И эту новость я прочитал не в русми, а в американских. Там это сейчас на первой странице. Чувак вроде бы продал доступ к 4,887 аккаунтам.
У меня первая же мысль – это на сколько человеку нужны были деньги, что он рискнул и начал продавать доступ к почтовым ящикам. Интересно, сколько он получал в Яндексе, что пошел на такой шаг, ведь судя по новости он был одним из трех администраторов, у которых были такие права.
У меня вообще много вопросов к Яндексу – каким образом продавался доступ? Получается, что пароли шифруются с обратимым шифрованием, что их продать?
Когда я работал на Sony я не мог продать никакого доступа, потому что у меня не было доступа к паролям пользователей. Я мог получить только e-mail, имена и фамилии, но пароли были зашифрованы в соленом виде, так что даже при всем желании и при всем моем доступе бога к базе данных я не мог продать доступ.
Да, у меня был доступ к кредитным картам клиентов, вот они были доступны мне, хотя и зашифрованы, потому что кредитные карты мне нужно было иметь возможность использовать в открытом виде. Но у меня не было Expiration Date и трех цифр защиты, так что и тут информация при моем божественном доступе была не полная. Мы просто не хранили в базе эту информацию.
Судя по тому, что Яндекс просит людей поменять пароли, есть серьезные подозрения, что они зашифрованы, а не захешированы.
Понравилось? Кликни Лайк, чтобы я знал, какой контент более интересен читателям. Заметку уже лайкнули 2 человек
Админ всегда доступ получить может. Не обязательно узнавать пароль, можно просто изменить его. Не всякая система шифровки пароля устойчива к взлому. Сталкивался как-то с программами для дешифровки, но не пользовался, не надо было. Потому могли и так узнавать пароль пользователя.
Кроме того, я абсолютно уверен, что и яндекс и гугол (и типа того) имеют доступ к таким данным если не напрямую, то в виде бэкдора, а об этом наверняка знают и админы. Иначе как им сдавать клиентов фсбшникам и црушникам как по решению суда, так и без? :) Ну и еще куча всяких возможностей открывается для заработка бабок, и я не верю, что "бизнесменты" от таких возможностей откажутся.
Грамотно зашифроваться в наше время не просто - уши есть уже не только у стен, но даже у утюгов, холодильников и т.п. Сдают все - начиная с родного мелкософта. :)))
Убеждения, что есть компании, в которых реально охраняются данные клиентов, считаю крайне наивными, основанными на отсутствии достаточного доступа по секретности в данной компании. :)
Предполагаю у каждого ящика есть второе дно, для доступа большого брата....
Хотите найти еще что-то интересное почитать? Можно попробовать отфильтровать заметки на блоге по категориям.
Программист, автор нескольких книг серии глазами хакера и просто блогер. Интересуюсь безопасностью, хотя хакером себя не считаю
Copyright © 2024 Михаил Флёнов. Тираж 1 штука. Отпечатано на ноутбуке. А за права отвечаю, или постараюсь.
А здесь еще и копирайт поставлю: Professional Web Development.
