Новости из Блогов Пересылаете свои файлы по аське и думаете, что их никто не увидит?

Пересылаете свои файлы по аське и думаете, что их никто не увидит? АХАХАХА


2013-01-12
http://ntv.livejournal.com/289565.html

Пару лет назад Mail.RU купила сервис ICQ. Результат – теперь все, что вы когда-либо пересылали по аське – доступно для скачивания любому пользователю сети! ВООБЩЕ ВСЕ! Почему?

Давным давно, когда один пользователь аськи пересылал другому какой-то файл, их клиенты соединялись друг с другом напрямую через интернет и осуществляли передачу. Сейчас при пересылке файла сам файл закачивается на сервера, принадлежащие Mail.RU, а получателю отправляется только ссылка на такой файл. Ссылка выглядит как "http://files.icq.net/files/get?fileId=XXXXXX", где XXXXXX – это набор букв и цифр, указывающих на файл. Скачать конкретный файл можно, только в точности зная эту последовательность. Безопасно? Нет. Файлы по аське пересылают миллионы людей, и даже указывая случайные комбинации, можно легко получить доступ к файлам случайных пользователей.



Фактически ВСЕ, что вы передавали по аське – доступно любому пользователю интернета. "Но ведь не зная правильной ссылки нельзя скачать мои файлы? Кококо!" – удивятся пользователи аськи. Можно, если например выкачивать вообще все файлы подряд. Именно этим занимается специальный java-скрипт, который сегодня появился в интернете. Он создан анонимно и лишь с одной целью – скачать ВАШИ файлы. Результат часовой работы скрипта – полтора гигабайта фотографий. Покажу некоторые из них.


Кстати, я – не мэил.ру, поэтому все лица, номера, и прочие компрометирующие детали на фотографиях замазаны. Если вы вытянули лоттерейный билет и обнаружили себя на фотках – напишите мне на почту tima собака tima.me и я немедленно удалю фотографию. Начнем!

Вот это все – совершенно случайные фотографии людей, которые воспользовались опцией передачи файлов в аське. Доступ к ним может получить абсолютно любой человек. Единственная возможность защитить свою информацию – не передавать файлы по аське!

Внимание! Дальнейшая информация предназначена только для установления факта публикации собственных файлов! Не используйте ее для каких-либо противозаконных действий.

Скрипт можно скачать по адресу http://rghost.ru/42926385
Исходный код скрипта http://pastebin.com/n1qpNM4y

Анон доставил исправленную версию скрипта, которая качает напрямую с files.mail.ru: http://rghost.ru/42958683
Запускать с помощью команды "java -jar ifs.jar".

Авторство программы неизвестно, так что благодарить некого. Авторство дыры, позволяющей смотреть чужие фотографии известно – спасибо Mail.RU! Удивительно, как можно было придумать настолько кривой способ файлообмена.



Самое страшное, что под удар попадают без преувеличения миллионы людей, пользующихся сервисом. Они доверили ему свою частную жизнь, свои секреты и тайны. И все прахом, только потому что кое-кто срать хотел на такие вещи, как безопасность и приватность. Батхерт по всей стране. У меня, если честно, даже такой гифки, иллюстрирующей всю глубину этого провала, нету. Придется обойтись стандартной!



И все это – MAIL.RU. Национальная почтовая служба!

Контакты для СМИ: +79165100453
Если вам понравился пост, рекомендую добавить журнал в друзья, это можно сделать здесь.

UPD1! У квипа такая же дыра, но последовательность символом больше на два знака и учитывается регистр букв, и сервис не позволяет скачивать напрямую. Сейчас еще уточню детали.
UPD2! Кажется мы немного уронили серваки мэйла ой
UPD3! Нет, все-таки дыра се еще на месте и серваки работают. Проблемы с доступом проявляются периодически, возможно только для некоторых подсетей, так что смело качайте скрипт и проверяйте свои фотографии на доступность. Самые интересные можно выложить в каменты.
UPD4! Все, разобрались. Мэйловцы тупо удалили DNS-запись сервера files.icq.net, но если заменить его на files.mail.ru – ВСЕ РАБОТАЕТ! Ахахаха, какие же там дибилы сидят.
UPD5! Анон доставил новую версию скрипта, который качает напрямую с мейла. Все работает: http://rghost.ru/42958683
UPD6! Кажется, files.mail.ru тоже все. Если у вас не работает скрипт, попробуйте про прописать адреса серверов напрямую в hosts.