Основатель и технический директор компании DeviceLock Ашот Оганесян сообщил в своем телеграм-канале о том, что данные 33,7 миллионов пользователей «Живого журнала» (ЖЖ) оказались в открытом доступе. Отмечается, что база содержит идентификатор пользователя, адрес его электронной почты, ссылку на профиль пользователя и пароль от его блога.
Оганесян утверждает, что утечка произошла еще в 2014 году, но до сих пор не была достоянием широкой общественности. По его словам, данные продавались на специализированных форумах в даркнете.
По сведениям Оганесяна, выложил базу в бесплатный доступ в начале мая некий Винни Тройя. Имя пользователя совпадает с именем известного американского исследователя в области кибербезопасности, который обнаружил утечку данных 1,2 миллиарда пользователей Facebook, Twitter, LinkedIn и сервиса Github в 2019 году.
«Живой журнал» с 2016 г. принадлежит Rambler Group. По информации компании, сервисом ежемесячно пользуется более 50 миллионов человек. Представитель холдинга прокомментировал сложившуюся ситуацию:
«Мы не признаем достоверность информации об утечке, так как заявленный массив состоит из неактуальных и сфальсифицированных данных. В 2011–2012 гг. мы сталкивались с инцидентами подбора паролей наших пользователей, но уже свыше шести лет мы используем систему защиты от подозрительных авторизаций и усовершенствовали механизм хранения паролей. Сейчас в группе риска могли оказаться именно те пользователи, которые не меняли пароли с того времени, - их пароли будут принудительно сброшены. Мы постоянно проводим мониторинг рисков по всем нашим продуктам и делаем всё для того, чтобы пользователи чувствовали себя максимально защищенными. Мы регулярно информируем наших пользователей о необходимости смены пароля и сделали это и в настоящий момент. Информация, распространяемая в сети о якобы «массовой утечке» данных пользователей ЖЖ, не соответствует действительности - это одна из кликбейтных новостей, задача которой привлечь интерес к третьей стороне в данном вопросе».
Специалисты DeviceLock проверили уникальность данных ЖЖ по базе из 5 миллиардов утекших паролей. Оганесян утверждает, что почти 69% пар почта - пароль оказались уникальными и никогда раньше не встречались в других утечках, более чем в 795 000 строк пароль был не указан. Он заключает: утечка показала, что пароли от аккаунтов ЖЖ хранились в открытом виде и это свидетельствует об уязвимости, заложенной еще при проектировании системы.
Эксперты обращают внимание на то, что адрес электронной почты и привычный пароль многие могли использовать в связке логин - пароль на других сервисах, а это делает их учетные записи уязвимыми. По мнению старшего антивирусного эксперта «Лаборатории Касперского» Дениса Легезо, даже если пароль уже устарел, злоумышленники могут попытаться шантажировать жертву, отправляя на e-mail письмо с информацией о пароле и требованием выкупа.