?

Log in

No account? Create an account
Hier stehe ich und kann nicht anders -- Martin Luther
Tomorrow belongs to me
Где дыра в Mail.ru 
20th-Sep-2007 09:04 am
lapti
Как может быть, вы знаете, у меня недавно сломали один из почтовых адресов и захватив его, стерли эккаунт в ЖЖ. Адрес был на Mail.ru. Я заподозрил, что при взломе использовались какие-то уязвимости почты и пошел разбираться, где ж собака зарыта. Долго ли, коротко ли искал, однако нашел я возможную дыру - и это не дыра, а целые ворота настежь, приходи и бери пароль. Не знаю, этот ли канал использовали взломщики, но где лежит эта дыра и как ее немного прикрыть, я вам покажу.



Итак, шаря по настройкам ( http://win.mail.ru/cgi-bin/options?####### ) , я вдруг наткнулся на поразительную ссылку (вида http://win.mail.ru/cgi-bin/userinfo?####### ) под названием "Анкетные данные: Здесь хранится информация, введенная Вами при регистрации почтового ящика: ФИО, дата рождения, а также некоторые настройки М-Агента. ".

Чтоб было понятно: несколько лет назад на волне моды на собственные интернет-пейджеры в Mail.ru сделали аналог ICQ - Mail.ru Агент. Агент ставился по умолчанию при регистрации и помимо чата и проверки почты еще и собирал о пользователе данные о том, чем он в сети занимается - то есть попросту шпионил за ним. Тогда это еще не считалось зазорным - на другом крупном портале, забыл название,такого шпиончика ("колобка", кажется) втыкали всем, кто сдуру браузер на нем открывал, причем "колобок" еще и деинсталляции не поддавался. От Агента же хоть отказаться было можно. Собранные подобным образом данные предполагалось рекламодателям продавать. Через какое-то время пошла война борьбы с адварезами и мальварезами, да и пользователи поумнели, и сейчас Агент ставят в основном подростки да прочие чайники. Однако оказалось, что в веб-настройки Mail.ru всем пользователям задним числом добавили экранчик вот такого вида!



И все подчеркнутые мною галочки там были по умолчанию отмечены. В том числе галочка "отображать эти данные в Mail.ru Агенте". То есть, если вы регистрировали почту на Mail.ru до того, как был придуман Агент, начиная с какого-то момента все ваши основные личные данные (имя, фамилия, дата рождения) стало возможным увидеть через Агент.

А параллельно с этим на Mail.ru была сделана программная система восстановления пароля. Если вы нажмете на "забыл пароль", вам предложат дать ответ на контрольный вопрос. Однако а ну как вы ответ забыли? И чтобы не перегружать техподдержку тысячами писем от пользователей, в Mail.ru сделали проще. "Воспользуйтесь СИСТЕМОЙ ВОССТАНОВЛЕНИЯ ПАРОЛЯ". Это не обмен данными с живым сотрудником, это скрипт, программа. http://mail.ru/cgi-bin/passremind

И вот как она выглядит:



Чтобы получить пароль, не обязательно точно заполнить все поля. Достаточно угадать какую-то их часть. И скрипт сам, без участия человека, вышлет пароль на тот почтовый адрес, который вы укажете. А что за данные нам нужны? Имя, фамилия, год рождения... и откуда их взять? Правильно, посмотреть в анкете, которую Mail.ru любезно нам покажет через Mail.ru Агент.

Таким образом, у Mail.ru правая рука не знает, что левая делала. Одна вешает замок, другая кладет ключ под коврик. Одни менеджеры используют пользовательские данные для хранения секрета, другие выставляют их напоказ для раскрутки социальной сети и удовольствия рекламодателей. Сколько времени так продолжалось, я не знаю - возможно, несколько лет. Еще раз подчеркиваю: анкеты пользователей Mail.ru стали в какой-то момент доступны через Агент без ведома их владельцев и сейчас становаятся доступными по умолчанию. И этих данных вполне достаточно, чтоб, зная ваш адрес, взять у Mail.ru ваш пароль.

Скорее всего, это не последняя дыра в Мэйл.ру, но как уже было сказано, то, что я описываю, это не дыра, это ворота настежь. Это не ошибка и не злой умысел - это просто уму непостижимая глупость менеджмента и инженеров Мэйл.ру.

Так ли ломали ящики ЖЖ-юзеров, или не так, но вашим первым действием по прочтении поста сейчас должно быть не написать комментарий, а
- открыть ваш ящик на Mail.ru, List.ru, Bk.ru или Inbox.ru
- войти в настройки "Анкетных данных"
- отключить все галочки до одной.
- и поменять заодно все обязательные анкетные данные.
Пока все эти возможности в вашем почтовом эккаунте не отключены - ВЫ УЯЗВИМЫ.

А сделав все это, возвращайтесь сюда и уже тогда пишите комментарии.
Comments 
(Deleted comment)
6th-May-2011 01:29 pm (UTC)
да оно уже не работает
20th-Sep-2007 05:22 am (UTC)
помню читал описнаие дыры в маил ру лет 6 назад. Так вот там точно так же ломалось через восстановление пароля.

Интересно как часто они будут наступать на одни и теже грабли?
24th-Sep-2007 02:57 pm (UTC)
Да вряд ли часто. Они с этих граблей ещё не сошли...
Вах, бэз заголовки! - Аноним, хуже гомофоба - Expand
20th-Sep-2007 05:28 am (UTC)
Все гораздо проще, я думаю.

У меня секретным словом была девичья фамилия матери, в анкете этой информации не было.

Тем не менее, ломанули влет.
20th-Sep-2007 05:52 am (UTC)
Аноним, хуже гомофоба
Там не сказано "заполните ВСЕ поля", там сказано "заполните КАК МОЖНО БОЛЬШЕ полей". Возможно, скрипт выдает OK и отсылает пароль, если заполнено всего 3-4 поля
20th-Sep-2007 05:49 am (UTC) - нечто подобное я и подозревал
ок. надо перепостить.
17th-Jul-2008 08:05 am (UTC)
Org Proxy-Connection: keep-alive allan Это надо перепостить. . . Allan ( allan ) wrote, @ - 10 - 16          Entry tags: ЖЖ Это надо перепостить.
20th-Sep-2007 06:08 am (UTC)
Нет там никакого скрипта.
21st-Sep-2007 04:00 am (UTC)
+1
20th-Sep-2007 06:13 am (UTC) - Спасибо.
С мейл агентом очень интересно.
Наверняка по рукам ходит скрипт автоматического заполнения формы восстановления пароля по словарю
20th-Sep-2007 06:39 am (UTC)
там идет вопрос, который вы выбрали, день варенья не фигурирует.
20th-Sep-2007 06:40 am (UTC)
Не факт, что пароль скрипт высылает автоматически. Это было бы совсем просто. В комментарии вроде бы написано, что "пароль высылается в течении трех дней", это значит по идее запрос должен проверяться людьми.

Но отключить агента согласен не помешает.
20th-Sep-2007 07:01 am (UTC)
Даже если людьми.
Сидит там гоблин, троешник.
Перед ним список, где надо галочки поставить...
А он думает о пиве после работы.
20th-Sep-2007 06:48 am (UTC)
> Чтобы получить пароль, не обязательно точно заполнить все поля. Достаточно угадать какую-то их часть. И скрипт сам, без участия человека, вышлет пароль на тот почтовый адрес, который вы укажете.

это надо бы проверить
а ответ на контрольный вопрос был хитрым?
(Deleted comment)
20th-Sep-2007 06:57 am (UTC)
спасибо)

процитирую)
20th-Sep-2007 06:58 am (UTC) - Сенксы.
Спасибо. Отличная работа.
20th-Sep-2007 07:08 am (UTC)
Первое, что я сделал, когда жена переехала ко мне сюда, это завёл ей платный аккаунт на hotmail.co.uk и помог выбрать секретный вопрос, ответ на который не известен и не может быть известен никому и даже мне... mail.ru и прочие Российские почты были заброшены и почищены.
20th-Sep-2007 07:45 am (UTC)
Я свой 7-ми летний рамблер-ящик разве что на платник махну - есть такая идея.
Вах, бэз заголовки! - Аноним, хуже гомофоба - Expand
20th-Sep-2007 07:26 am (UTC)
Спасибо
(Deleted comment)
21st-Sep-2007 08:14 am (UTC)
ага, вот прям к 3 млн (или сколько там в сутки) знааатно прибавится посещаемости за счет жжшных желающих проверить "слив" :))
3 "ха".
20th-Sep-2007 08:23 am (UTC)
убегать надо от них. может за нефтяной мстят )))
майл-ру - очень даже российская компания, понятно зачем сделанная. не думаю что технологии там где-то близко от йаху или гугла, и вряд ли будут лучше. при первом подозрении забросил майл-ру и оставил только для рекламного мусора.
20th-Sep-2007 05:33 pm (UTC)
к вашему сведению в россии умеют делать хороший софт и я бы не стал так категорично заявлять. тем более в ообласти в которой вы не разбираетесь
Вах, бэз заголовки! - Аноним, хуже гомофоба - Expand
(Deleted comment)
Page 1 of 13
<<[1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] >>
This page was loaded Sep 16th 2019, 1:02 am GMT.