Миллион паролей от Яндекса

Вчера на нескольких сайтах появилась информация про базу логинов и паролей на Яндексе — более миллиона записей. Мы проанализировали эту базу и совершенно уверены, что она получена не в результате взлома наших сервисов.Вам не нужно искать этот список логинов и паролей и проверять, нет ли там вас. Всех пользователей, которые туда попали, мы уже оповестили и сбросили их пароли — теперь в эти ящики невозможно войти, не поменяв пароль. Просто попробуйте войти в вашу Яндекс.Почту. Если вам не предлагают поменять пароль — значит можно не беспокоиться.Наши специалисты уверены, что база собиралась в течение долгого времени, а не в результате целенаправленной атаки. Злоумышленники получают доступ к учётным данным пользователей разными способами — с помощью фишинга (когда пользователи вводят свои данные на сайте-подделке), вирусов или кросс-чека (когда люди используют одинаковые пароли на разных ресурсов, взлом одного из них означает, что скомпрометированы все).Среди паролей в списке есть такие, которые мы уже давно не разрешаем использовать при создании новой учётной записи (например, «qwerty»). О 85% аккаунтов из выложенной базы нам было известно и до этого — большинство из них появляются в подобных списках уже несколько лет. Для некоторых аккаунтов пароли уже были сброшены –, но их владельцы так и не поменяли пароль и не зашли в свой почтовый ящик. Это означает, что эти ящики либо давно заброшены, либо созданы роботами.Подробности о том, как мы храним пароли и почему считаем, что дело не во взломе сервиса, можно прочитать в нашем блоге на Хабре. Ну и на всякий случай: время от времени полезно менять пароль, даже без всяких причин.