Пароли в Mail.Ru крадутся из-за уязвимости?



В конце недели в Рунете появились и стали активно обсуждаться предположения о существующей в Mail.Ru уязвимости, якобы позволяющей достаточно легко взламывать почтовые ящики пользователей Mail.Ru. Как пишет в своем журнале автор этих предположений, у него недавно взломали ящик на Mail.Ru, что и сподвигло его на анализ того, каким образом ящик мог быть взломан. Как пишет автор, "долго ли, коротко ли искал, однако нашел я возможную дыру - и это не дыра, а целые ворота настежь, приходи и бери пароль".

Гипотеза об уязвимости строится вокруг существующего у Mail.Ru мессенджера под названием Mail.Ru Агент. Начав свое повествование с критики "Mail.Ru Агента" и отметив, что "Агент ставился по умолчанию при регистрации и помимо чата и проверки почты еще и собирал о пользователе данные о том, чем он в сети занимается - то есть попросту шпионил за ним", автор излагает суть своей гипотезы, которая сводится к следующему: если пользователь установил у себя программу "Mail.Ru Агент", то злоумышленник (у которого также установлен "Mail.Ru Агент") может легко прочитать анкету пользователя, а затем получить доступ к его ящику на Mail.Ru, просто воспользовавшись автоматической системой восстановления забытого пароля - для восстановления пароля достаточно ввести лишь часть данных о пользователе, и эта часть данных вполне может быть почерпнута из анкеты этого пользователя, доступ к которой можно получить через мессенджер "Mail.Ru Агент". Вот такая гипотеза. В блоге автора она излагается более детально, со скриншотами и комментариями.

Для справки: Mail.Ru Агент - это мессенджер, интегрированный со всеми сервисами Mail.Ru - служба погоды, чат, система поиска, гороскоп и т.д. Остальные функции программы соответствуют традиционному набору наиболее популярных Интернет-пейджеров: способность получать извещения о новых письмах (правда, приходящих только на Mail.Ru), отправка сообщений в оффлайн, показ статуса абонентов.

Ссылки по теме:

Скачать Mail.Ru Агент (последняя версия программы)
Mail.Ru Агент: вышла веб-версия

Автор: Softodrom.ru
Дата:


Ujcnm
Ujcnm, 08.02.2010 16:58
Касается инструментов восстановления доступа к любым сервисам по контрольному вопросу-ответу: не правда ли, титанически трудно догадаться использовать эту фичу в качестве дополнительного пароля-отзыва? :)Скажем, указав в качестве своего вопроса какую-нибудь белиберду, а в качестве ответа какую-нибуд...
djalin
djalin, 29.09.2009 01:04
Скажу так коли разом з агентом встановлюється спутнік і ще щось, то це вже не корисна програма - хоча й вірусом назвати важко.Щодо крадіжок - то для спаму красти не обов'язково, достатньо просто знати логін - і все - при відправці пошти достатньо - там пароль не перевіряється.Точніше перевіряється т...
olegtom
olegtom, 26.09.2007 00:07
windows ни при чем. jabber
as_pushkin
as_pushkin, 25.09.2007 15:46
Причина в том, что пользователи юзают венду. :) А кстати, какой протокол там используется?
AllEsc
AllEsc, 24.09.2007 17:39
Я тоже это подозревал. Посмотрите внимательно на то что устанавливаться с Майловским 4.10 агентом. Какойто МТАгент, совершенно другая прога,и тихо при установки ведет.Выдернуть её на...
» Прочитать остальные / Написать свой комментарий


Новости > Безопасность > Пароли в Mail.Ru крадутся из-за уязвимости?
Все рубрики статей:
Топ-сегодня: Безопасность
Патрушев рассказал об опасности использования Google
Это системный вопрос для всей России, но в Южном федеральном округе он стоит особенно остро
Украинская группировка Coinhoarder заработала $50 млн на клонах сайта о криптовалюте
Украинская преступная группировка Coinhoarder заработала более 50 млн долларов, заманивая энтузиастов криптовалюты из развивающихся стран на фишинговые сайты
Биометрическая идентификация граждан заработает с 1 июля
Беров также добавил, что данные пользователей будут передаваться по защищенным каналам связи, использующим отечественные криптоалгоритмы
Зафиксирована новая многоступенчатая атака через Word
В данном случае распространители вредоносного ПО полагаются не на макросы Microsoft Office, а на OLE-функциональность, позволяющую запустить сложную цепочку заражения
«Полицейские» вымогатели остаются главной угрозой для Android
Наиболее опасное нововведение вирусописателей – использование вредоносным ПО службы специальных возможностей Android Accessibility Service, облегчающей работу с устройством для людей с ограниченными возможностями
Новые статьи: Безопасность
Украинская группировка Coinhoarder заработала $50 млн на клонах сайта о криптовалюте
Украинская преступная группировка Coinhoarder заработала более 50 млн долларов, заманивая энтузиастов криптовалюты из развивающихся стран на фишинговые сайты
Патрушев рассказал об опасности использования Google
Это системный вопрос для всей России, но в Южном федеральном округе он стоит особенно остро
«Полицейские» вымогатели остаются главной угрозой для Android
Наиболее опасное нововведение вирусописателей – использование вредоносным ПО службы специальных возможностей Android Accessibility Service, облегчающей работу с устройством для людей с ограниченными возможностями
Биометрическая идентификация граждан заработает с 1 июля
Беров также добавил, что данные пользователей будут передаваться по защищенным каналам связи, использующим отечественные криптоалгоритмы
Зафиксирована новая многоступенчатая атака через Word
В данном случае распространители вредоносного ПО полагаются не на макросы Microsoft Office, а на OLE-функциональность, позволяющую запустить сложную цепочку заражения

Статистика | Рейтинги | Авторам | Реклама
Copyright © 1999-2018 Softodrom.ru
О перепечатках | Рассылки | Пользовательское соглашение | Политика конфиденциальности | О проекте | Карта сайта
В Опере нет автоматического способа добавить поиск по Софтодрому.
Чтобы вручную добавить поиск по Софтодрому, нужно сделать следующее:
  1. Нажать Ctrl+F12.
  2. Выбрать вкладку «Поиск».
  3. Нажать «Добавить» (Add).
  4. В появившемся окне:
    1. Заполнить название (Softodrom.ru).
    2. Заполнить адрес: https://www.softodrom.ru/Поиск/?text=%s&qs
      Если нет поля «адрес», то кликнуть на «Подробнее».
    3. Остальные поля заполнить по желанию.
  5. Нажать «ОК».