База авторов «Живого журнала» оказалась в открытом доступе

Данные более чем 33,7 млн пользователей «Живого журнала» (ЖЖ) оказались в открытом доступе, сообщил у себя в телеграм-канале основатель и технический директор компании DeviceLock Ашот Оганесян. База содержит идентификатор пользователя, адрес электронной почты, ссылку на профиль пользователя и пароль от его блога.

Утечка произошла еще в 2014 г., но до сих пор не была достоянием широкой общественности, утверждает Оганесян. Данные продавались на специализированных форумах в даркнете. Оганесян сообщил, что нашел в базе данные о своем блоге и блогах своих друзей. В начале мая, продолжает он, пользователь с именем Винни Тройя (совпадает с именем известного американского исследователя в области кибербезопасности, который обнаружил утечку данных 1,2 млрд пользователей Facebook, Twitter, LinkedIn и сервиса Github в 2019 г.) выложил базу в бесплатный доступ.

Блогеры, выборочно опрошенные «Ведомостями», подтвердили, что их данные, опубликованные в интернете, в 2014 г. были вполне актуальными. «Я проверял базу, мой пароль совпал, все верно», – отметил Александр Попов (ведет блог russos.livejournal.com). 10 мая на своей странице в Facebook он написал, что получил от администрации ЖЖ письмо с рекомендацией изменить пароль на ресурсе в течение пяти дней: объясняется это изменениями требований блог-сервиса к паролям. Такие письма действительно рассылаются, подтвердил технический директор компании Qrator Labs Артем Гавриченков.

ЖЖ с 2016 г. принадлежит Rambler Group. По данным компании, сервисом ежемесячно пользуется 52 млн человек. Представитель холдинга так комментирует ситуацию: «Мы не признаем достоверность информации об утечке, так как заявленный массив состоит из неактуальных и сфальсифицированных данных. В 2011–2012 гг. мы сталкивались с инцидентами подбора паролей наших пользователей, но уже свыше шести лет мы используем систему защиты от подозрительных авторизаций и усовершенствовали механизм хранения паролей. Сейчас в группе риска могли оказаться именно те пользователи, которые не меняли пароли с того времени, – их пароли будут принудительно сброшены. Мы постоянно проводим мониторинг рисков по всем нашим продуктам и делаем всё для того, чтобы пользователи чувствовали себя максимально защищенными. Мы регулярно информируем наших пользователей о необходимости смены пароля и сделали это и в настоящий момент. Информация, распространяемая в сети о якобы «массовой утечке» данных пользователей ЖЖ, не соответствует действительности – это одна из кликбейтных новостей, задача которой привлечь интерес к третьей стороне в данном вопросе».

Специалисты DeviceLock проверили уникальность базы ЖЖ по базе из 5 млрд утекших паролей, утверждает Оганесян. Почти 69% пар почта – пароль оказались уникальными и никогда раньше не встречались в других утечках, более чем в 795 000 строк пароль был не указан, констатирует он: утечка показала, что пароли от аккаунтов ЖЖ хранились в открытом виде и это свидетельствует об уязвимости, заложенной еще при проектировании системы.

База действительно старая и большинство паролей уже не подходят к соответствующим аккаунтам, считает Гавриченков, но ЖЖ не сбросил пароли автоматически в 2014 г., когда стало известно о проблеме. Даже если аккаунты в ЖЖ уже не используются, эти пароли могут все еще быть актуальными для других сервисов и почтовых ящиков его пользователей, предупреждает он. Только сейчас ЖЖ начал рассылать письма с напоминаниями, что пользователи давно не меняли пароль, знает представитель Qrator Labs.

Адрес электронной почты и привычный пароль многие могли использовать в связке логин – пароль на других сервисах – это делает их учетные записи уязвимыми, объясняет другой специалист по информационной безопасности.

Даже если пароль уже устарел, злоумышленники могут попытаться шантажировать жертву, отправляя на e-mail письмо с информацией о пароле и требованием выкупа, опасается старший антивирусный эксперт «Лаборатории Касперского» Денис Легезо.