Привет.
В начале октября 2024 года наш читатель связался с редакцией и рассказал о том, что его аккаунт «Яндекса» был взломан, а затем взломан аккаунт его коллеги, и это не были единичные случаи. Позволю себе процитировать описание проблемы, ровно то, что он прислал в «Яндекс»:
«Здравствуйте! Ночью 06.10.24 в 02:50 на мой телефон, привязанный к аккаунту, пришел код восстановления доступа. На следующий день обнаружил, что кто-то ночью сделал следующие действия:
1) изменил пароль входа в аккаунт
2) удалил письмо о смене пароля
3) очистил корзину
По журналу посещений (см. скриншот) виден ip-адрес 149.126.217.83 (YandexBrowser 24.7 – Windows 10) который в открытых источниках интернета (информация об ip) числится за:
person: *********
address: Russian federation, Omsk, street Prigorodnaya
phone: +73833999950
nic-hdl: TB4584-RIPE
mnt-by: MNT-DOM-TEHNIKI
Компания и человек в открытых источниках интернета (информация о компании) числятся как:
ООО «Дом Техники» Юридический адрес
307370, Курская область, Рыльский р-н, г Рыльск, ул К.Маркса
Основной вид деятельности ОКВЭД:
Торговля оптовая программным обеспечением (46.51.2)
По сути для получения доступа к моему аккаунту оказалось нужно только ввести код из смс, и ничего больше.
Телефон (huawei nova 12s, Emui 14.2, обновление системы 01.09.24) в момент получения смс был отключен от интернета, утром (после обнаружения несанкционированного доступа) сделал следующие действия:
1) проверил права доступа приложений к «чтению смс» — в списке только базовые программы, действительно работающие с смс
2) проверил встроенным в телефон антивирусом — ничего не найдено
3) установил антивирус касперского и проверил им систему — ничего не найдено
На всех компьютерах, которые я использую для подключения к аккаунту у меня Linux.
Доступ к аккаунту я восстановил (через смс), сменил пароль, вышел из всех устройств.
Остается вопрос — каким образом человек, выполнивший вход в мой аккаунт ночью, получил доступ к смс.
Просьба проанализировать с вашей стороны, мог ли человек (например, связанный с компанией яндекс), используя несанкционированный доступ к вашим ресурсам, перехватить смс в момент его создания?».
Ответ поддержки «Яндекс» был лаконичен: «У нас нет возможности перехватывать сообщения пользователей».
Ситуация тупиковая, так как в «Яндексе» отрицали наличие проблемы как таковой. Но для тех, кто обратился в «Яндекс» с описанием такой проблемы, сделали следующее:
- выкинули из всех аккаунтов на всех устройствах;
- попросили сменить пароль.
Интересно, что в «Яндексе» не знали о том, кто именно пострадал, и сделали это только для тех, кто обратился. Почему я так считаю? Один из наших читателей, который обратился 6 октября, получил в ответ эти действия через три дня. Другой человек, который увидел эту проблему и обратился 10 октября, тут же получил выход из аккаунтов и смену пароля. То есть происходило все не по инициативе «Яндекса», а после обращения пострадавших.
12 ноября все, кто обратился в «Яндекс» с этой проблемой, получили письмо, в котором сообщалось о взломе. В нем указывалось, что взлому подверглось не более 500 аккаунтов. Что много, но не катастрофа в масштабах «Яндекса», где таких аккаунтов десятки миллионов.
Но оставался открытым вопрос, а как можно было перехватить SMS-сообщения, инициировать их отправку. Из сообщения «Яндекса» следует, что взломали SMS-шлюз партнера, которым пользуется компания для рассылки сообщений. И вот тут мы приходим к любопытным выводам. В «Яндексе» сегодня не существует собственной инфраструктуры для отправки сообщений, в том числе настолько чувствительных и касающихся безопасности пользователей.
Например, если мы говорим про российские банки, то они выстроили для этого свою инфраструктуру, пользуются услугами операторов, но вся безопасность находится в контуре банка. И отправка SMS идет напрямую абоненту, тут нет посредника, которого можно взломать. В «Яндексе» решили сэкономить, так как дешевле пользоваться отправкой SMS различных агрегаторов, имеющих совсем другой уровень защиты и безопасности. За безопасность нужно платить дополнительно, все в этой жизни стоит денег.
Пользователи, которые ориентировались на защиту с помощью SMS-сообщений, столкнулись с тем, что она не работает. И это тревожный звоночек для всех нас. Что можно предпринять в этой связи конкретно для «Яндекса»? Вот что предлагает сама компания:
«Настройте двухфакторную аутентификацию, чтобы входить в аккаунт с паролем в связке с одноразовым паролем из Яндекс Ключа.
- Запретите восстановление доступа к аккаунту по номеру мобильного телефона, если вы используете смс в качестве второго способа защиты. Сделать это можно в настройках Яндекс ID на вкладке «Способы восстановления» в разделе «Безопасность», после чего доступ получится восстановить только с дополнительной проверкой через службу поддержки.
- Не храните в чатах, заметках или в других местах чувствительные данные, которые могут представлять для злоумышленников особенный интерес — например, логины, пароли или ключи от корпоративных VPN-сертификатов.
- Поменяйте ваши данные для авторизации в других сервисах, которые вы могли хранить в своём аккаунте.
- Следите за предупреждениями от команды безопасности Яндекса. Мы всегда отправляем письмо при попытке войти в аккаунт с нового устройства или из необычного места. Так вы успеете принять меры в случае реальной опасности: выйти из аккаунта на всех устройствах, сменить пароль и связаться со службой поддержки».
Ирония ситуации в том, что «Яндекс» обещал большую безопасность при привязке номера телефона, но по факту обеспечить ее не смог. И проблема в экономии на спичках. Компания может позволить себе выстроить нормальную работу с операторами связи, платить на десять копеек больше за отправку SMS-сообщения.
Полный доступ к почте на «Яндексе», который получили взломщики, может дать массу различной информации, если это ваша основная почта. И тогда количество проблем будет несоизмеримо больше, чем просто пароль, который вы потеряли.
Проблемы случаются со всеми компаниями, тут нет исключений. Вопрос в том, что безопасность внутри «Яндекса» и продуктов компании — это миф. Взломы компании случаются постоянно, а внутри нет команды, которая может быстро и ответственно реагировать на них, переписка выше в очередной раз это хорошо доказывает — проблем у нас нет, ой, у нас проблемы.
Пожалуйста, будьте аккуратны с тем, что вы доверяете «Яндексу», всегда нужно помнить, что компания может потерять ваши данные или дать к ним доступ третьим лицам. Безопасность стоит дорого, а «Яндекс» всегда экономит на пользователях, что эта история хорошо доказывает во всей красе.
>>> безопасность находится в контуре банка. И отправка SMS идет напрямую абоненту, тут нет посредника
Прямо вижу, как банк отправляет СМС напрямую, минуя посредника — ОПСОСа. Не иначе как через проводной ethernet-адаптер кабелем от сервера к телефону. Да и чего автор до Яндекса докопался, в банке — деньги, а в Яндексе что? Яндекс плюс за 400 руб уведут, музыку послушают?
Что не новость про яндекс, то мысль, что уйти с гугл почты/фото/диск было ошибкой… Хоть обратно всё переноси( А вообще, тенденция такая, что смс становиться слабым звеном, что в сервисах я.(статья), что как средство доступа к гугл(возможно)
Яндексом пользуюсь плотно. Основная почта, диск (платный тариф), Яндекс плюс. В свое время хотел переехать на Гугл из-за привычки Яндекса впаривать свои продукты даже при наличии платного тарифа, где реклама в принципе должна отсутствовать. Но настал 2022 год и переезжать не стал, как выяснилось правильно. Ну а менять Яндекс на майлру смысла точно не вижу😂
GrishaTav_SE, К почте яндекса госуслуги могут быть привязаны.