.ru расширенные права, позволявшие разработчикам приложений получать доступ к массивам пользовательских данных. "Mail.ru в течение многих лет до 2015 года запускала приложения на Facebook, что позволяло компании анализировать профили и активность миллионов пользователей по всему миру. Такова была стандартная политика Facebook", - рассказывает Вайдхинатан.

"Российскую компанию основал бизнесмен Юрий Мильнер, крупный инвестор Facebook. В 2013 году Мильнер продал свою долю в Facebook и за несколько лет до этого ушел из Mail.ru (годом ранее. - Прим. ред.). Согласно Paradise Papers (массиву секретных документов, показывающих, как богачи прячут свои деньги), Мильнер получил от российского правительства сотни миллионов долларов, которые он вложил в Facebook и Twitter. Он также инвестировал в предприятие Джареда Кушнера", - говорится в статье.

"Мифы о Facebook - что он помог демократическим восстаниям в Тунисе и Египте и установил связь между всевозможными храбрыми движениями активистов - удержали американцев под чарами Цукерберга и Facebook. Но, как много лет предупреждали дальновидные ученые в области социальных медиа, в реальности Facebook куда вероятнее станет источником опасной слежки государства за активистами", - считает автор.

"Facebook не имеет понятия, какой объем личных данных он предоставил компаниям и как далеко это могло зайти. И, возможно, никогда не узнает, как и мы. Да, мы знаем о Mail.ru, хотя нам неизвестно, как компания могла использовать данные Facebook и какие еще организации в России могли затем получить эти данные или использовать их. Этого должно быть достаточно, чтобы призвать к более жестким мерам регулирования в отношении Facebook", - подытоживает профессор.

Зачем нужны страшилки о «взломе Яндекса»?

Антон Носик
09.09.2014

История про выложенные в Сети за один день миллион паролей к Яндекс.Почте и 4,6 млн паролей к ящикам Mail.Ru — довольно примечательная. В чистом виде пример виртуального несобытия, которое на практике не имеет никаких серьёзных последствий ни для кого (ни для сервисов, ни для пользователей, ни для бизнес-процессов), но способно сгенерировать бесконечный поток леденящих душу заголовков, новостных сюжетов и тревожных "комментариев эксперта".

Превыше сомнения известно про обе выложенные в Интернете базы, что они не являются ни продуктом взлома серверов, ни результатом внутренней утечки (например, через уволившегося обиженного сисадмина или окопавшегося в техподдержке бунтаря-анонимуса). Базы эти собирались несколько лет, методом фишинговых атак и троянских рассылок в адрес конечных пользователей, чьи пароли утекали к похитителю в случае неосторожного обращения с такими файлами и ссылками. Основная масса присутствующих там логинов/паролей выкладывалась в Интернете ранее, и техподдержкой обоих почтовых сервисов эти базы уже отмониторены в прошлом. Новые скомпрометированные аккаунты составили в обоих списках 5-10% от общего числа...

В том, что такие базы вообще собираются и пополняются, никакой неожиданности или новости нет. Ежедневно в Интернете рассылаются сотни миллионов троянских вирусов и фишинговых ссылок, и если хоть 0,1% этого спама достигает цели, это означает хищение миллионов паролей в месяц, каждый месяц. Зачем их воруют? Затем же, зачем воруют любые другие ключи на свете. Чтобы получить доступ к чужому имуществу — в данном случае, цифровому. Как можно воспользоваться чужими аккаунтами, подобрав к ним ключи? Не хочу вдаваться в подробности, но почтовые ящики могут открывать доступ к электронным кошелькам, отчётам и паролям систем электронного банкинга. Кроме того, зараженные аккаунты используются для отправки спама и дальнейшей рассылки троянов и фишинговых ссылок по их же контакт-листам.

Это малоприятная и презренная уголовщина, но в мотивации тех, кто ею занимается, нет никакой загадки. В практике российского правоприменения «увод» чужих аккаунтов и электронных денег не считается преступлением и не подлежит расследованию. Такая практика противоречит сразу двум статьям действующего УК (272 и 273), но нашим силовикам на законы плевать. Попробуйте подать заявление, что Ваш аккаунт взломали — и очень увлекательно проведёте месяц жизни. Сначала выяснится, что у уполномоченного подразделения МВД вообще нет практики приёма заявлений от граждан. Потом, после долгих скандалов, заявление примет участковый по месту жительства и пообещает переслать по назначению. Если Вы на этом успокоитесь, то заявление Ваше сгинет. Если же будете писать кляузы, заявление снова отыщется через месяц, и Вы получите отписку от Управления «К»: извините, с момента взлома прошёл месяц, следы искать поздно.

О том, что процедура борьбы с киберпреступностью в России именно такова, знают не только потерпевшие, но и уголовники. Поэтому поток троянов и фишинговых ссылок в РУНЕТе с каждым годом растёт, а параллельно ширится и крепнет экспорт подобного криминала в страны, где он преследуем и наказуем. Зарубежные ведомства по борьбе с киберкриминалом, пытаясь пресекать деятельность российских преступных синдикатов, сталкиваются с довольно откровенным крышеванием этих синдикатов по линии ФСБ.

Вернёмся, однако же, к выложенным в Интернете базам паролей пользователей Яндекса и Mail.Ru. Зачем эти базы собирались — понятно. Как и зачем их изначально планировали использовать — тоже понятно. Но вот кому понадобилось их вываливать в открытый публичный доступ в один и тот же день — загадка. Потому что сам по себе акт вываливания означает, что для нужд потрошения кошельков и прочего data mining все адреса в этих базах единовременно спалились. Эти аккаунты чохом, прямо по списку, заморозили не только Яндекс, Mail.Ru и их платёжные системы, но даже и соцсеть вКонтакте от греха ограничила доступ ко всем своим учётным записям, зарегистрированным на эти адреса электронной почты.

Можно, конечно, предположить, что кто-то из корифеев российского фишинга сошёл с ума, возжаждал анонимной славы, или решил спасти миллионы соотечественников от самого себя. Но это всё в логике бреда. Можно также допустить, что эти вбросы призваны были повлиять на курс бумаг MLRYY на Лондонской бирже и YNDX на NASDAQ, но над обесцениванием этих бумаг так успешно трудится политическое руководство страны, что хакерам смешно вступать в соревнование.

Остаётся ровно одно рациональное объяснение — в точности такое же, как у московского футбольного погрома летом 2002 года. Тогда готовилось принятие Думой ФЗ о противодействии экстремистской деятельности, и кому-то из пиарщиков пришло в голову, что картинки с горящими киосками и перевёрнутыми троллейбусами в центре Москвы хорошо помогут настроить общественное мнение в пользу подобных мер. Это были романтические времена, когда общественное мнение кого-то в России ещё заботило (ну или, по крайней мере, можно было освоить бюджеты на манипуляции). Сегодня времена изменились, о реальных настроениях улицы больше не задумываются, зато власть и обслуживающая её рать политтехнологов намертво присела на иглу телевизионного мифотворчества. История про миллионы паролей, якобы украденных при «взломе» сервисов Яндекса и Mail.Ru, вписывается в этот тренд не хуже байки про распятого в Донецке мальчика. Если кто-то решил покормить дорогих российских телезрителей страшилками про уязвимость негосударственных веб-почт — значит, мы скоро услышим о планах государства по решению этой проблемы.

Осталось только угадать, к внесению какого нового законопроекта или постановления правительства приурочен вброс. Основных вариантов два. Возможно, нас ждёт какая-нибудь новая несусветная инициатива в сфере так называемой охраны персональных данных россиян. Охранять их будут, конечно же, не от крышуемых спецслужбами фишеров и рассылателей вирусов. И не от коррумпированных чиновников, сквозь пальцы которых утекли в публичный доступ все мыслимые базы МГТС, ГИБДД, БТИ, ЦБ РФ и ЕГРЮЛ со всеми мыслимыми персональными данными. Доступ всех этих жуликов к нашим персональным данным будет только расширен. А защищать нас будут от мировой закулисы, АНБ, всемирного жидобандеровского заговора и происков инопланетян. Для этого можно, например, попробовать запретить россиянам сообщать свои персональные данные сайтам и серверам, не имеющим соответствующей лицензии ФСБ. Или использовать анонимайзеры. Или без паспорта в Интернет ходить. Впрочем, предугадывать полёт казённой фантазии — дело неблагодарное.

Другой вариант, более «вегетарианский», состоит в том, что где-то во власти согласован проект очередного распила бюджетных денег на разработку цифрового аналога «Почты России». С поддержкой кириллических адресов и строгим соблюдением всех требований СОРМ. Для обоснования эпической сметы, куда заложена прибыль длинной цепочки посредников между государством и его айтишными подрядчиками, нужны страшилки — вот их и вбрасывают.

Какая из этих версий правильная, мы довольно скоро узнаем. Будь то новый ворох запретов, или новый айтишный распил — в ближайшие недели нам о нём объявят.

Что же до пользователей, пароли которых утекли в открытый доступ, им можно лишь посоветовать впредь относиться к своим данным аккуратнее. Не ходить по незнакомым ссылкам со стрёмным адресом, не открывать аттачменты из «писем счастья», придумать себе сложный пароль и менять его регулярно, не дожидаясь взломов и утечек. Ну и, разумеется, использовать все те возможности для дополнительной защиты аккаунтов, которые сегодня предоставляются любой сколько-нибудь серьёзной многопользовательской площадкой.

См. также:

Благодаря вредоносному ПО накоплена база из миллионов паролей пользователей Yandex и Mail.ru

Коллективное расследование: как появилась база данных с паролями аккаунтов «Яндекса»?

1000000 паролей от почтовых ящиков Яндекса утекли в сеть

m.habrahabr.ru
lagudal
07.09.2014 23:32

Сегодня на одном довольно широко известном ресурсе разместили базу email адресов с паролями от почтовых ящиков «Яндекса». База представляет собой текстовый документ, в котором заявлено 1 млн позиций.

С удивлением обнаружил там один из своих, и хотя пароль не был космической сложности, уж точно не для брута и словарей.

Когда именно, и по какой причине данная база утекла в сеть, остается неизвестным. В комментариях народ пишет, что из первых попавшихся 10 яшиков как минимум 8 являются на настоящий момент валидными.

В общем, дружно меняем пароли, пока представители «Яндекса» ищут крота.
***


Пользователи обнаружили базу с миллионом паролей от «Яндекс.Почты»

Компания утверждает, что утечки не было, а пароли могли быть похищены с помощью вирусов

Анастасия Голицына
Vedomosti.ru
08.09.2014, 10:21

Пользователи обнаружили на одном из форумов в интернете более миллиона паролей от почтовых ящиков «Яндекса», сообщил вчера поздно вечером пользователь сообщества «Хабрахабр». По его словам, речь идет о широко известном ресурсе, на котором «заявлено 1 млн позиций». Пользователи форума Bitcoin Security сообщают, что в базе 1 261 809 паролей.

Автор сообщения обнаружил в списке и собственный пароль от сервиса «Яндекса», и тот оказался правильным. В опубликованном списке свои адреса и пароли обнаружили некоторые пользователи Bitcoin Security. Корреспондент «Ведомостей» своих данных почты «Яндекса» в списке не нашел. Но обнаружил в базе пароль от почтового ящика одного из членов своей семьи — пароль оказался правильным. Многие пользователи «Яндекс.Почты» использовали достаточно простые пароли — например, пароль «123456», «123456789» и т. п.

По словам представителя «Яндекса», речь не идет о взломе сервиса или утечке: пароли могли быть похищены с помощью вирусов у самих пользователей. Подробности он пообещал прокомментировать позднее.
********

«Яндекс» заблокировал миллион почтовых ящиков

Компания заявила, что не имеет отношения к утечке данных

izvestia.ru
08.09.2014

На днях в открытый доступ попал список из 1,2 млн аккаунтов «Яндекса» с логинами и паролями в незашифрованном виде — о чем стало широко известно этой ночью. Это крупнейшая утечка данных в Рунете с участием «Яндекса» по меньшей мере с 2011 года — когда в поисковой выдаче можно было читать SMS абонентов мобильных операторов.

Крупнейшая по капитализации в Европе интернет-компания ($10,2 млрд) отреагировала на это блокировкой учетных записей — владельцам всех скомпрометированных почтовых ящиков предлагается ввести новый пароль.

«Яндекс» сразу заявил, что не имеет отношения к утечке данных — по мнению компании, пароли утекли с пользовательской стороны, в результате фишинга и подобных мошеннических действий со стороны злоумышленников.

Из тех скомпрометированных аккаунтов, в которые удалось попасть пользователям форумов, многие оказались заброшенными или малоиспользуемыми.

— Это скорее указывает на незаконный доступ к серверу с базой, чем на деятельность вредоносной программы. То есть люди давно завели себе адрес на «Яндекс.Почте» и с тех пор не пользовались им. Без экспертизы говорить наверняка нельзя, — отмечает гендиректор российской компании — разработчика антивируса Dr. Web Борис Шаров. — Подробностей инцидента мы не знаем. Поэтому возможны только предположения. Есть вероятность, что имело место незаконное проникновение на сервер с базой данных компании — виновата она в этом или нет, нельзя достоверно сказать без проведения экспертизы. Есть также вероятность того, что данные собраны с контрольного центра большой бот-сети — в этом случае компания сама ни при чем, виноваты пользователи, компьютеры которых заражены вредоносной программой.

По словам Вячеслава Закоржевского, руководителя группы исследования уязвимостей «Лаборатории Касперского», пока нет оснований полагать, что это взлом «Яндекса», тем более что в самой компании подтвердили, что пароли не хранятся в открытом виде.

— Нет информации о том, что это была одна, но масштабная фишинговая атака. Мы предполагаем, что эта база [логинов и паролей] — компиляция учетных записей, похищенных «традиционными» способами — фишинг, вредоносное ПО, брутфорс и т.п. В сети уже появились ресурсы (например, yaslit.ru), которые позволяют проверить, находится ли учетная запись в опубликованной базе. Если да, то следует немедленно поменять пароль и активировать двухфакторную авторизацию, — рассуждает эксперт. — Кому это может быть нужно — выкладывать базу украденных учетных записей на публичный ресурс? Очевидно, что злоумышленникам, зарабатывающим на похищенных аккаунтах, это невыгодно, так как компания и пользователи в скором времени отреагируют и поменяют пароли. То есть вероятнее всего, что кто-то по ошибке или из «альтруистических» целей выложил базу. Если же действительно «Яндекс» (или какую-то часть сервиса) взломали, то, возможно, это просто попытка привлечь внимание к проблеме недостаточной безопасности сервисов русского поисковика. Но у нас пока подтверждений этому нет.

Закоржевский отмечает, что для спасения от фишинга (фишинговые ресурсы мимикрируют под настоящие, «вылавливая» настоящие логины и пароли) нужно внимательнее следить за адресной строкой браузера: адрес должен начинаться с https://mail.yandex.ru; в браузерах успешная проверка SSL-сертификата, как правило, отображается зеленым замком.

— Мы тщательно проанализировали эту базу [утекших аккаунтов] и пришли к следующим выводам, — рассказали «Известиям» днем в понедельник в пресс-службе «Яндекса». — Речь не идет о взломе инфраструктуры «Яндекса», данные стали известны злоумышленникам в результате фишинга или вирусной активности на зараженных компьютерах некоторых пользователей. Это не целенаправленная атака, а результат сбора скомпрометированных аккаунтов в течение длительного периода времени. О 85% скомпрометированных аккаунтов из этой базы нам уже было известно: большинство из них уже несколько лет появляются в подобных списках. Мы предупреждали их владельцев и предлагали сменить пароль, но они этого не сделали. Это означает, что такие аккаунты либо заброшены, либо создавались роботами. Владельцам оставшихся 150 тыс. аккаунтов этой ночью мы сбросили пароль, и они не смогут войти в ящик, пока не поменяют его. Если вы не видите такого предупреждения от «Яндекса», то вашего аккаунта нет в опубликованном списке и можно не беспокоиться.


См. также:
1 000 000 уже неработающих паролей в открытом доступе. Как мы защищаем пользователей Яндекса

Благодаря вредоносному ПО, накоплена база из миллионов паролей пользователей Yandex и Mail.ru