Информация и файлы пользователей ICQ попали в открытый доступ http://files.icq.net/files/get?fileId=B933AD32FEC8437286428A9EC26FEFAA http://file es.icq.net/files/get?fileId=1A0785772E6D4BA3A1CAC0D53FD

18 июня 2012 - Администратор

Информация и файлы пользователей ICQ попали в открытый доступ

Информация и файлы пользователей ICQ попали в открытый доступ

В системе пересылки файлов через ICQ блогеры обнаружили серьезную уязвимость.


Об уязвимости в ICQ сообщил рано утром в субботу анонимный блогер, пишущий на LiveJournal под именем ntv. Раньше, когда один пользователь "аськи" пересылал другому файл, их клиенты соединялись напрямую через интернет, объяснил он. Но летом 2010 г. владельцем ICQ стала российская Mail.ru Group; с тех пор, пишет блогер, файлы закачиваются на ее серверы, а получателю отправляется только ссылка http://files.icq.net/files/get?fileId=XXXXXX, где XXXXXX — динамически генерируемый набор букв и цифр. Зная последовательность этих символов, можно скачать любой файл, делает вывод блогер и приводит в подтверждение своих слов несколько десятков фотографий, скачанных, по его утверждению, из "аськи", сообщает Securitylab.ru.

Поиск конкретного файла сводится к перебору примерно 2 млрд комбинаций, подсчитали авторы сервиса блогов Habrahabr.ru. Но в выходные в интернете появилась специальная программа (java-скрипт), позволяющая скачать из "аськи" все файлы подряд, объясняет блогер. В воскресенье доступ к этому архиву уже был закрыт

Подобным образом были доступны и все файлы, загруженные через интерфейс files.mail.ru. Впрочем, администрация mail.ru оперативно отреагировала на появление подобной информации в публичном доступе и закрыла доступ к домену files.icq.net. При этом файлы еще оставались доступными некоторое время через домен files.mail.ru.

Доступ к файлам с привязкой к владельцу файла (ФИО, номер ICQ) доступен по адресу: http://files.mail.ru/XXXXXX , а предварительный просмотр файлов доступен по ссылкам: http://files.mail.ru/XXXXXX?t=1

"Ведомости" же со ссылкой на сотрудницу пресс-службы Mail.ru Group утверждают, что скрипт, действия которого блокировала Mail.ru Group, мог скачать лишь файлы, пересланные через ICQ недавно: они хранятся на сервере ограниченное время, а затем удаляются. По ее словам, это первый случай, когда кто-то попытался скачать эти файлы, воспользовавшись тем, что для обмена ими ICQ использовала короткие ссылки, а не такие длинные, какие генерирует, например, почта Mail.ru. Риски для пользователей ICQ она считает крайне незначительными: файлы, которые могла скачать программа, не содержат данных о том, кто и кому их пересылал. А теперь в ICQ введены такие же безопасные длинные ссылки, как и в других сервисах Mail.ru Group, говорит она.

Эксперт по информбезопасности компании "Андэк" Олег Глебов советует пользователям ICQ, пересылавшим фото, на время заблокировать от внешних просмотров свои аккаунты — прежде всего в соцсетях: получив анонимные фото, злоумышленники могут использовать средства поиска похожих изображений. А впредь он рекомендует передавать файлы в мессенджерах строго в запароленных архивах.

Источник - http://www.topnews.ru/
Рейтинг: 0 Голосов: 0 1360 просмотров

Нет комментариев. Ваш будет первым!