Ежедневный дайджест марафона #летниедни — 25 июня 
*** 
Евгений Леонов "Письма сыну" 
] abrogatio legis [ 
Без названия 
Для того, чтобы Чубайс стал замом Набиуллиной, достаточно одного звонка 
Саммит 
#птицыпочетвергам
09.01.2010 —
и приходим мы сюда за
Этож какие паразиты?!
— 07.02.2010
Этож какие паразиты?! Кто-то же
за это должен отвечать?!
Где дыра в Mail.ru
Сейчас обсуждаем с моим другом Ольгой Куксенко действия одного нашего друга Екатерины Мамницкой, с которой мы очень по доброму общались....и вдруг она по непонятным причинам оскорбляет нас и прекращает дружбу.Мы пришли к выводу, что эти действия произведены не Екатериной, а неизвестным взломавшим ее почтовый ящик и рассылающий от ее имени грязную информацию.
В наше сейчас время от взлома уйти очень сложно! Узнать пароль можно без особого напряга, в особенности на http://mail.ru!/! на сегодняшний день это самая дырявая система (не в обиду к создателю!) и лакомый кусочек для хаков! Все эти дыры создают сами создатели Mail.ru ведь удобство в общении это и есть те самые дыры! На Mail.ru можно без труда пробить кто ты и что ты, с кем общаешься и т.д Да и ещё помните интернет это одна большая записная книжка! Так что изучить человека можно без проблем, а также узнать чем увлекается что любит и т.д! Все это называется (индексация поисковых систем!) таким образом можно познакомится под любым видом будь там девушка или мужчина неважно, завести дружбу и т.д, вообщем войти в доверия человека а потом с легкостью получить пароль!
Только я создал почтовый ящик в ноябре месяце, как он был тут же взломан. Я заподозрил, что при взломе использовались какие-то уязвимости почты и пошел разбираться, где ж собака зарыта. Долго ли, коротко ли искал, однако нашел я возможную дыру - и это не дыра, а целые ворота настежь,
приходи и бери пароль. Не знаю, этот ли канал использовали взломщики, но где лежит эта дыра и как ее немного прикрыть, я вам покажу.
Итак, шаря по настройкам ( http://win.mail.ru/cgi-bin/options?####### , я вдруг наткнулся на поразительную ссылку (вида http://win.mail.ru/cgi-bin/userinfo?####### под названием "Анкетные данные: Здесь хранится информация, введенная Вами при регистрации почтового ящика: ФИО, дата рождения, а также
некоторые настройки М-Агента. ".
Чтоб было понятно: несколько лет назад на волне моды на собственные интернет-пейджеры в Mail.ru
сделали аналог ICQ - Mail.ru Агент. Агент ставился по умолчанию при регистрации и помимо чата и проверки почты еще и собирал о пользователе данные о том, чем он в сети занимается - то есть попросту шпионил за ним. Тогда это еще не считалось зазорным - на другом крупном портале, забыл название,такого шпиончика ("колобка", кажется) втыкали всем, кто сдуру браузер на нем открывал, причем "колобок" еще и деинсталляции не поддавался. От Агента же хоть отказаться было можно. Собранные подобным образом данные предполагалось рекламодателям продавать. Через какое-то
время пошла война борьбы с адварезами и мальварезами, да и пользователи поумнели, и сейчас Агент ставят в основном подростки да прочие чайники.
Однако оказалось, что в веб-настройки Mail.ru всем пользователям задним числом добавили экранчик вот такого вида!
И все подчеркнутые мною галочки там были по умолчанию отмечены. В том числе галочка "отображать
эти данные в Mail.ru Агенте". То есть, если вы регистрировали почту на Mail.ru до того, как был придуман Агент, начиная с какого-то момента все ваши основные личные данные (имя, фамилия, дата рождения) стало возможным увидеть через Агент.
А параллельно с этим на Mail.ru была сделана программная система восстановления пароля. Если вы нажмете на "забыл пароль", вам предложат дать ответ на контрольный вопрос.
Однако а ну как вы ответ забыли? И чтобы не перегружать техподдержку тысячами писем от пользователей, в Mail.ru сделали проще.
"Воспользуйтесь СИСТЕМОЙ ВОССТАНОВЛЕНИЯ ПАРОЛЯ". Это не обмен данными с
живым сотрудником, это скрипт, программа. http://mail.ru/cgi-bin/passremind
И вот как она выглядит:
Чтобы получить пароль, не обязательно точно заполнить все поля. Достаточно угадать какую-то их
часть. И скрипт сам, без участия человека, вышлет пароль на тот почтовый адрес, который вы укажете. А что за данные нам нужны? Имя, фамилия, год рождения... и откуда их взять? Правильно, посмотреть в анкете, которую Mail.ru любезно нам покажет через Mail.ru Агент.
Таким образом, у Mail.ru правая рука не знает, что левая делала. Одна вешает замок, другая кладет ключ под коврик. Одни менеджеры используют пользовательские данные для хранения секрета, другие выставляют их напоказ для раскрутки социальной сети и удовольствия рекламодателей.
Сколько времени так продолжалось, я не знаю - возможно, несколько лет.
Еще раз подчеркиваю: анкеты пользователей Mail.ru стали в какой-то момент доступны через Агент без ведома их владельцев и сейчас становаятся доступными по умолчанию. И этих данных вполне достаточно, чтоб, зная ваш адрес, взять у Mail.ru ваш пароль.
Скорее всего, это не последняя дыра в Мэйл.ру, но как уже было сказано, то, что я описываю, это не дыра, это ворота настежь. Это не ошибка и не злой умысел - это просто уму непостижимая глупость менеджмента и инженеров Мэйл.ру.
Ломали ящик у Вас или нет, но вашим первым действием по прочтении поста сейчас должно быть не написать комментарий, а - открыть ваш ящик на Mail.ru, List.ru, Bk.ru или Inbox.ru
- войти в настройки "Анкетных данных"
- отключить все
галочки до одной.
- и поменять заодно все обязательные анкетные данные.
Пока все эти возможности в вашем почтовом аккаунте не отключены
- ВЫ УЯЗВИМЫ.
А сделав все это, возвращайтесь сюда и уже тогда пишите комментарии.
А Ваш почтовый ящик хоть раз, но взламывался?
Где дыра в Mail.ru
Сейчас обсуждаем с моим другом Ольгой Куксенко действия одного нашего друга Екатерины Мамницкой, с которой мы очень по доброму общались....и вдруг она по непонятным причинам оскорбляет нас и прекращает дружбу.Мы пришли к выводу, что эти действия произведены не Екатериной, а неизвестным взломавшим ее почтовый ящик и рассылающий от ее имени грязную информацию.
В наше сейчас время от взлома уйти очень сложно! Узнать пароль можно без особого напряга, в особенности на http://mail.ru!/! на сегодняшний день это самая дырявая система (не в обиду к создателю!) и лакомый кусочек для хаков! Все эти дыры создают сами создатели Mail.ru ведь удобство в общении это и есть те самые дыры! На Mail.ru можно без труда пробить кто ты и что ты, с кем общаешься и т.д Да и ещё помните интернет это одна большая записная книжка! Так что изучить человека можно без проблем, а также узнать чем увлекается что любит и т.д! Все это называется (индексация поисковых систем!) таким образом можно познакомится под любым видом будь там девушка или мужчина неважно, завести дружбу и т.д, вообщем войти в доверия человека а потом с легкостью получить пароль!
Только я создал почтовый ящик в ноябре месяце, как он был тут же взломан. Я заподозрил, что при взломе использовались какие-то уязвимости почты и пошел разбираться, где ж собака зарыта. Долго ли, коротко ли искал, однако нашел я возможную дыру - и это не дыра, а целые ворота настежь,
приходи и бери пароль. Не знаю, этот ли канал использовали взломщики, но где лежит эта дыра и как ее немного прикрыть, я вам покажу.
Итак, шаря по настройкам ( http://win.mail.ru/cgi-bin/options?####### , я вдруг наткнулся на поразительную ссылку (вида http://win.mail.ru/cgi-bin/userinfo?####### под названием "Анкетные данные: Здесь хранится информация, введенная Вами при регистрации почтового ящика: ФИО, дата рождения, а также
некоторые настройки М-Агента. ".
Чтоб было понятно: несколько лет назад на волне моды на собственные интернет-пейджеры в Mail.ru
сделали аналог ICQ - Mail.ru Агент. Агент ставился по умолчанию при регистрации и помимо чата и проверки почты еще и собирал о пользователе данные о том, чем он в сети занимается - то есть попросту шпионил за ним. Тогда это еще не считалось зазорным - на другом крупном портале, забыл название,такого шпиончика ("колобка", кажется) втыкали всем, кто сдуру браузер на нем открывал, причем "колобок" еще и деинсталляции не поддавался. От Агента же хоть отказаться было можно. Собранные подобным образом данные предполагалось рекламодателям продавать. Через какое-то
время пошла война борьбы с адварезами и мальварезами, да и пользователи поумнели, и сейчас Агент ставят в основном подростки да прочие чайники.
Однако оказалось, что в веб-настройки Mail.ru всем пользователям задним числом добавили экранчик вот такого вида!
И все подчеркнутые мною галочки там были по умолчанию отмечены. В том числе галочка "отображать
эти данные в Mail.ru Агенте". То есть, если вы регистрировали почту на Mail.ru до того, как был придуман Агент, начиная с какого-то момента все ваши основные личные данные (имя, фамилия, дата рождения) стало возможным увидеть через Агент.
А параллельно с этим на Mail.ru была сделана программная система восстановления пароля. Если вы нажмете на "забыл пароль", вам предложат дать ответ на контрольный вопрос.
Однако а ну как вы ответ забыли? И чтобы не перегружать техподдержку тысячами писем от пользователей, в Mail.ru сделали проще.
"Воспользуйтесь СИСТЕМОЙ ВОССТАНОВЛЕНИЯ ПАРОЛЯ". Это не обмен данными с
живым сотрудником, это скрипт, программа. http://mail.ru/cgi-bin/passremind
И вот как она выглядит:
Чтобы получить пароль, не обязательно точно заполнить все поля. Достаточно угадать какую-то их
часть. И скрипт сам, без участия человека, вышлет пароль на тот почтовый адрес, который вы укажете. А что за данные нам нужны? Имя, фамилия, год рождения... и откуда их взять? Правильно, посмотреть в анкете, которую Mail.ru любезно нам покажет через Mail.ru Агент.
Таким образом, у Mail.ru правая рука не знает, что левая делала. Одна вешает замок, другая кладет ключ под коврик. Одни менеджеры используют пользовательские данные для хранения секрета, другие выставляют их напоказ для раскрутки социальной сети и удовольствия рекламодателей.
Сколько времени так продолжалось, я не знаю - возможно, несколько лет.
Еще раз подчеркиваю: анкеты пользователей Mail.ru стали в какой-то момент доступны через Агент без ведома их владельцев и сейчас становаятся доступными по умолчанию. И этих данных вполне достаточно, чтоб, зная ваш адрес, взять у Mail.ru ваш пароль.
Скорее всего, это не последняя дыра в Мэйл.ру, но как уже было сказано, то, что я описываю, это не дыра, это ворота настежь. Это не ошибка и не злой умысел - это просто уму непостижимая глупость менеджмента и инженеров Мэйл.ру.
Ломали ящик у Вас или нет, но вашим первым действием по прочтении поста сейчас должно быть не написать комментарий, а - открыть ваш ящик на Mail.ru, List.ru, Bk.ru или Inbox.ru
- войти в настройки "Анкетных данных"
- отключить все
галочки до одной.
- и поменять заодно все обязательные анкетные данные.
Пока все эти возможности в вашем почтовом аккаунте не отключены
- ВЫ УЯЗВИМЫ.
А сделав все это, возвращайтесь сюда и уже тогда пишите комментарии.
А Ваш почтовый ящик хоть раз, но взламывался?
 |
Результаты опроса (41) | Позвать друзей голосовать |
Опрос с открытыми результатами. Дней до
окончания голосования: 11.
Оставить комментарий
Популярные посты:
Предыдущие записи блогера :
08.01.2010 —
снаряжение явно не
Архив записей в блогах:
Нас спасали пять дней… А ведь ни что не предвещало беды. Первый день нового года прошел вполне нормально, а вот второго января нас ждал « сюрприз » в виде отсутствия отопления в одной из комнат. К 12.00 приехала аварийная служба и … отопление отключили во всех комнатах (( В батар ...
Анна Каренина обгоняет паровоз...
Людмила Стефановна Петрушевская (род. 26 мая 1938, Москва) — русский прозаик и поэтесса, драматург, сценарист, переводчица, исполнительница ...
@eAndyMoneyLab: 11:24:09 Предложение менеджеру транспортного отдела | Такси аэропорт Москва 888 рублей http://t.co/vYGLWNU via @BloggerSentral Оригинал записи и комментарии на LiveInternet.ru ...
У меня есть такая черта, что даже допустив какую-то ошибку в комментарии, я заметив это, обязательно его отредактирую. Это не совсем граммар-нацизм. Скорее для этого надо придумать новый термин: граммар-эстетизм. Чтобы текст легко читался, он ...
Как вы помните, вчера положительный фидбек о ветке советских крейсеров получил James White. Теперь на сеанс уринотерапии глазных яблок явился Sub_Octavian (выделено мной): ***** По итогам разбора собственных ошибок мы увидели, что примерно 50% падения [онлайна] - это технические моме ...
