Как стать автором
Обновить

Яндекс рассказал о компрометации 4887 почтовых ящиков по вине сисадмина с высоким уровнем доступа

Информационная безопасностьСистемное администрированиеIT-инфраструктураIT-компании
Всего голосов 35: ↑34 и ↓1+33
Просмотры18K
Комментарии 62

Комментарии 62

Интересно, кому и чьи данные слили.
Может у присутствующих здесь сотрудников Яндекса есть предположения?

Имхо, даже если у них и есть предположения, сомневаюсь что среди них есть слабоумные и отважные говорить об этом публично.
Ну вообще-то это пароли, номера и банковские ячейки…

"сотрудник предоставлял несанкционированный доступ в почтовые ящики пользователей."


то есть за деньги давал читать чужие емейлы сторонним людям?

Может быть даже отправлял письма от их имени или удолял подтверждения с каких-то сервисов.
получается так, удивительно, что яндекс признали это и сами сделали новость, уважение к компании стало больше, что могут признать свои ошибки и больше не допускать их
Может это анонс повышения цен? Типа смотрите что бывает, но теперь нам это делать «сложнее», потому заходите с весомыми предложениями.
На соответствующих форумах уже много лет торгуют доступом к ящикам яндекса за 25 тысяч рублей, в Яндексе, как они сами пишут, три человека имели такой уровень доступа, и они только сейчас его нашли!
Т.е. чувак сотку лямов «заработал»? Неплохо, неплохо.
А говорят, в Яндексе зарплаты не оч. высокие.

Меньше, там же посредники торгуют. Не знаю, сколько они берут, но по судебным делам над теми, кто данными сотовых компаний торговал, непосредственным исполнителям не больше половины.

Подозреваю, что торгуют силовики, т.к. помимо упомянутых трёх админов, у них полный доступ ко всему наверняка. Поэтому и не отлавливают особо. Все «свои».

Может и силовики. В любом случае, если бы Яндекс действительно хотел это пресечь, он бы за год вычистил рынок, проводя контрольные закупки по всем предложения продажи доступа. Для Яндекса это такие копейки, что даже смешно говорить.
Но, видимо не хотят. Mail.ru, кстати, тоже торгуют. Но в несколько раз дороже, чем яндексом.
А вообще силовикам нужен судебный приказ, это же тайна переписки. Хотя, о чем это я, мы не Европе какой, слава тебе Господи.

Ну вот вычислил Яндекс — и дальше что? Видимо, когда какие-то рычаги есть, то см. статью выше, а если там в погонах торгуют, что дальше? Это как с борделями и наркотиками и наркопритонами, все адреса/номера везде висят на виду и всем известны. Но, когда крышуют «нужные люди» жить на одном месте это может ооочень долго.

Я не думаю, что там прям какие-то крутые погоны стоят за ящиками по 25 тыс за штуку. Максимум какой капитан ФСБ. Так у них тоже есть УСБ, которым тоже показатели нужны.
Не, ну мне реально сложно представить, что бы про тот же gmail все знали, что можно купить все содержимое ящика за скромную плату, и Гуглу было на это пофиг.

А продаются реальные ящики конкретных людей?

Ну да, пишешь какой ящик надо, тебе его содержимое отправляют. В каком виде не знаю, не пробовал :)
если бы Яндекс действительно хотел это пресечь, он бы за год вычистил рынок, проводя контрольные закупки

Зачем далеко ходить? Сервисы платной накрутки для кармохабра много лет работают.
Про контрольные закупки хаброадминам говорили, "а воз и ныне там".


Я обличал жулика R4ABI (продававшего нерабочие наборы электронных плат после своих статеек с ошибками) в том, что у него тут 3 клона было, а силовой полевой транзистор в цепи 350В включен "вверх ногами", но за это только нахватал минусов.

Тут есть момент — когда кто-то начинал такую войну (используя закупки) сразу появлялись сотни и тысячи объявлений "продам", из которых 99% оказывались тупо разводом и разводом именно с учётом того что шанс попасть на контрольную закупку и получить денег нахаляву очень высок, а никаких данных никто не крал и даже не собирался. В итоге компания просто кормит мошенников, причем даже не без против кого начала войну.

Вообще-то на всех подобных торговых площадках есть услуги гарант сервиса, через которые проводят такие сделки. Без гаранта только идиоты могут работать

Это когда вам надо результат, как покупателю. Но ведь user343 не проверял через гаранта они там или нет. Без гаранта тоже полно. И сделаны именно с целью состричь бабла с лохов и с самих компаний, которые вынуждены будут делать закупки.

По этой утечке компания также обратилась в правоохранительные органы.

Не правоохранительным ли органам сотрудник предоставлял доступ?

Нет. Проблема состоит в том, что этот админ предоставлял конкурентный доступ к данным, а как мы знаем, конкурентный доступ создаёт условия гонки, которые ведут ко всяким неприятным последствиям.


Так что доступ должен быть монопольным — только по чиху левой пятки гэбни.

или не предоставлял и за это был наказан
Правоохранительным органам красный коврик расстилают к терминалу с доступом, без всяких утечек.

Т.е. Всё таки 4, 3 админа и проворган.

А что тут удивительного?
Кому нужна приватность ставит свой почтовик или арендует его за бугром.
Это как бухло у алкаша хранить, смешно же, что знают трое, знает весь мир.
Дооо, гмыл письма роботами не читает и доступ гэбне не даёт. Это же совсем другое!
И не банит всю почту безвозвратно, за комментарии в ютюбе
такими правами доступа, необходимыми для выполнения рабочих задач по обеспечению технической поддержки сервиса.
немного интересно, какие задачи требуют прямого доступа в почтовые ящики пользователей.
Проверка содержимого? Заявление о конфиденциальности читали? Как по вашему узнается что у вас содержимое почты адекватное? Сдается мне она «читается», о чем в том же соглашении прописано. Почта конфиденциальным сервисом никогда и не была.
Классика жанра для относительно молодых компаний. На заре, когда всё часто ломалось, избранным давался доступ на всё. Так стартует любой стартап. А потом устранять это дорого, долго и мучительно.
Так это не угон паролей, а именно «компрометация»? Есть смысл менять свой пароль? Надеюсь, plain-ом пароли не хранятся нигде…
В оригинальном сообщении Яндекс пишет: «Неавторизованный доступ в скомпрометированные ящики уже заблокирован. Их владельцы получили уведомление о необходимости смены пароля от своей учетной записи.»

А в неоригальном хабре написано, что сообщение о том, что их поимели, направлено на заблокированный ящик

Интересно, можно ли организовать шифрование так, чтобы расшифровывать данные можно было только с согласия двух администраторов?

Наверное можно, но проще будет реализовать это на уровне контроля прав.
В теории легко:

Генерируем рандомный «мастер_ключ» и шифруем все содержимое этим «мастер_ключ»

Сам «мастер_ключ» шифруем паролем пользователя, и храним на сервере только «шифрованный_пользователем_мастер_ключ»

так-же создаем «админский» ключ как
админский_ключ_шифрования = sha512(sha512(админский_пароль1) + sha512(админский_пароль1) + salt)

И шифруем тот-же пользовательский мастер_ключ этим админским ключем, и схораняем его тоже.

Тем самым, пользователь всегда сможет получить доступ по своему паролю. А админы должны «собраться вместе» что-бы расшифровать свой «админский ключ»
Я просто привел пример «на пальцах» того, что это в принципе реализуемо. В реальности конечно не стоит пытаться это «в лоб» делать руками

Мне кажется такую защиту можно легко обойти (с учётом того что защищаемая мы не от абы кого, а от администраторов с очень высоким уровнем доступа): Во время планового отключения дата центра (такие испытания в Яндексе происходят) подходим к серверу, в котором лежит программа, расшифровываются мастер ключ. вытаскиваем жёсткий диск, записываем туда кейлоггер, возвращаем всё на места, и после первой же расшифровки пароли всех админов окажутся скомпрометироваными. Что-то вроде Evil Maid Attack. То есть для защиты от этого нужен anti evil maid, разделённый на несколько администраторов. Интересно, есть ли такое. Ну, или нужна более хитрая схема шифрования.

Тут все просто: никакие plain-text данные до сервера доходить по хорошему вообще не должны — все шифрование и де-шифрование должно быть на стороне клиента, а сервер будет видеть только шифрованный контент.

Как показывает пример protonmail и прочих, можно сделать так, чтобы провайдер почты вообще доступа к содержимому почты не имел.

Если хочется чтобы провайдер не имел доступ к содержимому, достаточно использовать почтовый клиент с поддержкой GPG.
так ведь и прочитать письмо сможет только аналогичный клиент
Ну GPG это открытое ПО, плагины были для разных почтовых клиентов, даже для outlook встречались. Нет только инструментов для чтения таких писем в веб-клиенте. А там, никакой проблемы по сути нет. Для шифрования переписки все уже давно придумано и сделано давно.

В случае protonmail это работает только либо между самими ящиками protonmail либо если принудительно включить шифрование внешней почты.


Если же вы обмениваетесь почтой с кем-то вне protonmail и не используете явное шифрование — то как можно догадаться содержимое легко перехватывается на входе или выходе любым админом который имеет доступ к серверу.


Единственный надёжный способ это использование end-to-end шифрования — с очевидным неудобством — все с кем вы переписываетесь должны уметь его настроить/использовать.

tutanota.com — для расшифровки письма нужно знать пароль, который передается по отдельному каналу.
Интересно кто и что искал в почтовых ящиках? А самое главное — насколько владельцам, не сильно шифрованных, ящиков может навредить слитая информация?

Навредить по всякому.
Вот например один отечественный банк раньше любил высылать выписки по счёту ежемесячные. В выписке указывался номер счета, полные ФИО, адрес и контакты и сумма по счёту.
Резюме и приглашения на собеседование.
Сброс пасворда от того же стима.

Ревнивые мужья в основном.
Где-то была статья с интерьвью или исследованием, точно не помню.

Рассказывали, что залезли в ящик и подменили письмо со счётом на оплату. Деньги ушли налево. И что такой случай не единичный.

Торговали, торгуют, и будут торговать. Люди любят деньги.

Яндекс, у меня есть сврйр аккаунт в почте и плюсе (оплаченный) и рабочий без плюса и умного дома. Но если я заходу в рабочую почту то и все остальные сервисы выключаются пока не сменишь аккаунт — и квазар и плюс и музыка. Не надо так. Если я переключился на другой аккаунт в почте то нигде в других местах не надо меня переключать

Яндекс до сих пор хранит пароли в открытом виде?
речь не о паролях, а о доступе к содержимому ящика
зачем тогда менять пароль?
Так как этот админ мог сгенерировать активную сессию(не знаю как это называется), что-бы кто-то другой или сам он мог видеть почту даже потеряв доступ к админке

Жесть конечно. Ладно у них есть "высокопоставленные системные администраторы" с доступом к почтовым ящикам для выполнения служебных задач, но почему у них нет никакого аудита и контроля такого доступа? Если этот админ продавал доступ не сотнями сразу, то значит он годами там действовал и ни у кого никаких вопросов не было, никакая система не отслеживала то, что один человек к такому количеству ящиков доступ получает, никакие алёрты нигде не срабатывали, что странные логины происходят.


Яндекс публичная компания вроде, а организовано внутри похоже всё как в гаражном стартапе в котором про комплайенс не слышали ни разу. Какой-нибудь условный гугл за такую утечку уже сожрали бы в прессе и судах.

А вы думаете, этот админ такой дурачок был, что палился на аудитах? Очевидно, что действовал он профессионально, раз оставался незамеченным столько времени. Дураку бы вряд ли доверили админить такой сервис.

Так я и говорю — значит система изначально была спроектирована так, что это возможно. Правильно было бы, чтобы логи всех действий писались в какую-то независимую систему, куда у "важного админа почты" и доступа никакого нет. А если он там админ всея яндекса и имел возможность всё подчистить, без какого-либо внешнего контроля — то это и есть фатальный недостаток и катастрофическое пренебрежение Яндексом интересами своих пользователей.

Админ это тот кто пароль от sudo знает. И на железные машинки заходить может. Их же должен кто-то поддерживать?

Предлагайте варианты логов которые хороший админ не отключит. Отключать навсегда ему не надо. Буквально пока вот этот вот скриптик отработает. Секунды достаточно.

Какой доступ судо на кластере сервиса почты масштаба яндекса? Там без автоматизации и раскатывания условным ансиблем делать нечего, а значит и с судо на отдельных серверах делать нечего, а даже если такая возможность по какой-то глупости оставлена, то должны логироваться (и одобряться/мониториться сессии) все входы с отправкой логов в реалтайме на централизованное хранилище (где уже другие админы должны иметь "судо").


Даже в мелком стартапе работал и там никуда прямого доступа не было, всё через оркестрацию и т.п., а когда нужно было получить рут-доступ к собственным инстансам, запущенным для экспериментов, то он был через обертку для ssh, которая логировала кто, куда и что делал, хотя на этих инстансах даже близко не было пользовательских данных, но ведь это было внутри инфраструктуры, где они потенциально могли быть.

Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.