Специалисты по информационной безопасности Mail.Ru Group провели исследование фрагмента базы, полученной от эксперта Алекса Холдена. Вывод: 99,982% учетных записей «Почты Mail.Ru» в проанализированной базе невалидны. С высокой долей вероятности она скомпилирована из фрагментов многочисленных старых баз логинов-паролей от взлома различных онлайн-сервисов, где юзеры использовали в качестве логина свою электронную почту. Это заставляет предположить, что данный отчет — грамотный информационный вброс, направленный на привлечение внимания к бизнесу Холдена в области оказания услуг по кибербезопасности.
22,56% проанализированных учетных записей содержат вообще никогда не существовавший адрес электронной почты, еще 64,27% — неправильный пароль, в базе также присутствуют записи, указанные вообще без пароля (0,74%). Оставшиеся 12,42% аккаунтов уже проходят в «Почте Mail.Ru» как подозрительные (то есть по мнению нашей системы существуют основания полагать, что они либо были взломаны, либо созданы роботом) и заблокированы. Это означает, что войти в них по паролю невозможно, и владельцу необходимо пройти процедуру восстановления доступа.
Всего 0,018% пар логинов-паролей, содержащихся в проанализированном фрагменте, могли быть рабочими. Владельцы этих ящиков уже получили уведомление о необходимости сменить пароль.
На 15% база состоит из учетных записей, в которых одному и тому же логину соответствует девять и более паролей. В большинстве своем это не настоящие пароли, а сгенерированные злоумышленниками варианты, которые в дальнейшем могут использоваться для брутфорса. Как правило, они создаются на основе популярных паролей и личных данных пользователей. Такие базы тоже встречаются для продажи на черном рынке и, по всей видимости, вошли в компиляцию для достижения эффекта «громких цифр».
Базы логинов и паролей пользователей почтовых служб — востребованный товар на черном рынке. Поскольку крупные почтовые сервисы, как правило, надежно защищены от взлома, чаще всего подобные базы получают с помощью взлома более мелких ресурсов, например, форумов, мелких онлайн-магазинов или торрент-трекеров, где в качестве логина пользователи указывают почтовый адрес, а в качестве пароля, зачастую, пароль аналогичный паролю от почтового аккаунта. Специалисты «Почты Mail.Ru» постоянно отслеживают появление таких баз в сети и проверяют их содержимое на соответствие учетным записям Mail.Ru. Если данные совпадают, скомпрометированный почтовый ящик блокируется, и его владелец вынужден пройти процедуру восстановления доступа.
«Информация, представленная в отчете Холдена, подана так, чтобы вызвать ажиотаж огромными цифрами, однако ее реальная ценность крайне низка. По словам самого Холдена, 99,55% имеющихся в базе пар логинов и паролей — старые. По результатам нашего расследования, число старых или невалидных учетных записей еще выше — 99,982%. Кроме того, мы сами постоянно ищем в сети такие базы и проверяем их, чтобы оперативно принимать меры для защиты наших пользователей. Все это заставляет предположить, что данный отчет — это грамотный информационный вброс, направленный на привлечение внимания к бизнесу Холдена в области оказания услуг по кибербезопасности. Большое количество аккаунтов Mail.Ru в базе также объясняется просто — база была куплена Холденом по его признанию у русского „хакера“, а мы крупнейшая почтовая служба в России и среди всех русскоязычных пользователей, — прокомментировала Анна Артамонова, вице-президент Mail.Ru Group, руководитель бизнес-подразделения „Почта и портал“. — Мы очень серьезно относимся к безопасности наших пользователей и гордимся своими специалистами в этой области. Нам больно, что таким образом незаслуженно бросается тень на их имидж».
Выводы специалистов Mail.Ru Group подтверждают независимые эксперты. «С крайне большой долей вероятности эта база собрана в результате нескольких фишинговых атак, с помощью рассылки пользователям фишинговых сообщений. Об этом говорит довольно низкое качество базы, поскольку она содержит небольшое количество реально работающих аккаунтов. Если бы злоумышленниками были найдены уязвимости, которые позволили получить доступ к аккаунтам сразу нескольких почтовых сервисов, то качество базы, как и ее цена были бы совершенно другими», — прокомментировал Юрий Наместников, антивирусный эксперт «Лаборатории Касперского».
«Почта Mail.Ru» планомерно работает над повышением уровня своей безопасности и образованию пользователей. В прошлом году в ней появилась двухфакторная аутентификация — это один из самых эффективных на сегодняшний день методов защиты аккаунта. Работа в «Почте» и на главной странице портала Mail.Ru по умолчанию идет по протоколу HTTPS — перейти на HTTP нельзя даже вручную. Сбор почты через почтовые программы возможен также только по безопасному соединению. Введен ряд ограничений на создание слишком простых паролей. Новым пользователям закрыта возможность выбрать секретный вопрос как метод восстановления доступа к ящику. Помимо этого, за последние несколько лет были внедрены такие фичи, как HTTPOnly cookie, Secure Cookie, Content Security Policy и разделение пользовательских сессий при доступе к различным проектам единого информационного портала Mail.Ru. «Почта Mail.Ru» стала одним из первых сервисов Mail.Ru Group, реализующих постоянно действующую программу поиска уязвимостей на международной платформе HackerOne.
