«Яндекс» улучшил защиту аккаунтов Яндекс ID
6 октября 2021 года «Яндекс» сообщил об улучшении механизма защиты аккаунтов Яндекс ID. Теперь система будет присылать пользователю push-уведомления обо всех входах в Яндекс ID, чтобы пользователь мог сразу заметить факт незаконного входа и закрыть аккаунт от злоумышленников. «Яндекс» также начал проверять пароли пользователей на безопасность при каждом их вводе по базе из 1,2 млрд скомпрометированных паролей.
«Яндекс» пояснил, что будет пополнять базу скомпрометированных паролей, которая содержит информацию, находящуюся в публичном доступе или утекшую в сеть. Если «Яндекс» обнаружит, что пароль пользователя был скомпрометирован, то просит его сменить и подтвердить это с помощью кода из смс.
Руководитель Яндекс ID заверил, что все пароли «Яндекс» хранит и передает в зашифрованном виде, а теперь будет постоянно их проверять, чтобы избежать ситуации попадания паролей к злоумышленникам.
В февраля этого года «Яндекс» рассказал о компрометации 4887 почтовых ящиков пользователей по вине своего системного администратора с высоким уровнем доступа. Инцидент с утечкой данных был раскрыт в ходе регулярной проверки службой безопасности «Яндекса», пострадавшие пользователи уведомлены о проблеме, их почтовые ящики заблокированы. «Яндекс» после этого инцидента пересмотрел процессы работы сотрудников, обладающих административными правами высокого уровня доступа.