Mail.ru: Многомиллионая база логинов-паролей это грамотный информационный вброс
Ранее на этой неделе компания Hold Security утверждала, что некий хакер из российской глубинки выставил на продажу (за 50 рублей) базу учетных данных 272 млн аккаунтов Gmail, Yahoo, Microsoft и Mail.ru. http://pikabu.ru/story/rossiyskiy_khaker_prodaet_272_000_000... По данным Hold Security, база содержала 57 млн аккаунтов Mail.ru, и специалисты российской компании не могли оставить это заявление без внимания. Исследователи Mail.ru изучили фрагмент базы, предоставленный им главой Hold Security, и пришли к выводу, что база неактуальна на 99,9%.
Предварительный анализ Mail.ru, опубликованный 4 мая 2016 года, уже демонстрировал некий скепсис по отношению к информации Hold Security. Тогда представители Mail.ru писали: «Исследование первой рандомной выборки показало, что [база] не содержит паролей, подходящих к активным живым аккаунтам». Однако эксперты пообещали продолжить изучение материала и опубликовать более подробную оценку позднее.
Сегодня, 6 мая 2016 года, Mail.ru представила новый пресс-релиз, который окончательно опровергает ценность находки Hold Security. Приводим заключение специалистов Mail.ru ниже.
«Специалисты по информационной безопасности Mail.Ru Group провели исследование фрагмента базы, полученной от эксперта Алекса Холдена. Вывод: 99,982% учетных записей Почты Mail.Ru в проанализированной базе невалидны. С высокой долей вероятности она скомпилирована из фрагментов многочисленных старых баз логинов-паролей от взлома различных онлайн-сервисов, где юзеры использовали в качестве логина свою электронную почту. Это заставляет предположить, что данный отчет — грамотный информационный вброс, направленный на привлечение внимания к бизнесу Холдена в области оказания услуг по кибербезопасности.
22,56% проанализированных учетных записей содержат вообще никогда не существовавший адрес электронной почты, еще 64,27% — неправильный пароль, в базе также присутствуют записи, указанные вообще без пароля (0,74%). Оставшиеся 12,42% аккаунтов уже проходят в Почте Mail.Ru как подозрительные (то есть по мнению нашей системы существуют основания полагать, что они либо были взломаны, либо созданы роботом) и заблокированы. Это означает, что войти в них по паролю невозможно, и владельцу необходимо пройти процедуру восстановления доступа.
Всего 0,018% пар логинов-паролей, содержащихся в проанализированном фрагменте, могли быть рабочими. Владельцы этих ящиков уже получили уведомление о необходимости сменить пароль.
На 15% база состоит из учетных записей, в которых одному и тому же логину соответствует девять и более паролей. В большинстве своем это не настоящие пароли, а сгенерированные злоумышленниками варианты, которые в дальнейшем могут использоваться для брутфорса. Как правило, они создаются на основе популярных паролей и личных данных пользователей. Такие базы тоже встречаются для продажи на черном рынке и, по всей видимости, вошли в компиляцию для достижения эффекта «громких цифр».
Базы логинов и паролей пользователей почтовых служб — востребованный товар на черном рынке. Поскольку крупные почтовые сервисы, как правило, надежно защищены от взлома, чаще всего подобные базы получают с помощью взлома более мелких ресурсов, например, форумов, мелких онлайн-магазинов или торрент-трекеров, где в качестве логина пользователи указывают почтовый адрес, а в качестве пароля, зачастую, пароль аналогичный паролю от почтового аккаунта. Специалисты Почты Mail.Ru постоянно отслеживают появление таких баз в сети и проверяют их содержимое на соответствие учетным записям Mail.Ru. Если данные совпадают, скомпрометированный почтовый ящик блокируется, и его владелец вынужден пройти процедуру восстановления доступа.
“Информация, представленная в отчете Холдена, подана так, чтобы вызвать ажиотаж огромными цифрами, однако ее реальная ценность крайне низка. По словам самого Холдена, 99,55% имеющихся в базе пар логинов и паролей – старые. По результатам нашего расследования, число старых или невалидных учетных записей еще выше — 99,982%. Кроме того, мы сами постоянно ищем в сети такие базы и проверяем их, чтобы оперативно принимать меры для защиты наших пользователей. Все это заставляет предположить, что данный отчет — это грамотный информационный вброс, направленный на привлечение внимания к бизнесу Холдена в области оказания услуг по кибербезопасности. Большое количество аккаунтов Mail.Ru в базе также объясняется просто — база была куплена Холденом по его признанию у русского “хакера”, а мы крупнейшая почтовая служба в России и среди всех русскоязычных пользователей, — комментирует Анна Артамонова, вице-президент Mail.Ru Group, руководитель бизнес-подразделения Почта и портал. — Мы очень серьезно относимся к безопасности наших пользователей и гордимся своими специалистами в этой области. Нам больно, что таким образом незаслуженно бросается тень на их имидж”.
Выводы специалистов Mail.Ru Group подтверждают независимые эксперты.
“С крайне большой долей вероятности эта база собрана в результате нескольких фишинговых атак, с помощью рассылки пользователям фишинговых сообщений. Об этом говорит довольно низкое качество базы, поскольку она содержит небольшое количество реально работающих аккаунтов. Если бы злоумышленниками были найдены уязвимости, которые позволили получить доступ к аккаунтам сразу нескольких почтовых сервисов, то качество базы, как и ее цена были бы совершенно другими”, — комментирует Юрий Наместников, антивирусный эксперт “Лаборатории Касперского”».
Предварительный анализ Mail.ru, опубликованный 4 мая 2016 года https://corp.mail.ru/ru/press/releases/9607/
Пресс релиз 6 мая 2016 года https://corp.mail.ru/ru/press/releases/9611/