Новость Передаваемые по ICQ файлы доступны всем желающим

Тема в разделе "АНОНИМНОСТЬ В ИНТЕРНЕТЕ", создана пользователем [access], 13 янв 2013.

  1. [access]

    [access] New Member

    Сообщения:
    13
    Симпатии:
    0
    В хорошо известном IM-мессенджере ICQ, с 2010 года принадлежащем компании Mail.ru, обнаружили здоровенную дыру в безопасности. Оказывается, файлы, которые пересылаются через этот мессенджер, могут легко заполучить сторонние лица. Хорошо, если это окажется очередное фото ребенка в варенье или котика с iPad. А может повезти меньше и в руки недоброжелателей попадет что-нибудь посущественнее. Например, видео с вашей милой семейной вечеринки в садо-мазо стиле. Или скан паспорта, договора продажи души за царевну и скромные полцарства, а заодно и секретные документы тайной бухгалтерии прачечной Аль Капоне.

    Все дело в том, что с некоторых пор в ICQ файлы передаются от отправителя получателю не напрямую, а сохраняется на один из серверов Mail.ru, получателю отправляется ссылка на файл, тот его скачивает. Сам файл никуда не девается с сервера, как, разумеется, и ссылка. Зная ссылку (http://files.icq.net/files/get?fileId=XXXXXX) можно заполучить в свои загребущие ручки вожделенный Ответ на главный вопрос жизни, вселенной и всего такого, если только его догадаются передать с помощью аськи в виде файла. Конечно, некоторую трудность вызывает неизвестность на какую именно последовательность букв и цифр надо заменить XXXXXX в URL. Но это не остановит любознательного исследователя, например, в сети уже доступен java-скрипт, который просто скачивает файлы подряд.

    В качестве доказательства существования этой дыры пользователь ЖЖ ntv опубликовал огромную , выкачанных за полтора часа работы скрипта. Любопытные могут полюбопытствовать, узнавшие на фото себя - написать автору блога и попросить удалить компромат из поста. Также ntv отмечает, что Mail.ru, судя по всему, уже начала работать над проблемой - сначала была удалена DNS-запись сервера files.icq.net, однако при замене на files.mail.ru хак продолжал работать. Затем перестала работать и эта лазейка, но в сети уже появилась версия скрипта, работающего с серверами напрямую.

    Источник: ferra.ru, ntv.livejournal.com

Поделиться этой страницей