Компания Yahoo принудительно сбросила пароли от аккаунтов пользователей сервиса Tumblr, узнав, что неизвестные лица получили доступ к базе email-адресов, а также «посоленных» и хешированных паролей с 2013 года.

Представитель Tumblr не сообщает о том, кто сумел получить доступ к информации, как компания обнаружила факт утечки и сколько аккаунтов, в том числе активных, пострадали в результате утечки.

В Tumblr не подтвердили и не опровергли факт преднамеренного взлома сервиса.

«Этим данным три года, у нас нет сведений о состоянии безопасности Tumblr в то время, — говорят в компании. — Большую часть систем, использовавшихся в те времена, мы уже заменили новыми, и все важные учетные данные были обновлены».

Компания Yahoo, в 2013 году купившая Tumblr за $1,1 млрд, обнародовала новость об утечке в блоге Yahoo Paranoids на прошлой неделе.

«Как только мы узнали о ситуации, наша ИБ-команда провела глубокий анализ инцидента. Результат показал, что у нас нет причин думать, будто аккаунты на Tumblr были скомпрометированы, — уверены в Yahoo. — Но в целях безопасности мы рекомендуем пользователям Tumblr, чьи данные затронула утечка, сменить пароль».

В Tumblr не распространяются насчет того, где были обнаружены базы электронных адресов и паролей, опасаясь пролить слишком много света на свои методы исследования безопасности.

«Мы проанализировали массив данных Tumblr, и у нас нет причин думать, что они использовались для несанкционированного входа в аккаунты пользователей. Из-за повторного использования аккаунтов и паролей мы нередко наблюдаем неудачные попытки войти в аккаунт, — заверил представитель Tumblr. — Как мы уже отметили в блоге, пароли были хешированы, а если точнее, то «посолены» и хешированы».

Tumblr предлагает поддержку двухфакторной аутентификации, а также располагает собственной командой ИБ-специалистов в Yahoo.

«У нас есть полноценная программа обеспечения защиты пользовательских данных; в ее рамках мы работаем со сторонними организациями, в том числе правоохранительными органами, частными компаниями и партнерами по отрасли», — подчеркнули в Tumblr.

Yahoo неоднократно упоминала о развитии своей ИБ-программы: со времен откровений Эдварда Сноудена корпорация активизировала усилия по внедрению шифрования, запустила программу Bug Bounty в 2013 году и наняла ИБ-профессионалов самого высокого уровня, в том числе Алекса Стамоса (Alex Stamos) из Twitter и Боба Лорда (Bob Lord) из Rapid7.

В прошлом году Yahoo объявила о новой мере обеспечения безопасности: компания будет уведомлять пользователей, если правительственные хакеры проводят целевые атаки на их аккаунты. О похожей инициативе до Yahoo объявили Facebook и Twitter.

В марте Yahoo сообщила о появлении первой стабильной версии механизма Account Key — особой технологии двухэтапной аутентификации для мобильных устройств, которая, по заявлениям разработчиков, сможет упразднить пароли.

Категории: Кибероборона