Ранее на этой неделе компания Hold Security утверждала, что некий хакер из российской глубинки выставил на продажу (за 50 рублей) базу учетных данных 272 млн аккаунтов Gmail, Yahoo, Microsoft и Mail.ru. http://pikabu.ru/story/rossiyskiy_khaker_prodaet_272_000_000... По данным Hold Security, база содержала 57 млн аккаунтов Mail.ru, и специалисты российской компании не могли оставить это заявление без внимания. Исследователи Mail.ru изучили фрагмент базы, предоставленный им главой Hold Security, и пришли к выводу, что база неактуальна на 99,9%.

Предварительный анализ Mail.ru, опубликованный 4 мая 2016 года, уже демонстрировал некий скепсис по отношению к информации Hold Security. Тогда представители Mail.ru писали: «Исследование первой рандомной выборки показало, что [база] не содержит паролей, подходящих к активным живым аккаунтам». Однако эксперты пообещали продолжить изучение материала и опубликовать более подробную оценку позднее.

Сегодня, 6 мая 2016 года, Mail.ru представила новый пресс-релиз, который окончательно опровергает ценность находки Hold Security. Приводим заключение специалистов Mail.ru ниже.

«Специалисты по информационной безопасности Mail.Ru Group провели исследование фрагмента базы, полученной от эксперта Алекса Холдена. Вывод: 99,982% учетных записей Почты Mail.Ru в проанализированной базе невалидны. С высокой долей вероятности она скомпилирована из фрагментов многочисленных старых баз логинов-паролей от взлома различных онлайн-сервисов, где юзеры использовали в качестве логина свою электронную почту. Это заставляет предположить, что данный отчет — грамотный информационный вброс, направленный на привлечение внимания к бизнесу Холдена в области оказания услуг по кибербезопасности.

22,56% проанализированных учетных записей содержат вообще никогда не существовавший адрес электронной почты, еще 64,27% — неправильный пароль, в базе также присутствуют записи, указанные вообще без пароля (0,74%). Оставшиеся 12,42% аккаунтов уже проходят в Почте Mail.Ru как подозрительные (то есть по мнению нашей системы существуют основания полагать, что они либо были взломаны, либо созданы роботом) и заблокированы. Это означает, что войти в них по паролю невозможно, и владельцу необходимо пройти процедуру восстановления доступа.

Всего 0,018% пар логинов-паролей, содержащихся в проанализированном фрагменте, могли быть рабочими. Владельцы этих ящиков уже получили уведомление о необходимости сменить пароль.

На 15% база состоит из учетных записей, в которых одному и тому же логину соответствует девять и более паролей. В большинстве своем это не настоящие пароли, а сгенерированные злоумышленниками варианты, которые в дальнейшем могут использоваться для брутфорса. Как правило, они создаются на основе популярных паролей и личных данных пользователей. Такие базы тоже встречаются для продажи на черном рынке и, по всей видимости, вошли в компиляцию для достижения эффекта «громких цифр».

Базы логинов и паролей пользователей почтовых служб — востребованный товар на черном рынке. Поскольку крупные почтовые сервисы, как правило, надежно защищены от взлома, чаще всего подобные базы получают с помощью взлома более мелких ресурсов, например, форумов, мелких онлайн-магазинов или торрент-трекеров, где в качестве логина пользователи указывают почтовый адрес, а в качестве пароля, зачастую, пароль аналогичный паролю от почтового аккаунта. Специалисты Почты Mail.Ru постоянно отслеживают появление таких баз в сети и проверяют их содержимое на соответствие учетным записям Mail.Ru. Если данные совпадают, скомпрометированный почтовый ящик блокируется, и его владелец вынужден пройти процедуру восстановления доступа.

“Информация, представленная в отчете Холдена, подана так, чтобы вызвать ажиотаж огромными цифрами, однако ее реальная ценность крайне низка. По словам самого Холдена, 99,55% имеющихся в базе пар логинов и паролей – старые. По результатам нашего расследования, число старых или невалидных учетных записей еще выше — 99,982%. Кроме того, мы сами постоянно ищем в сети такие базы и проверяем их, чтобы оперативно принимать меры для защиты наших пользователей. Все это заставляет предположить, что данный отчет — это грамотный информационный вброс, направленный на привлечение внимания к бизнесу Холдена в области оказания услуг по кибербезопасности. Большое количество аккаунтов Mail.Ru в базе также объясняется просто — база была куплена Холденом по его признанию у русского “хакера”, а мы крупнейшая почтовая служба в России и среди всех русскоязычных пользователей, — комментирует Анна Артамонова, вице-президент Mail.Ru Group, руководитель бизнес-подразделения Почта и портал. — Мы очень серьезно относимся к безопасности наших пользователей и гордимся своими специалистами в этой области. Нам больно, что таким образом незаслуженно бросается тень на их имидж”.

Выводы специалистов Mail.Ru Group подтверждают независимые эксперты.

“С крайне большой долей вероятности эта база собрана в результате нескольких фишинговых атак, с помощью рассылки пользователям фишинговых сообщений. Об этом говорит довольно низкое качество базы, поскольку она содержит небольшое количество реально работающих аккаунтов. Если бы злоумышленниками были найдены уязвимости, которые позволили получить доступ к аккаунтам сразу нескольких почтовых сервисов, то качество базы, как и ее цена были бы совершенно другими”, — комментирует Юрий Наместников, антивирусный эксперт “Лаборатории Касперского”».

Предварительный анализ Mail.ru, опубликованный 4 мая 2016 года https://corp.mail.ru/ru/press/releases/9607/

Пресс релиз 6 мая 2016 года https://corp.mail.ru/ru/press/releases/9611/

Пост https://xakep.ru/2016/05/06/mail-ru-about-hold-sec/