?

Log in

No account? Create an account
ЖЖ Украина

Самый сок!

всё то интересное в сети, что попало в мои сети


Предыдущий пост поделиться Следующий пост
ЖЖ Украина

Как ломали

Была использована комбинация дыр в ЖЖ и почте. Сначала о ЖЖ: когда вы создаёте новый блог, то указываете свой емейл, на который потом приходят комменты. На него же можно выслать пароль со страницы восстановления, это на случай, если вы его забыли. Так вот, можно добавлять и удалять сколько угодно новых емейлов, но первый остаётся в списке всегда, он неудаляем. И его всегда можно использовать для получения пароля. Не буду расписывать, зачем сделано именно так, но в общем это было задумано СУПом для усиления защиты ЖЖ и как обычно нифига не вышло. Побочные эффекты: если вы, к примеру, зарегистрировали блог на рабочий емейл, а потом сменили место работы, то ваш блог до сих пор является вашим только потому что никто не захотел его отобрать :) Или если вы регистрировались на публичном почтовом сервисе, который затем стал платным и вы оттуда ушли. Или просто потеряли пароль к тому мылу - с этого момента вы не полностью контролируете свой блог.

Что-то подобное было и со мной. Когда я 4 года назад заводил ЖЖ, у меня и в мыслях не было, что это будет что-то для меня важное. Он BTW получился. Постоянным емейлом у меня тогда был ящик на mail.ru, на него и был зарегистрирован аккаунт. Пароль к ящику был надёжным - 10 символов, регистрозависимый, не из словаря. Подобрать такой пароль обычным перебором нереально, да и любой нормальный почтовик, получив пачку попыток залогиниться с разными паролями, забанит IP или ещё что-то сделает. Поэтому как конкретно они взломали ящик - я не знаю. Я думаю рассказать как было дело - в интересах администрации мэйл.ру. Иначе возникают всякие подозрения о торговле паролями, дырявом сервисе и т.д.

Итак, емейл был вломан, хакеры (или "хакер", если Хэлл работает в одиночку) "восстановили" на него ссылку для сброса пароля блога, поставили новый пароль, написали радостный пост и запустили бот, который в цикле удалял посты.

Кому это выгодно
Восстановление
Итоги

promo ibigdan december 3, 2007 00:08
Buy for 1 500 tokens
Если вы хотите сделать хорошую рекламу вашему продукту или услуге - вы зашли по адресу. Блог "Самый сок!" читают во всём мире. Среднее количество просмотров на каждый пост - 50 тысяч, среднее количество просмотров блога в месяц - 4-5 миллионов. Изучить аудиторию блога в разных разрезах можно в…

ar00t 23 марта, 2010
не хитрая процедура.

chernijkot 23 марта, 2010
Ну с возвращением в любом случае)

the_cher 23 марта, 2010
пароль от почты могли и строянить...

ibigdan 23 марта, 2010
тоже сложно, у меня тут куча подсетей.

just_meller 23 марта, 2010
я думаю после вашего случая многие усилят защиту своего ЖЖ...

lavradar 23 марта, 2010
еще бы знать как, вот если первый емыл был на майл.ру то как быть ?

lavradar 23 марта, 2010
а что говорит СУП получится восстановить все посты удаленные ботом ?

temporaryyoyo 23 марта, 2010
Все посты есть на фишки.нет в том или ином виде

saboy 23 марта, 2010
интересно, реакция от СУПа будет или нет?

сообщение о смене пароля тоже кто-то должен отправить по идее, а это невозможно без доступа в жж

shaggy73 23 марта, 2010
Почему арбузы так долго телились?

assorty 23 марта, 2010
вот же!!!!! А как восстановили вы все? Блин, а ведь многие меняют тут е-мейл!!! почему неудаляемый первый?! Вот жесть!

tahenka 23 марта, 2010
кому-то Вы сильно не нравитесь

just_meller 23 марта, 2010
Игорь не нравиться тысячам если не миллионам завистников!

gusfrab 23 марта, 2010
как быстро началась ломка без ЖЖ ?

temporaryyoyo 23 марта, 2010
Да какая ломка, у человека шок был, там не до ломки

assorty 23 марта, 2010
Неужели все записи из вашего журнала стерты хакерами безвозвратно?!?!?!?

0_bamov 23 марта, 2010
с возвращением!

bablikus 23 марта, 2010
1) Откуда узнали мыло на мэйл.ру? Или просто — ibigdan@mail.ru?
2) Есть ли там контрольный вопрос для восстановления пароля, вроде «Как зовут моего кота?»?

ghrar 23 марта, 2010
1. адрес был в профиле, даже я это видел и это не было секретом.
2. контрольный ответ не был тривиальным (хотя я не помню вопроса в точности). самое смешное в том, что мыло.ру имеет ограничение на количество попыток ввода контрольного ответа, но на подбор непосредственно пароля к ящику ограничение существенно слабее (мне однажды пришлось подбирать собственный пароль).
первоначально я вообще подумал, что адрес на мыле.ру самоаннигилировался по признаку неиспользования, но с последней переписки с этим адресом прошло меньше полугода.
способов взлома ящиков много, как для вебморды (кража cookies), так и для pop3/imap.
а ещё события развернулись аккурат после пользования вайфаем от макдональдса)))
мораль - макдональдс вреден! ;-)

lightblood 23 марта, 2010
Как хорошо, что я удалил ящик с мэйла )

denismajor 23 марта, 2010
очень плохо, что вы это сделали. кому-то просто надо завести ящик с таким же именем (ведь он удалён, значит имя, по истечении какого-то срока, будет свободно) - и всё.

temporaryyoyo 23 марта, 2010
Не беспокойтесь, все почтовые сервисы примерно одинаковые, Гмаил тоже сломать несложно