8 Сентября, 2009

Внимание опасность: "Бесконечный спам от имени друзей" или Добро пажаловать всем на http://www.odnoklassniki.ru/

Dmitriy Rogozinskiy
Все началось с получением мне от имени моей сестры сообщения о "холявном начислении единиц на счет сотового телефона при отправке СМС на определенный номер". Позже от других моих друзей начали приходить жалобы что уже от моего имени рассылается спам рекламного характера. Так как я сам в здравом уме и твердой памяти и не отсылал никаких сообщений, то сделал предположение что пароль от одноклассников был подобран. Однако так как сам являюсь администратором, то у меня выработалась практика использования сложных паролей(пароль пароноидальных). Следовательно подобрать пароль от одноклассников было нереально.
Остались два варианта :
  • либо внутренний Inside с кражей базы пользователей сайта одноклассников
  • либо пароль был перехвачен (и это оказалось более вероятным)

Дело в том, что владельцы сайта http://www.odnoklassniki.ru/ просто идиоты, которые даже не соблюдают элементарные правила безопасности передачи конфиденциальной информации через Internet: любая информация пользователя (логин,пароль,личный e-mail, контрольное слово и т.п.) передается по прозрачному каналу HTTP, а не HTTPS (как это принято во всем мире).

В результате любые действия пользователя на сайте включая вход на сайт с логином и паролем, смена пароля, смена контрольного слова и т.п. могут протоколироваться по схеме "Man-in-the-middle attack" и использоваться от имени пользователя для рассылки спама. И чем ближе(на стророне провайдера) к сайту сидит хакер со снифером тем больший охват "аудитории" и масштабнее атака. Так при логине любого пользователя одноклассников логин и пароль передается открыто на URL http://wg51.odnoklassniki.ru/cdk/st.cmd/login/tkn/5609 (заметте по HTTP, а не HTTPS !!!).
Воистину, как сказал Александр Абдулов,"Страна непуганных идиотов". После такого грубого пренебрежения владельцами сайта безопасностью данных пользователей сайт не имеет права на существование.
Банк после такого безобразия давно лишился бы лицензии и стал бы банкротом.
:evil:

PS: Кстати, этой дыркой в безопасности грешать большинство популярных форумов, блог-сайтов, порталов. Не избежал этой опасности и сам сайт, где расположен данный блог, но одно дело мелопосещаемый сайт(который "прослушивать" по принципу MIM вряд ли кто-то будет) и совсем другое дело - сайт http://www.odnoklassniki.ru/
или введите имя

CAPTCHA
Merkabo
30 Января, 2011
есть ли возможность определить логин пользователя, чтобы отсеить ненужный хлам
0 |
сергей
3 Февраля, 2011
согласен на все100 пароль перехватывается.на сайт не зайдёш.предлагают зарегистрироваться поновому
0 |
Николай
5 Января, 2013
О безопасности "Одноклассников"
Доброго времени суток! Прошу совета по восстановлению доступа в одноклассники. Получил сообщение о взломе своей странички. И ссылка зайти на "bezotveta@odnoklassniki.ru" для восстановления доступа. Не очень-то угораю по этому сайту. О себе я там накалякал минимум необходимого+фотомордочка, то биш "аватар". Кому надо-узнают. Это почти единственная возможность для меня пообщаться с друзьями детства. Мало кто в нашем возрасте, я 1949 г/р может пользоваться ПК. Но вот меня угораздило. Наши внуки в этом отношении куда более сведущи. Но к сожалению, не в вопросах безопасности. Я работал в win7Ultimatum v.7601, установленной, с оф. сайта м.м. Д/п. "Avast freee" + "Comodo firewall". Раз в неделю прогонял лечащей утилитой Dr.Web, естественно последней версией. Как видите, не спасло. Куда попало не лез, на гнилые ссылки не кидался. Помогите, если возможно. Благодарю, хотя-бы за за то, что выслушали. P.S. Извините, забычился на своем, С наступившим Новым годом всех и приближающимся Рождеством! Здоровья и Удачи!
0 |
YAGONAM OZING
31 Марта, 2015
Jonim
0 |