Утечка личной информации пользователей ICQ


Утечка личной информации пользователей ICQ

Был найден недочет в механизме передачи фалов, позволяющий просматривать файлы которые были переданы через ICQ. Уязвимость не позволяет узнать кем и кому был передан фаил.


После того как Маил.ру купила месседжер ICQ у американской компании AOL, в систему передачи файлов были внесены серьезные изменения. При компании AOL, файлы передавались напрямую, от пользователя к пользователю без серверов-посредников. А сейчас, файл, который пытаются передать через ICQ-клиент, сначала сохраняется на сервере, а уже после передается только ссылка на него. Именно в ссылке и кроется недочет.

Но тут лучше объяснять наглядно, ссылка выглядела, примерна так:

http://files.icq.net/files/get?fileId=XXXXXX

Где XXXXXX - это случайно сгенерируемый набор символов и цифр. Такой механизм передачи файлов имеет ряд недостатков. Так как фалов много, практически все ссылки из диапазона XXXXXX уже были сгенерированы кем-то при передаче файлов. При этом любой может перейти по ссылке и скачать фаил.

Практически сразу же был написан скрипт, который генерировал и находил рабочие ссылки, что позволило утечь на файлообменники большому количеству личной информации пользователей, от приватных фотографий до справок и отсканированных паспортов. В настоящее время уязвимость закрыта, а личные файлы гуляют по торрент-трекерам.

Мы вчера максимально быстро перекрыли все возможные действия вредоносного скрипта, написанного для перебора ссылок, а также оперативно заблокировали все его модификации, тиражируемые злоумышленниками в блогосфере.

Доступ по старым коротким ссылкам отключен и включаться не будет. Работа сервиса по передаче файлов сейчас функционирует в рабочем режиме – теперь генерируются безопасные длинные ссылки, обеспечивающие надежную защиту передаваемой информации.

Елена Сорокина Mail.Ru Group, пресс-служба

23.01.2013 15:24
Зеленый Синий Красный Оранжевый Фиолетовый
MineZ сервер