Взлом почты на Mail.ru

22 октября 2016

Сегодня, 19.07.2016 года мне пришло сообщение о том, что пароль к почтовому ящику на mail.ru был изменен. Естественно, я моментально сориентировался, сам поменял пароль и включил дополнительную защиту почтового ящика - через смс-код. Однако за те 2 минуты, что злоумышленники имели доступ к моему почтовому ящику на mail.ru - они успели получить все данные из почты. А может быть и вообще выгрузили все прямо из БД почтового сервера. Сомневаюсь, что кто-то долго и упорно ковырялся в десятках созданных мной папок и искал в них что-то конкретное...

Итак, кроме того, что был изменен пароль к почтовому ящику, был запрос на напоминание пароля от моего хостинга, на котором, в том числе, размещен этот блог. Естественно, мне стало интересно, кто такой бойкий и кому понадобилось вскрывать мой ящик, да еще и кому понадобился мой, по сути, совсем не популярный блог, на который у меня даже времени нет и я его почти не наполняю. Я посмотрел IP постороннего посетителя почтового ящика, скопировал его и начал вставлять в яндекс различные запросы с этим ip-адресом.

В итоге, через пару минут, я наткнулся на сегодняшнюю новость:

Взломан главный сайт Linux Ubuntu

Подробнее: http://www.cnews.ru/news/top/2016-07-19_vzloman_glavnyj_sajt_ubuntu_linux

Приведу полный текст новости в виде цитаты:

19.07.2016, ВТ, 09:30, Мск
Компания Canonical сообщила о взломе сайта Ubuntu с помощью инъекции SQL-кода. Хакеры узнали логины, адреса электронной почты и IP примерно 2 млн пользователей.
Компания Canonical, разработчик Ubuntu, одной из самых популярных ОС, основанных на ядре Linux, продолжает ликвидировать последствия атаки на сайт Ubuntu Forums. О взломе стало известно вечером 14 июля 2016 г., когда пользователи сайта сообщили, что у неизвестного лица есть копия баз данных форумов.
Как Canonical узнала об атаке на форумы
Предварительная проверка подтвердила утечку данных, и Ubuntu Forums прекратил работу из соображений безопасности. Дальнейшее исследование проблемы выявило внедрение SQL-кода в дополнение Forumrunner к форумному движку vBulletin. Компании было известно об уязвимости Forumrunner, но, несмотря на это, она не была исправлена.
К каким данным получили доступ хакеры
Инъекция SQL-кода на сервере баз данных открыла злоумышленникам доступ ко всем базам данных форума, но Canonical утверждает, что компрометации подверглась только часть этих данных. Злоумышленники скачали адреса электронной почты, логины и IP-адреса примерно 2 млн его пользователей.
В результате взлома к хакерам попали логины, адреса электронной почты и IP примерно 2 млн пользователей Ubuntu
Действующие пароли в руки взломщиков не попали, поскольку хранились в хэшированном виде.
Canonical ручается, что злоумышленники не имели доступа к другим сервисам сайта. Они не смогли вмешаться в работу репозитория кода Ubuntu и механизмов обновления, и не смогли получить права записи в базах данных.
Ликвидация последствий взлома
Устраняя последствия взлома, компания скопировала, почистила и перестроила с нуля все серверы, работающие с vBulletin. Форумный движок vBulletin был обновлен, а административные пароли ко всем системам и базам данных были изменены. Для предотвращения дальнейших атак Canonical установила защитное приложение ModSecurity, а также реорганизовала систему наблюдения за vBulletin. Компания принесла пользователям извинения за неудобства.

А теперь от себя. Во-первых, не знаю, каким пользователям компания принесла извинения, но мне точно ни устно, ни письменно не приносила, во-вторых, если действующие пароли в руки злоумышленников не попали, то как же им удалось войти в мою почту и изменить пароль? В-третьих, я боюсь там были не только логины и пароли, но и содержимое самих почтовых ящиков - то есть, сами письма, причем без какого-либо шифрования, в открытом виде. Таким образом - злоумышленникам удалось получить доступ к моему личному кабинету на хостинге NIC.RU

То есть, проблема не устранена и не может быть устранена! MAIL.RU хранит письма без шифрования, а Canonical нагло врет клиентам о безопасности.

Наша почта у злоумышленников уже в открытом виде хранится и все, кто попал в список жертв этих персонажей, еще долго будут в красной зоне. В любой момент любой ваш аккаунт может быть взломан и вы об этом не узнаете. Рекомендую АБСОЛЮТНО ВСЕ АККАУНТЫ, привязанные к почтовому ящику на MAIL.RU обновить - сменить всем аккаунтам пароли.

Отчет MAIL.RU о входе с постороннего IP:

Берн, Швейцария (179.43.128.202)
Проверка почты 16:18 браузер Firefox (Linux)
Изменен пароль 16:17 браузер Firefox (Linux)