Yandex выявил сотрудника, предоставлявшего доступ к чужим почтовым ящикам

123 4
SeVlad
На сайте с 03.11.2008
Offline
1432
391

В махинациях с почтовыми ящиками был уличён один из трёх главных администраторов службы технической поддержки сервиса, имевших полный доступ к инфраструктуре. В результате инцидента было скомпрометировано 4887 почтовых ящиков пользователей Яндекс.Почта.

Неавторизованный доступ в скомпрометированные ящики уже заблокирован. Их владельцы получили уведомление о необходимости смены пароля от своей учетной записи. 


https://yandex.ru/company/press_releases/2021/2021-02-12

Компания Яндекс — Главные новости — Служба безопасности Яндекса раскрыла факт внутренней утечки
Компания Яндекс — Главные новости — Служба безопасности Яндекса раскрыла факт внутренней утечки
  • yandex.ru
В ходе регулярной проверки службой безопасности Яндекса был раскрыт факт внутренней утечки. Во время внутреннего расследования было обнаружено, что сотрудник предоставлял несанкционированный доступ в почтовые ящики пользователей. Это был один из трех системных администраторов, обладавших такими правами доступа, необходимыми для выполнения...
Делаю хорошие сайты хорошим людям. Предпочтение коммерческим направлениям. Топики помощи с ⓌordPress (https://searchengines.guru/ru/forum/1032910 ) и основы безопасности сайтов ( https://searchengines.guru/ru/forum/774117 ). *** Помощь\консультации в топиках форума - БЕСПЛАТНО. Платные услуги ( https://wp.me/P3YHjQ-3 ) - с бюджетом от 150$ ***
alaev
На сайте с 18.11.2010
Offline
459
#1
Это какой-то нелепый вброс о создании иллюзии безопасности на фоне массовых жалоб на склик рекламы.
Продвижение сайтов - https://alaev.net
SeVlad
На сайте с 03.11.2008
Offline
1432
#2
alaev #:
на фоне
А ещё и погода паршивая..
alaev
На сайте с 18.11.2010
Offline
459
#3
SeVlad #:
А ещё и погода паршивая..

Не соглашусь. Погода - в шикарная, наконец-то настоящая русская зима, не то что в прошлом году.

А вот Яндекс - сомнительная контора. Не потому что какой-то админ слил пароли - это всего лишь человеческий фактор.

Они тогда без всякого официального запроса слили маршруты передвижения журналиста и другие его данные, ментам, которые ему потом подбросили наркотики.

И конечно же это был единственный случай))

богоносец
На сайте с 30.01.2007
Offline
696
#4
SeVlad :
владельцы получили уведомление о необходимости смены пароля от своей учетной записи

Ну сказать-то что-то успокоительное надо.

 утечка выглядела, как изменение настроек аккаунта, разрешался доступ чтобы через другую почту например mail можно было выгружать письма. и IP который в логах уже сервиса mail, а не vpn или чей-то еще. сотрудник просто включал доступ к протоколам которые изначально были отключены, и конечно же никаких уведомлений безопасности не было
  


S
На сайте с 20.03.2020
Offline
22
#5

По идее Яндекс не может знать пароль пользователя? Только его хеш. Так как пароли в хешированом виде. Из пароля можно получить хеш - а из хеша пароль получить нельзя. Я примерно так себе это представлял. Или в Яндексе построено так, что администраторы могут посмотреть прямо пароль пользователя?

Кто тут хорошо разбирается в этих моментах, поясните пожалуйста.

Хостинг от 119р в месяц | VPS от 170р в месяц |Быстрая поддержка (https://fas.st/Ha9Wc)
LevShliman
На сайте с 03.09.2018
Offline
89
#6
А потом народ удивляется, как это у него домены увели без подтверждений итд.
Живой трафик на сайт, наращивание поведенческих факторов и соцсигналов бесплатно https://superbuks.ru/
edogs software
На сайте с 15.12.2005
Offline
733
#7
Semiure #:
По идее Яндекс не может знать пароль пользователя?
Вы когда на яндекс входите что в поле набираете? Пароль? Пароль. И отправляете его куда? На яндекс? На яндекс.
Естественно яндекс может знать пароль пользователя.

Разработка крупных и средних проектов. Можно с криптой. Разумные цены. Хорошее качество. Адекватный подход.
edogs software
На сайте с 15.12.2005
Offline
733
#8
Semiure #:
администраторы могут посмотреть прямо пароль пользователя?
Человек "имевших полный доступ к инфраструктуре" в принципе может сделать абсолютно всё что угодно. В базе уже существующие пароли он может и не увидит, но поставить закладку которая их будет писать куда-нибудь при входе юзера - нет проблем. А с доступом к почте - можно кучу паролей узнать от других сервисов так или иначе.
Nefeliks Nefeliks
На сайте с 15.11.2008
Offline
377
#9
alaev #:
Это какой-то нелепый вброс о создании иллюзии безопасности на фоне массовых жалоб на склик рекламы.

Да это каждый год происходит с разными почтовиками. 

Заработок по CPL на бурж студентах! ( https://clck.ru/FLgij )
SeVlad
На сайте с 03.11.2008
Offline
1432
#10
alaev #:
Не соглашусь. Погода - в шикарная, наконец-то настоящая русская зима, не то что в прошлом году.

Зима была целых 4 дня перед НГ. А сейчас слякоть, грязюка, морось и суточная блотанка через ноль. Ну может кому-то это и шикарно.

alaev #:
А вот Яндекс - сомнительная контора.

Амин Я.Еды или  Я.Такси имели доступ к Я.Почте? Или всерьёз ты думаешь, что всё что Яндекс - одна контора? Кури что такое холдинг и молись на гугл - там конечно же всё отлично. :)

А твои обиды на ПС интересны разве что таким же обиженным. И я это понимаю (это не значит что разделяю), но они не имеет никакого отношения к данному случаю точно также так же как не имеет обсуждение погоды.

123 4

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий