Передаваемые по ICQ файлы доступны всем желающим
В хорошо известном IM-мессенджере ICQ, с 2010 года принадлежащем компании Mail.ru, обнаружили здоровенную дыру в безопасности. Оказывается, файлы, которые пересылаются через этот мессенджер, могут легко заполучить сторонние лица. Хорошо, если это окажется очередное фото ребенка в варенье или котика с iPad. А может повезти меньше и в руки недоброжелателей попадет что-нибудь посущественнее. Например, компромат с вашей милой семейной вечеринки в садо-мазо стиле. Или скан паспорта, договора продажи души за царевну и скромные полцарства, а заодно и секретные документы тайной бухгалтерии прачечной Аль Капоне.
Все дело в том, что с некоторых пор в ICQ файлы передаются от отправителя получателю не напрямую, а сохраняется на один из серверов Mail.ru, получателю отправляется ссылка на файл, тот его скачивает. Сам файл никуда не девается с сервера, как, разумеется, и ссылка. Зная ссылку ("http://files.icq.net/files/get?fileId=XXXXXX") можно заполучить в свои загребущие ручки вожделенный Ответ на главный вопрос жизни, вселенной и всего такого, если только его догадаются передать с помощью аськи в виде файла. Конечно, некоторую трудность вызывает неизвестность на какую именно последовательность букв и цифр надо заменить "XXXXXX" в URL. Но это не остановит любознательного исследователя, например, в сети уже доступен java-скрипт, который просто скачивает файлы подряд.
В качестве доказательства существования этой дыры пользователь ЖЖ ntv опубликовал огромную галерею фотографий, выкачанных за полтора часа работы скрипта. Любопытные могут полюбопытствовать, узнавшие на фото себя - написать автору блога и попросить удалить компромат из поста. Также ntv отмечает, что Mail.ru, судя по всему, уже начала работать над проблемой - сначала была удалена DNS-запись сервера files.icq.net, однако при замене на files.mail.ru "хак" продолжал работать. Затем перестала работать и эта лазейка, но в сети уже появилась версия скрипта, работающего с серверами напрямую.
© Ferra.ru