Привет.
В начале октября 2024 года наш читатель связался с редакцией и рассказал о том, что его аккаунт «Яндекса» был взломан, а затем взломан аккаунт его коллеги, и это не были единичные случаи. Позволю себе процитировать описание проблемы, ровно то, что он прислал в «Яндекс»:
«Здравствуйте! Ночью 06.10.24 в 02:50 на мой телефон, привязанный к аккаунту, пришел код восстановления доступа. На следующий день обнаружил, что кто-то ночью сделал следующие действия:
1) изменил пароль входа в аккаунт
2) удалил письмо о смене пароля
3) очистил корзину
По журналу посещений (см. скриншот) виден ip-адрес 149.126.217.83 (YandexBrowser 24.7 – Windows 10) который в открытых источниках интернета (информация об ip) числится за:
person: *********
address: Russian federation, Omsk, street Prigorodnaya
phone: +73833999950
nic-hdl: TB4584-RIPE
mnt-by: MNT-DOM-TEHNIKI
Компания и человек в открытых источниках интернета (информация о компании) числятся как:
ООО «Дом Техники» Юридический адрес
307370, Курская область, Рыльский р-н, г Рыльск, ул К.Маркса
Основной вид деятельности ОКВЭД:
Торговля оптовая программным обеспечением (46.51.2)
По сути для получения доступа к моему аккаунту оказалось нужно только ввести код из смс, и ничего больше.
Телефон (huawei nova 12s, Emui 14.2, обновление системы 01.09.24) в момент получения смс был отключен от интернета, утром (после обнаружения несанкционированного доступа) сделал следующие действия:
1) проверил права доступа приложений к «чтению смс» — в списке только базовые программы, действительно работающие с смс
2) проверил встроенным в телефон антивирусом — ничего не найдено
3) установил антивирус касперского и проверил им систему — ничего не найдено
На всех компьютерах, которые я использую для подключения к аккаунту у меня Linux.
Доступ к аккаунту я восстановил (через смс), сменил пароль, вышел из всех устройств.
Остается вопрос — каким образом человек, выполнивший вход в мой аккаунт ночью, получил доступ к смс.
Просьба проанализировать с вашей стороны, мог ли человек (например, связанный с компанией яндекс), используя несанкционированный доступ к вашим ресурсам, перехватить смс в момент его создания?».
Ответ поддержки «Яндекс» был лаконичен: «У нас нет возможности перехватывать сообщения пользователей».
Ситуация тупиковая, так как в «Яндексе» отрицали наличие проблемы как таковой. Но для тех, кто обратился в «Яндекс» с описанием такой проблемы, сделали следующее:
- выкинули из всех аккаунтов на всех устройствах;
- попросили сменить пароль.
Интересно, что в «Яндексе» не знали о том, кто именно пострадал, и сделали это только для тех, кто обратился. Почему я так считаю? Один из наших читателей, который обратился 6 октября, получил в ответ эти действия через три дня. Другой человек, который увидел эту проблему и обратился 10 октября, тут же получил выход из аккаунтов и смену пароля. То есть происходило все не по инициативе «Яндекса», а после обращения пострадавших.
12 ноября все, кто обратился в «Яндекс» с этой проблемой, получили письмо, в котором сообщалось о взломе. В нем указывалось, что взлому подверглось не более 500 аккаунтов. Что много, но не катастрофа в масштабах «Яндекса», где таких аккаунтов десятки миллионов.
Но оставался открытым вопрос, а как можно было перехватить SMS-сообщения, инициировать их отправку. Из сообщения «Яндекса» следует, что взломали SMS-шлюз партнера, которым пользуется компания для рассылки сообщений. И вот тут мы приходим к любопытным выводам. В «Яндексе» сегодня не существует собственной инфраструктуры для отправки сообщений, в том числе настолько чувствительных и касающихся безопасности пользователей.
Например, если мы говорим про российские банки, то они выстроили для этого свою инфраструктуру, пользуются услугами операторов, но вся безопасность находится в контуре банка. И отправка SMS идет напрямую абоненту, тут нет посредника, которого можно взломать. В «Яндексе» решили сэкономить, так как дешевле пользоваться отправкой SMS различных агрегаторов, имеющих совсем другой уровень защиты и безопасности. За безопасность нужно платить дополнительно, все в этой жизни стоит денег.
Пользователи, которые ориентировались на защиту с помощью SMS-сообщений, столкнулись с тем, что она не работает. И это тревожный звоночек для всех нас. Что можно предпринять в этой связи конкретно для «Яндекса»? Вот что предлагает сама компания:
«Настройте двухфакторную аутентификацию, чтобы входить в аккаунт с паролем в связке с одноразовым паролем из Яндекс Ключа.
- Запретите восстановление доступа к аккаунту по номеру мобильного телефона, если вы используете смс в качестве второго способа защиты. Сделать это можно в настройках Яндекс ID на вкладке «Способы восстановления» в разделе «Безопасность», после чего доступ получится восстановить только с дополнительной проверкой через службу поддержки.
- Не храните в чатах, заметках или в других местах чувствительные данные, которые могут представлять для злоумышленников особенный интерес — например, логины, пароли или ключи от корпоративных VPN-сертификатов.
- Поменяйте ваши данные для авторизации в других сервисах, которые вы могли хранить в своём аккаунте.
- Следите за предупреждениями от команды безопасности Яндекса. Мы всегда отправляем письмо при попытке войти в аккаунт с нового устройства или из необычного места. Так вы успеете принять меры в случае реальной опасности: выйти из аккаунта на всех устройствах, сменить пароль и связаться со службой поддержки».
Ирония ситуации в том, что «Яндекс» обещал большую безопасность при привязке номера телефона, но по факту обеспечить ее не смог. И проблема в экономии на спичках. Компания может позволить себе выстроить нормальную работу с операторами связи, платить на десять копеек больше за отправку SMS-сообщения.
Полный доступ к почте на «Яндексе», который получили взломщики, может дать массу различной информации, если это ваша основная почта. И тогда количество проблем будет несоизмеримо больше, чем просто пароль, который вы потеряли.
Проблемы случаются со всеми компаниями, тут нет исключений. Вопрос в том, что безопасность внутри «Яндекса» и продуктов компании — это миф. Взломы компании случаются постоянно, а внутри нет команды, которая может быстро и ответственно реагировать на них, переписка выше в очередной раз это хорошо доказывает — проблем у нас нет, ой, у нас проблемы.
Пожалуйста, будьте аккуратны с тем, что вы доверяете «Яндексу», всегда нужно помнить, что компания может потерять ваши данные или дать к ним доступ третьим лицам. Безопасность стоит дорого, а «Яндекс» всегда экономит на пользователях, что эта история хорошо доказывает во всей красе.
>>> безопасность находится в контуре банка. И отправка SMS идет напрямую абоненту, тут нет посредникаПрямо вижу, как банк отправляет СМС напрямую, минуя посредника — ОПСОСа. Не иначе как через проводной ethernet-адаптер кабелем от сервера к телефону. Да и чего автор до Яндекса докопался, в банке — деньги, а в Яндексе что? Яндекс плюс за 400 руб уведут, музыку послушают?
Что не новость про яндекс, то мысль, что уйти с гугл почты/фото/диск было ошибкой… Хоть обратно всё переноси( А вообще, тенденция такая, что смс становиться слабым звеном, что в сервисах я.(статья), что как средство доступа к гугл(возможно)
Яндексом пользуюсь плотно. Основная почта, диск (платный тариф), Яндекс плюс. В свое время хотел переехать на Гугл из-за привычки Яндекса впаривать свои продукты даже при наличии платного тарифа, где реклама в принципе должна отсутствовать. Но настал 2022 год и переезжать не стал, как выяснилось правильно. Ну а менять Яндекс на майлру смысла точно не вижу😂
GrishaTav_SE, К почте яндекса госуслуги могут быть привязаны.
На самом деле все смс уязвимы. Так что нечего удивляться. Фрод он всегда внутри. Либо внутри яндекса, либо внутри оператора.
какая-то солянка, город Омск, адрес регистрации — Курск, код города телефона — Новосибирск. И кстати, если номер телефона забить в поисковике, оно все связкой везде бьется.
xpo xpo, Госуслуги — это не напрямую деньги, защита банков должна быть на порядок лучше. Да и вход на госуслуги нужно через СМС настроить. Плюс банку мы конкретно бабло вваливаем, а яндексу — очень косвенно, поэтому и требовать от Яндекса дорогих, на уровне банковских, решений — ну такое. Это все равно, что от МР, а что, вдруг кто мой аккаунт ломанет и про Самсунг хорошее напишет :)) Нужны персональный СМС гейт и ЭЦП за счет Муртазина.
Владимир Репин, Нет, ну до оператора смс может идти через совсем уже левых посредников, а может — напрямую, как я понял.
GrishaTav_SE, Смс это процесс двух ступенчатый. Вначале смс попадает на смс центр. А потом смс центр, напрямую кладёт смс на телефон абонента. Уязвимость есть на обоих участках. И на смс центре и на пути от смс центра до телефона. Но это всегда доступ в инфраструктуру оператора. Поэтому и фрод внутри.
По поводу яндекс ключ: я и так мучаюсь когда надо в аккаунт входить с тв-приставок, с смс- это как-то легче ещё, а тут надо будет вводить ключи с бумажки — совсем неудобно.
Владимир Репин, А как смс попадает в смс-центр? Может ведь напрямую, а может — через левого агрегатора.
GrishaTav_SE, Двумя путями. Либо с телефона абонента-отправителя. У него номер смс центра на сим карте прописан. Но это происходит внути сети опретора связи. Абонент модет оправитьсмс только на смс центр своей сети. Остальное закрыто белым списсюком. Либо через шлюз между сетью оператора и отправителя, например банка. Но там тоже обычно безопасность на уровне.
По очень похожей схеме у меня была серия попыток угона моих различных аккаунтов, которая началась в прошлом ноябре и закончилась примерно в апреле этого года.
Сначала были попытки угона учетных записей в Gmail — все неуспешные.
Затем угнали фейсбук — восстановил чисто из принципа.
Дальше была попытка угона ВК — обломались на 2FA по Google Authenticator, т.е. получили код восстановления по СМС в обход моего смартфона, но к GA уже доступа не было.
Потом подряд было две попытки купить за мой счет айфон:
1. На Я.Маркете — сработала защита Сбербанка, которая не дала выполнить платеж. Следы взломщика обнаружились в логах Яндекс.Go, где отразилась попытка заказать доставку покупаемого айфона на "не мой" адрес.
2. В Озоне — не сработала никакая защита, спасло только то, что на привязанной дебетовой карте не было достаточно средств.
В перечне открытых сессий, подключенных приложений и устройств ничего лишнего не было нигде. Обращение в поддержку Я.Маркета вообще ни к чему не привело, кроме ответа от бота. В Озон уже не обращался.
Филипп Мастяев, поправка:
В перечне открытых сессий, подключенных приложений и устройств ничего лишнего не было в Яндексе.
В Озоне висела открытая сессия входа по логину/паролю, что странно, тк этот способ входа недоступен на сайте площадки. А перед этим была попытка взлома гуглоящика, который выступал логином от Озона.
GrishaTav_SE, Карта Пэй (если есть)
>дешевле пользоваться отправкой SMS различных агрегаторов
Яндекс довольно большая компания, которая наверняка генерирует существенный трафик. Не совсем понятно как можно сэкономить пользуясь услугами посредников. На мой взгляд и дешевле и проще было бы договориться с операторами и организовать прямой канал.
Но видимо договориться не могут, и не факт что по вине яндекса.
мимoпроходил, Дешевле и проще в долгосрочной перспективе — наверняка. Но здесь и сейчас — расходы. Выгоднее же не платить вообще, или платить копейки, чем платить серьезные деньги, но не платить потом штрафы. А мы все знаем, какие суммы штрафов назначают Яндексу… Тем более, что за экономию средств в текущем году бонусы заплатят нынешнему креслосидельцу. А за экономию на штрафах бонусы если и заплатят, то не сейчас и не ему.
Филипп Мастяев, Ну возможно еще что "платформа" это кого надо "платформа" в среднем звене руководства яндекcа 😀
Сколько стоит штраф за про%б данных?
Сколько стоит "они выстроили для этого свою инфраструктуру"?
Еще вопросы есть о том что и почему яндекс(да и не только) сделал и\или не сделал?
Kostyamba, Ну все равно это не основная карта, туда можно бросать какую-то мелочь по необходимости. После всех этих движух с картами Яндекс-денег, отменами, переносами, Юманями и пр. — есть ли доверие на сумму больше, чем труселя со скидкой на маркете урвать? Или есть хипстеры, которые эту карту в качестве основной пользуют???
GrishaTav_SE, Насчет карт не знаю, но из-за выгодных условий, многие используют их накопительные счета для хранения приличных сумм с шестью нулями.
Warak, За слив данных яндекс заплатил 60т.р., т.е. по факту наши данные ничего не стоят.
У банков отвратительная система безопасности основанная на смс. СМС у них главный ключ. Что нужно, чтобы получить доступ ко всем вашим деньгам? доступ к смс и возможно номер карты. Всё, подтверждение через почту, Google Authenticatorи, Пароль игнорируются, а если и указать то он легко сбрасывается по смс.
Основная проблема Яндекса в том, что нельзя использовать сторонний аунтентификатор,только Я.Ключ. Вот тогда бы была защита нормальная. СМС можно перехватить в 21 веке не взламывая шлюзы, а просто зная, где живёт получатель.
Omnis, Госуслуги вроде есть, но я не пробовал…
У меня недавно была подобная история с Яндекс банком. Пришли смс с кодом доступа, написал в тп, словил моментальный блок на 6 суток. Удовольствие ещё то. Таких было несколько человек в чате Яндекс пэй
Asfj1200, Смелые люди.
>>Ирония ситуации в том, что «Яндекс» обещал большую безопасность при привязке номера телефона, но по факту обеспечить ее не смог. И проблема в экономии на спичках. Компания может позволить себе выстроить нормальную работу с операторами связи, платить на десять копеек больше за отправку SMS-сообщения.
А может всё гораздо проще? Просто периодически проводится тендер на закупку услуг смс-центров/центра? Кто победил тот и молодец? У автора очень странное мнение о том как всё работает, особенно в больших компаниях. Я в яндексе не работал, конечно, как у них не знаю, но в компаниях, где работает много тысяч сотрудников работал. И когда вижу вопрос почему Яндекс не закупит у тех или других, то мне сразу становится смешно. Яндекс это что, один человек? Или кто там должен принять решение о закупке у тех или иных поставщиков? Генеральный директор что ли? Он в этом разбирается? Это вообще не его функционал. Формируется техническое задание отделом у которого есть потребность, например в смс, отдается закупщикам, те собирают предложения. Отдел, выдавший ТЗ, анализирует ТКП на соответствие ТЗ. Из соответствующих выбирают лучшее по цене предложение. А на 10 копеек дороже это коррупция — кто там подпишется под тем, чтобы купить дороже?
З.Ы. К слову банки тоже пользуются услугами СМС центров.
Я. Ключ тоже проблема ещё та. Один раз сломался телефон ч приложением ключа. Еле восстановил доступ к аккаунту. :(((
Какую почту использовать? Яндекс — не безопасно. Гугл может не прислать смс с кодом. Чем пользоваться?
Владимир Репин, "шлюз между сетью оператора и отправителя" может быть многоступенчатый: отправитель — [N * посредник] — оператор.
>> И проблема в экономии на спичках.
Согласен. Проблема скорее не техническая и не финансовая, а организационная. Кто мешает сделать по умолчанию "Запретить восстановление доступа к аккаунту по номеру мобильного телефона, если используется смс в качестве второго способа защиты."?
Lecron, Не вижу противоречия. Может быть сколько угодно посредников. Это никак не влияет на приём смс.
Павел Калистратов, Это конечно немного ослабляет безопасность и немного придется приложить мозг, но аутентификатор TOTP это не только приложения Гугла, Яндекса, Микрософт, но и можно реализовать например в KeePass. Чью априори зашифрованную базу можно бекапить/синхронизировать куда угодно.
Я, например, пользуюсь единым хранилищем секретов одновременно на планшете, смартфоне и ПК.
Владимир Репин, Увеличение точек отказа, увеличивает риск перехвата передаваемого в сообщении секрета. Его перехватят еще до попадания в сеть оператора. И да, на промежуточных этапах, его передают еще не как СМС, а абсолютно в любом виде. Это просто данные — номер абонента и текст.
Lecron, И получить у единственного офиса 100500 долбодятлов, пролюбивших пароль? Оно надо, причем забесплатно, доход-то с каждого дятла невелик…
Lecron, И получить у офиса 100500 разгильдяев которые потеряли пароль? Причем доход от каждого невелик, офис для каждого не построишь.
Enrighte, А майл ру — помойка,забыли добавить. Присоединяюсь к вопросу.
GrishaTav_SE, Почему? В настройках пункты "доступ по номеру" и "доступ по СМС" ставятся рядом и объединяются в выбор или-или.
Enrighte, mailru 🥹
Lecron, Что-то не понял. Да и вообще, никто эти галочки не смотрит. Какие настройки будут в вашем случае по дефолту? Как восстановить пароль?
GrishaTav_SE, Не важно что по умолчанию. Главное, на уровне интерфейса исключить активацию обоих методов одновременно (radio-button).
а ЧТЕНИЕ СМС С ПОМОЩЬЮ СИСТЕМЫ ОПЕРАТИВНО РАЗЫСКНОЙ ИНФОРМАЦИИ?
Если вкладываться в рекламу, маркет, такси и пр. и не заботиться о безопасности, то будет и не такое.
GrishaTav_SE, Вы случайно не в яндексе работаете что так рьяно выгораживаете компанию?
Филипп Мастяев, Видать кому то насолили, что упорно так вас взламывали
Demetr_Warshavskiy, Или просто была волна взломов по утекшим когда-то данным, и я просто в нее попал. Было бы манией величия считать, что все эти усилия только мне одному
Опять злой яндекс! Кто-то может привести пример, чтобы на этом сайте с таким же рвением писали про взлом учёток иной компании и проблемы иной компании?
У меня риторический вопрос…
Когда яндекс вернёт границы государств на свои карты?
Поделили его, ну теперь он полностью российский, а ведёт себя как иноагент.
Sergey32rus, Ну так это вас защитили, а вы недовольны 🙂
Demetr_Warshavskiy, Случайно нет. Просто всегда удивляюсь неполной адекватности авторов МР, которые могут докопаться до столба. Требуют какую-то безопасность от поиска с музычкой, а сами, между прочим, Андроидом и Виндовс пользуются, на чем один из авторов (не этот, другой) уже погорел.
Я предлагаю просто не пользоваться, ибо чего не коснешься всё работает через ж…у.
Павел Калистратов, Резервное копирование же есть
GrishaTav_SE, Яндекс деньги так то,там тоже хранится
GrishaTav_SE, Там хранятся деньги чтобы получить бонусы от сервисов яндекс
Enrighte, Голубиную
GrishaTav_SE, Сервис "Яндекс 360" по стоимости сравним с тем же Протоном, так-то