База с миллионом паролей была выложена вчера на одном из интернет-форумов.
«Мы проанализировали эту базу и совершенно уверены, что она получена не в результате взлома наших сервисов», — говорится в сообщении «Яндекса». Специалисты компании считают, что база собиралась в течение долгого времени, а не в результате целенаправленной атаки. Злоумышленники получали доступ к учетным данным пользователей разными способами – с помощью фишинга, вирусов или кросс-чека (когда люди используют одинаковые пароли на разных ресурсов, взлом одного из них означает, что скомпрометированы все).
В пользу этого вывода свидетельствует то, что среди паролей в списке есть такие, которые давно не разрешается использовать при создании новой учетной записи в «Яндекс.Почте» (например, «qwerty»). О 85% аккаунтов из выложенной базы было известно и до этого – большинство из них появляются в подобных списках уже несколько лет, утверждают в «Яндексе».
В компании также предлагают пользователям почтового сервиса не искать этот список логинов и паролей и проверять, нет ли там их данных – всех попавших в опубликованный список «Яндекс» уже оповестил и сбросил их пароли.