История: взлом mail.ru

Автор: acid Сайт: http://www.hacknews.com/
   
   Наверно все помнят взлом www.mail.ru, летом 2000 года. Для многих способ взлома остается загадкой, а некоторые из вас уже возможно знают как все происходило. На днях мой приятель рассказал в подробностях, как можно было получить пароль от ЛЮБОВО ящика на почтовом сервере mail.ru. Псевдоним моего знакомого как вы сами понимаете, не будет разглашаться по понятным всем причинам.
   
   А процедура получения пароля была простой до безобразия, и практически не требовало никаких усилий. Начнем! Для начало с главной страницы mail.ru, надо было пойти по ссылке "Забыли пароль ?". Далее спрашивался login name к ящику, как ты уже наверно догадался, там следовало указать тот ящик который тебе нужен. После этого щелкнув на кнопку далее, ты должен ответить на секретный вопрос (если он был введен при регистрации), в поле ответ, писать можно было что угодно, и щелкнув далее переходить к следующей части получения пароля. Здесь тебе предлагалось указать различного рода информацию для получения пароля на e-mail, вводить можно было что хочешь, главное заполнить все поля. Щелкнув на запрос, сервер генерировал страничку, в которой говорилось о том, что информация передана в поддержку mail.ru и т.д., как раз таки в этой страничке и находилось желанное! Просмотрев ее source в HTML, формате, пароль находился вот здесь:
   
   <input class="toplog" type="text" name="Login" value="password" size="8">
   
   Да, да, вот так все просто !!!
   
   Ну все еще остается много непонятного… Например почему админы mail.ru не закрыли данную уязвимость в течении хотя бы 2-х ней (по различного типа источникам дыркой можно было пользоваться в течении недели, а то и больше!). О дырке кричали везде где только можно, все форумы были заспамены вопросами о mail.ru (я не думаю, что никто из админов mail.ru этого не видел). Скорее всего дырку оставили специально, для c00l haks0r0v которые проделавши выше описанную операцию, заносились в нехороший лог файл :) . А с другой стороны пришлось пойти на немалые жертвы… вы только представьте, сколько ICQ уинов было спионерино и сколько человек потеряло e-mail. Вот-вот, я о том же...
   

Опубликовано: HTTP://WWW.R-T-F-M.INFO, pauk ©® 2000-2011.
All rights reserved.
При перепечатки ссылка на сайт обязательна.
Мнение администрации сайта не всегда совпадает с мнением автора..