Коллективное обращение к mail.ru и yandex.ru
#1
Отправлено 15 Июль 2012 - 23:55
Суть проблемы - на некоторых форумах , выкладывают сбрученные email адреса. Чаще всего, идут адреса на mail.ru и её вариациях (bk,inbox и проч.) и yandex.ru . Gmail очень редко, видимо защита хорошая и переборщик паролей не так просто написать. Еще проблема - авторегеры. Регается автоматически куча аккаунтов, потом с них спам рассылается.
Цель взлома почты у тех людей состоит в том, чтобы украсть steam аккаунт, вебмани аккаунт, яндекс деньги, origin аккаунт и прочее. Сейчас очень часто аккаунты World of Tanks воруют, благодаря взломанной почте. Еще есть такие люди, которые потом торгуют краденными аккаунтами. Они превращаются в кидал. Ты ему деньги за акк - он в ответ ''Этот пользователь добавил вас в бан лист'' и подобное.
И возникает вопрос, почему у российских почтовых сервисов такая слабая защита? Почему к ним брутфорс программы пишут, чекеры разные и прочее.
Нужно с этим бороться. Как это сделать?
Я вижу следующее решение. Нужно написать письмо в эти почтовые сервисы с просьбой усилить их защиту. Например, изменить так, чтобы все сегодняшние брутфорс программы стали не рабочими.
Можно сделать следующую защиту:
1. При заходе на сайт, вначале вводим только логин. Если он есть в базе, то переходим к пункту 2. Если нету, то ошибка.
2. На следующей странице нас требуют ввести капчу + еще какой нибудь вопрос типа : Напишите сколько будет 2+2, или , Скопируйте выделенное слово в строку ниже. Если вводим правильно, то переход к пункту 3. Неверно - ошибка.
3. И только тут вводим пароль.
4. Запрос опять ввести капчу.
5. Получаем доступ к почте
Можно и по другому как - нибудь усилить защиту, например, обязательно : пароль не меньше 10 символов, включая обязательно буквы разного регистра , цифры и символы.
Цель - сделать так, чтобы вопросы безопасности компании yandex и mail пересмотрели в лучшую сторону.
#2
Отправлено 16 Июль 2012 - 00:12
#3
Отправлено 16 Июль 2012 - 00:36
Все это конечно похвально, но нормальные люди уже давно не пользуются почтовыми сервисами Mail.ru и Yandex.ru.
Но не все же знают, какой сервис безопасней. Яндекс и Маил.ру я уверен, могут усилить защиту, там очень много умных людей работает. Нужно, чтобы кто-то именитый им намекнул на это. Обычного юзера врядли они всерьез воспримут. Но компания Доктор Веб могла бы это сделать, всё таки лидер по технологиям в плане безопасности. Если яндекс и маил серьезно займутся этим, то наверняка даже недели хватит, чтобы всё поправить и усилить защиту. Можно проанализировать те брутфорсы и чекеры, сделать защиту против них. Еще ведь есть способы подбирать через перебор ответы на секретный вопрос (с помощью словаря) . Она работает если POP или IMAP включены на аккаунте. Вроде так, точно не знаю.
#4
Отправлено 16 Июль 2012 - 00:41
Однажды мне понадобилось взломать мыло на mail.ru. Перво-наперво, конечно, забил "мыло" во все формы на Яндексе, Рамблере, Гугле и т.п. Вышло много инфы: и тебе имя, и тебе интересы, и дата рождения, и даже гражданство (да-да, представьте себе!). Ну и что с этим делать? Итак, найти: пароль или ответ на секретный вопрос (последнее не удалось найти никак). Дано: всё остальное. Решение задачи: восстановление "забытого пароля" через особую форму на mail.ru .
Пошёл я за "восстановлением". Ввёл всё правильно: ФИО, дата рождения, место жительства, короче - всё, кроме "пароля как Вы его помните" и "ответа на секр.вопрос как Вы его помните" - там я написал всякую лабуду. По идее, суть этой мэйловской формы заключается в том, что если вдруг "забыл" и пароль, и ответ на вопрос, то пароль можно восстановить, если знаешь хотя бы, как тебя зовут)). А я знал о владельце гораздо больше.
Отправил форму, и что же? Приходит сообщение: "данных, представленных Вами, недостаточно для восстановления пароля". При этом ВСЁ, кроме самого пароля и секретного вопроса, я указал 100% верно! Вопрос: зачем же тогда нужна эта форма? И решил поэкспериментировать.
Завёл себе "левый" ящик на mail.ru. Ввёл там регистрационные данные и решил "восстановить" забытый пароль через расширенную форму mail.ru . Зная, конечно, пароль и ответ на вопрос, предусмотрительно заполнил всю форму правильно, кроме пароля и ответа на вопрос. Через 3 часа приходит письмо: "данных недостаточно". Это меня очень взбесило, но я повторил свой запрос на "восстановление". И меня привлекло пояснение возле графы с паролем и ответом на вопрос: "напишите что помните, возможно просто не совпадает написание". Так-так, уже лучше!
При повторном запросе ввёл правильно свои рег. данные, а в графе "пароль" сделал следующее. У меня был истинный пароль hacker. А в форме для восстановления я указал частично совпадающее значение: HaCKoff. Два часа спустя - о чудо! приходит долгожданное письмо: Ваш запрос на восстановление пароля удовлетворён! Значит, делаем вывод: критерий для админов mail.ru при восстановлении пароля - наличие существенных совпадений в графах с паролем или ответом на вопрос с истинным паролем или ответом на вопрос.
Послал третий запрос на "восстановление" пароля. При этом указал заведомо неправильные рег. данные. Так и написал: Вася Пупкин, город Урюпинск, дата рождения - 1924 год (Тогда ещё Ленин жил). А в поле "пароль" оставил HaCKoff, частично совпадающий с истинным паролем hacker. И что Вы думаете? Мне, несмотря на все неправильные рег. данные, введённые в форме, только по частичному совпадению "пароля как я его помню" с истинным паролем - только по этому критерию!- "восстановили" забытый пароль.
Эксперименты привели к следующим выводам. При "восстановлении" пароля к чужому мылу через расширенную форму на mail.ru админы не смотрят на совпадение регистрационных данных пользователя вообще, а только оценивают степень совпадения данных в полях "Пароль как помните" и "ответ на вопрос как помните" реальной информации, и если степень совпадения достаточно велика, они "восстанавливают" пароль. Вы спросите: а зачем тогда вводить ФИО, дату рождения в этой форме? Да незачем, никто на эти данные не смотрит!
Появляется другой вопрос: какая степень совпадения "пароля и ответа как помните" в мэйловской форме будет достаточной для "восстановления"? Ещё несколько запросов я послал, и у меня получилось, что если пароль примерно на 50% по символам совпадает, админы высылают новый пароль, а если меньше - облом! В общем, безрадостная, господа, ситуация! Спрашивается: зачем нужна форма для восстановления пароля на mail.ru, если по правильно введённым рег. данным пользователя(ФИО, дата рождения и т.п.) нельзя получить пароль? Значит, плёвое это дело!
#5
Отправлено 16 Июль 2012 - 01:04
Doctor Web, Ltd.
#6
Отправлено 16 Июль 2012 - 01:10
#7
Отправлено 16 Июль 2012 - 01:57
попахивает от этой истории.Вот какую историю нашел:
Ты ему деньги за краденый акк - я правильно понял?Еще есть такие люди, которые потом торгуют краденными аккаунтами. Они превращаются в кидал. Ты ему деньги за акк - он в ответ ''Этот пользователь добавил вас в бан лист'' и подобное.
Весело сегодня на форуме...
#8
Отправлено 16 Июль 2012 - 07:03
#9
Отправлено 16 Июль 2012 - 07:48
конечно Mail.ru я не использую, но Яндекс (для домена) юзаю постоянно. Получается полу-нормальный человек?но нормальные люди уже давно не пользуются почтовыми сервисами Mail.ru и Yandex.ru.
Удобная штука, использую бесплатный вариантЕсть! гугл Apps for Business.
Regards, ezzo.
#10
Отправлено 16 Июль 2012 - 09:25
Ты ему деньги за краденый акк - я правильно понял?
Да, только ты не знаешь, краденный он или его личный. Может он краденный, а он говорит что личный. В стиме тоже перекупщики есть. Пару дней назад в стиме одного продавца забанили. http://forums.steampowered.com/forums/showthread.php?t=2804705 , еще на нескольких уже нашли данные, скоро и они будут забанены. Надо развернуть масштабную борьбу в стиме с перекупщиками.
#11
Отправлено 16 Июль 2012 - 09:34
НапишИте Путину.Нужно, чтобы кто-то именитый им намекнул на это.
#12
Отправлено 16 Июль 2012 - 09:52
НапишИте Путину.
Смеетесь что ли. Дайте отдохнуть ему
#13
Отправлено 16 Июль 2012 - 10:40
использую и то и другое - пока ничего не взломали...Все это конечно похвально, но нормальные люди уже давно не пользуются почтовыми сервисами Mail.ru и Yandex.ru.
а какие из бесплатных наиболее безопасны с точки зрения кражи/взлома?
#14
Отправлено 16 Июль 2012 - 10:47
Кстати, если с последний страницы только того форума (с 14 июля по сегодня) скопировать все емаил адреса, что там указанны например в ворд и посмотреть, сколько получилось, оказывается, что страниц получилось 2125 , а строк (то есть получается емаилов) - 44 957 ! Почти 50 тысяч.
#15
Отправлено 16 Июль 2012 - 10:55
А сколько из них одноразовых? Тот же мейлру активно использовался спамерами для массовых рассылок. После первой же рассылки адрес отправителя попадает в черный список. Но он больше и не нужен, для следующей рассылки регистрируется новый ящик. Я рассылками не занимался, но тем не мене приходилось заводить одноразовые ящики, когда на каких-либо сомнительных ресурсах для регистрации обязательно требовали адрес электронной почты.то есть получается емаилов) - 44 957 ! Почти 50 тысяч.
Сейчас у меня два почтовых ящика на мейлру. Основному уже лет 10. И никто его не взломал. Второй ящик -- левый -- для регистрации в сомнительных местах. Этому всего несколько лет. Ни одни из ящиков не взломан. Но, заметим, что я не использую в качестве паролей дату рождения, а в качестве секретных вопросов -- девичью фамилию матери
Программное обеспечение должно быть адекватным решаемым задачам.
#16
Отправлено 16 Июль 2012 - 10:55
#17
Отправлено 16 Июль 2012 - 10:59
При чем тут майл ру? Пусть у нас есть производитель стальных дверей, который ставит прочные двери с надежными замками. А пользователь ключ от замка по привычке держит у двери под коврикомМожет , если в маил ру отправить весь список, тогда они очухаются?
С другой стороны, если мне нужен левый одноразовый ящик, я хочу иметь право задать на него пароль типа qwe или asd. И был бы очнь огорчен, если бы мне это запретили.
Программное обеспечение должно быть адекватным решаемым задачам.
#18
Отправлено 16 Июль 2012 - 11:05
При чем тут майл ру?
Да при том, что даже старинные брутфорс программы работают до сих пор, чекеров тоже куча публичных. Они могли бы смотреть и улучшать защиту. Если сделают так, что при регистрации нужно обязательно указывать номер телефона, то всё. Взломов бы не было. И авторегеры не работали
если мне нужен левый одноразовый ящик
Можно использовать 10minutes mail и прочие сервисы на подобие этого
#19
Отправлено 16 Июль 2012 - 11:39
#20
Отправлено 16 Июль 2012 - 11:41
Бртуфорс программы работают потому, что пароль слабый. Пароль слабый потому, что пользователь его таким задал.Да при том, что даже старинные брутфорс программы работают до сих пор
То есть запретить использование слабых паролей, так? Я против. И уже описывал, почему именно.Они могли бы смотреть и улучшать защиту.
Против вдвойне. Тут после очень долгого перерыва вдруго потребовалось войти в контактик. Оп-ля! Теперь требуется указывать номер мобильника. Извините, но это идет на пользу не пользователям, а владельцам ресурса: так как теперь не получится регистрировать бесплатные аккаунты для тех же спамерских рассылок. Извимните, но я не увидел ни едтного момента выгоды указания мобильника для меня, так что отказался от контакта. Потребуют то же на мейлру, откажусь от мейлру. Пока у меня нет левого номера мобильного телефона для сомнительных мест, я не буду указывать номер при регистрации.Если сделают так, что при регистрации нужно обязательно указывать номер телефона, то всё.
А защита от брутфорса реализуется очень просто: не используйте слабые пароли.
Зачем? Меня и майлру вполне устраивает.Можно использовать 10minutes mail и прочие сервисы на подобие этого
Программное обеспечение должно быть адекватным решаемым задачам.
Читают тему: 1
0 пользователей, 1 гостей, 0 скрытых