?

Log in

No account? Create an account
ЖЖ Украина

Самый сок!

всё то интересное в сети, что попало в мои сети


Предыдущий пост поделиться Следующий пост
ЖЖ Украина

Как ломали

Была использована комбинация дыр в ЖЖ и почте. Сначала о ЖЖ: когда вы создаёте новый блог, то указываете свой емейл, на который потом приходят комменты. На него же можно выслать пароль со страницы восстановления, это на случай, если вы его забыли. Так вот, можно добавлять и удалять сколько угодно новых емейлов, но первый остаётся в списке всегда, он неудаляем. И его всегда можно использовать для получения пароля. Не буду расписывать, зачем сделано именно так, но в общем это было задумано СУПом для усиления защиты ЖЖ и как обычно нифига не вышло. Побочные эффекты: если вы, к примеру, зарегистрировали блог на рабочий емейл, а потом сменили место работы, то ваш блог до сих пор является вашим только потому что никто не захотел его отобрать :) Или если вы регистрировались на публичном почтовом сервисе, который затем стал платным и вы оттуда ушли. Или просто потеряли пароль к тому мылу - с этого момента вы не полностью контролируете свой блог.

Что-то подобное было и со мной. Когда я 4 года назад заводил ЖЖ, у меня и в мыслях не было, что это будет что-то для меня важное. Он BTW получился. Постоянным емейлом у меня тогда был ящик на mail.ru, на него и был зарегистрирован аккаунт. Пароль к ящику был надёжным - 10 символов, регистрозависимый, не из словаря. Подобрать такой пароль обычным перебором нереально, да и любой нормальный почтовик, получив пачку попыток залогиниться с разными паролями, забанит IP или ещё что-то сделает. Поэтому как конкретно они взломали ящик - я не знаю. Я думаю рассказать как было дело - в интересах администрации мэйл.ру. Иначе возникают всякие подозрения о торговле паролями, дырявом сервисе и т.д.

Итак, емейл был вломан, хакеры (или "хакер", если Хэлл работает в одиночку) "восстановили" на него ссылку для сброса пароля блога, поставили новый пароль, написали радостный пост и запустили бот, который в цикле удалял посты.

Кому это выгодно
Восстановление
Итоги

promo ibigdan december 3, 2007 00:08
Buy for 1 500 tokens
Если вы хотите сделать хорошую рекламу вашему продукту или услуге - вы зашли по адресу. Блог "Самый сок!" читают во всём мире. Среднее количество просмотров на каждый пост - 50 тысяч, среднее количество просмотров блога в месяц - 4-5 миллионов. Изучить аудиторию блога в разных разрезах можно в…

  • 1
bablikus 23 марта, 2010
1) Откуда узнали мыло на мэйл.ру? Или просто — ibigdan@mail.ru?
2) Есть ли там контрольный вопрос для восстановления пароля, вроде «Как зовут моего кота?»?

ghrar 23 марта, 2010
1. адрес был в профиле, даже я это видел и это не было секретом.
2. контрольный ответ не был тривиальным (хотя я не помню вопроса в точности). самое смешное в том, что мыло.ру имеет ограничение на количество попыток ввода контрольного ответа, но на подбор непосредственно пароля к ящику ограничение существенно слабее (мне однажды пришлось подбирать собственный пароль).
первоначально я вообще подумал, что адрес на мыле.ру самоаннигилировался по признаку неиспользования, но с последней переписки с этим адресом прошло меньше полугода.
способов взлома ящиков много, как для вебморды (кража cookies), так и для pop3/imap.
а ещё события развернулись аккурат после пользования вайфаем от макдональдса)))
мораль - макдональдс вреден! ;-)

bablikus 23 марта, 2010
1. В профиле остаётся первый адрес? Даже после смены мыла?
2. Сломать трояном или по вайфаю кого-то случайного не вопрос, но так попасть на ibigdana?

ghrar 23 марта, 2010
1. ещё раз "да". и Игорь это указал в посте и старые публикации подтверждают http://avva.livejournal.com/1084134.html (п.4)
вот что сыграло роковую роль (имхо, да простит меня Игорь) - наличие почтового адреса в профиле. я всегда стараюсь спрятать свою почту с глаз долой именно по этой причине.
2. даже случайного - вопрос. но "сломанный" как раз и будет спрашивать: "если это случайный процесс, то почему Я!?")
имхо - 50% сыграл Его Величество Случай, поимевший повернувшуюся попой Фортуну.

  • 1