Для викрадення паролів користувачів «Яндекса» і Mail.ru зловмисники експлуатували уразливість в безкоштовному ПО
02.09.2014
Експерти вважають, що витік стався в результаті злому шляхом експлуатації уразливість нульового дня в сервісі або системи управління базами даних.
Виною масових витоків електронних адрес і паролів користувачів сервісів «Яндекс.пошта» і Mail.ru стали уразливості в безкоштовному ПЗ, використовуваних компаніями. Про це повідомив партнер Google в Росії по просуванню продуктів техногиганта, зокрема сервісу Gmail - Cloudseller.
На думку експертів витік стався в результаті злому шляхом експлуатації уразливість нульового дня в сервісі або системи управління базами даних. Шахраї отримали імена користувачів і хеши паролів, які згодом були розшифровані. Саме цим експерти пояснюють наявність у витекли базах великої кількості простих паролів. У Cloudseller відзначили, що в компанії ні в якому разі не повідомлять, яку саме вразливість експлуатували хакери для здійснення злому.
Cloudseller не виключає можливості викрадення зловмисниками всієї бази даних користувачів. В цьому випадку, через деякий час вони здійснять брутфорс і отримають доступ до облікових записів з більш довгими і складними паролями.