Специалисты обнаружили в Сети текстовый файл, который содержит пароли и логины почти 1,26 миллионов аккаунтов «Яндекса».
Информация актуальна на сентябрь.
Ссылки на скачивание файла обнаружены пока только на двух форумах – forum.btcsec.com и infosliv.ru.
Авторы публикации заявляют, что свыше 90% паролей в документе используются пользователями и сегодня.
В общей сложности документ, объемом почти 38,1 мегабайт включает 1261808 записей.
На форуме forum.btcsec.com один из постоянных пользователей сообщил, что в списке смог обнаружить свой старый аккаунт, который уже не использовался. При этом пароль оказался реальным.
Представители «Яндекса» уже заявили, что в текстовом файле пароли никак не могли быть получены злоумышленниками, даже после получения полного доступа к серверу, поскольку пароли всегда хранятся в зашифрованном виде. В «Яндексе» также отметили, что опубликованы, скорее всего, данные от устаревших учетных записей.
Специалисты «Яндекса» уже изучают список. Пока нет оснований считать, что в числе скомпрометированных аккаунтов есть те, которые принадлежат реальным пользователям (используются).
Есть вероятность, что в списке много учетных записей, о взломе которых компания уже знает – для них уже проведена процедура восстановления пароля. Поскольку информация хранится в зашифрованном виде, маловероятно, что это «утечка» или целенаправленный взлом.
Вполне возможно, что список состоит из паролей и логинов, которые ранее были взломаны различными способами.
Пользователи, проанализировавшие файл, обнаружили, что пароль «123456» попадается в списке почти 38 тысяч раз, «111111» почти 9,5 тысяч раз, «123456789» – почти 13 тысяч раз, а пароль «qwerty» – почти 7,7 тысяч раз. В категорию наиболее популярных также попали пароли «666666», «000000», «123321», «7777777» и другие.
Для проверки, есть ли в опубликованном файле определенный логин, можно использовать сервис yaslit.ru.