[Из песочницы] Коллективное расследование: как появилась база данных с паролями аккаунтов «Яндекса»?

Прочитав новость об утечке базы паролей «Яндекса» и официальное заявление «Яндекса» вместе с комментариями, стало понятно, что ситуация запутанная и некоторые думают, что база утекла из самого «Яндекса».Увидев недоверие пользователей, я решил сопоставить все факты и логически выявить наиболее вероятный вариант появления базы:

1. Брутфорс;2. Фишинг;3. Кросс-чек;4. Утечка с компьютеров пользователей;5. Утечка из Яндекса;6. Утечка из спецслужб;7. База составлена за долгое время из разных источников;8. Через мобильных операторов (если привязан телефон).

1. БрутфорсНапрямую сбрутфорсить пароли вида »51iII%jch^f6» практически нереально или нецелесообразно, даже если бы не было никакой защиты от брутфорса. Тут, я думаю, комментарии излишни.2. Фишинг Некоторые пользователи в комментария утверждают, что не пользовались почтой с 2005 года, либо вообще давно забыли пароль. Если эти высказывания принять за истину (при беглом осмотре профилей не видно ничего подозрительного), даже если фишинг имеет место быть, то эта БД — не единый случай массового фишинга.3. Кросс-чек Опять же, в комментариях утверждают, что пароль стоял только на почте и на хабре. Вряд ли сломали пароль от хабра, а потом от почты. Даже если сломали от хабра, то это не массовое явление (если у кого-то тоже такой вариант исключен — пишите в комментариях).4. Утечка с компьютеров пользователей Хотя этот вариант возможен, но все-равно есть сомнения, что у некоторых пользователей могли украсть пароль данным способом. Нужны более убедительные примеры (если есть — пишите в комментариях).5. Утечка из Яндекса Фактов нет. Единственная возможность опровергнуть — доказать обратное. Можно заметить, что если Яндекс хранит хэши паролей, то некоторые пароли пришлось бы брутфорсить очень долго. Пример: для хэша md5 без соли из пароля с символами latin small + large + numbers + special characters длинной в 10 символов существует 96 ^ 10 = 66483263599150104576 вариантов. Чтобы перебрать такое количество вариантов, например, с помощью такой программы и мощного видеоадаптера (возьмем, для примера, скорость 5000М/s) потребуется (96 ^ 10 / 5000000000 / 60 / 60 / 24 / 365) примерно 421 год или 421 мощный видеоадаптер и 1 год. В данном пароле из базы »03jkd64k57d6t9h6$! X&» — 20 символов, что потребует намного больше времени или вычислительных мощностей.6. Утечка из спецслужб Это какая-то треш-база. У спецслужб была бы база покачественнее. Ниже мои комментарии.7. База составлена за долгое время из разных источников Наиболее вероятный на мой взгляд вариант. Ниже мои рассуждения.8. Через мобильных операторов (если привязан телефон) Учитывая, что на Хабре обитают не глупые люди, разбирающиеся в информационной безопасности, то можно предположить, что пароли угнали каким-то образом через мобильного оператора. Не знаю, массовое явление было или нет, но недавно приятель рассказал мне о том, как у него угнали с Яндекс.Денег немаленькую сумму. Предварительно перед этим у него перестал находить сеть телефон. т.е. сим-карта перестала работать, как будто её восстановили в офисе оператора, а старую заблокировали. В этот промежуток времени как раз и были украдены деньги. Оператор сказал, что никакой информации о данном предположении нет — и выдал сим-карту заново, т.к. старая так и не заработала. Пруфов нет, возможно, кто-то поделится, если это массовое явление.Моё мини-расследование Сначала попробовал поискать случайным образом пароли со спец-символами, после чего гуглил эти ящики — нигде в интернете не встречаются. Я решил использовать меленькую лазейку «Вконтакте», которую давно обнаружил: проверил, на кого эти ящики зарегистрированы во «Вконтакте» следующим образом:1. Жмем восстановление пароля;2. Вводим почтовый ящик;3. У нас спрашивают, та ли эта страница, от которой мы хотим восстановить пароль — и отображает Имя Фамилия с аватаркой и городом;4. В поиске vk.com ищем по имени, фамилии и городу и сверяем аватарку;5. Если не находит, гуглим по имени и фамилии, перебираем страницы vk.com из поиска, сверяем аватарку;6. Если не находит, используем гугловский поиск по картинкам и копируем ссылку аватарки пользователя, если надо, то дописываем имя и фамилию в поиск;7. Profit.

Результат:

hellraiser84@yandex.ru:03jkd64k57d6t9h6$! X&iurusov.tolya@yandex.ru: hdkYwk*^2v2

Пользователи заблокированы или страница удалена. Не стал искать ссылки на страницы.

alisa.arhangelskaya@yandex.ru:51iII%jch^f6vk.com/id108362638

super.denvgj2010@yandex.ru: jgbkcvbf^sdlfewivk.com/id103201231(В поиске не нашлась страница, зато гугл нашел).

kijaka@yandex.ru: s1gh57NTS%%^%vk.com/id64404050(Нашел по аватарке через поиск картинок гугл + ввел имя фамилия).

Две страницы пустые, на первой какой-то спам.

Закономерностей тут особо нет, нужно проверить больше страниц, но мне все-таки удалось выявить некую закономерность на основе других данных: был обнаружен подозрительно популярный пароль, после чего другой пользователь заметил, что логины у этих паролей автоматически сгенерированы. Я заметил, что они раскиданы по разным частям файла случайным образом (как вариант:, а может и не случайным, т.к. возможно почтовые ящики идут в порядке времени регистрации. Но, учитывая, что в базе есть ящики 2005 года и есть зарегистрированные недавно, этот вариант маловероятен и другие варианты тоже). Такое ощущение, что эти почтовые ящики специально перемешали по всей базе, чтобы не вызвать подозрения и подтвердить статистику о том, что много валидных адресов и база не липовая.

Чтобы подтвердить одинаковое происхождение данных адресов, проверяем во «Вконтакте» данные почтовые ящики вышеописанным способом:

vla13854625@yandex.rudmi46685101@yandex.rudmi16144725@yandex.ru

Они зарегистрированы с одним и тем же именем, что ещё раз намекает, что данные почтовые ящики специально перемешаны с стальными для увеличения размера БД.

Что в итоге? Мне кажется, что «Яндекс» тут действительно не виноват. Я попытался сложить все факты воедино, логически рассуждать и выявить некоторые закономерности, которые могут хотя бы косвенно что-то доказывать.Предлагаю всем вместе обсудить данный вопрос. Приводите аргументы за и против данных предположений или предлагайте свои.

© Habrahabr.ru