8 Сентября, 2009

Внимание опасность: "Бесконечный спам от имени друзей" или Добро пажаловать всем на http://www.odnoklassniki.ru/

Dmitriy Rogozinskiy
Все началось с получением мне от имени моей сестры сообщения о "холявном начислении единиц на счет сотового телефона при отправке СМС на определенный номер". Позже от других моих друзей начали приходить жалобы что уже от моего имени рассылается спам рекламного характера. Так как я сам в здравом уме и твердой памяти и не отсылал никаких сообщений, то сделал предположение что пароль от одноклассников был подобран. Однако так как сам являюсь администратором, то у меня выработалась практика использования сложных паролей(пароль пароноидальных). Следовательно подобрать пароль от одноклассников было нереально.
Остались два варианта :
  • либо внутренний Inside с кражей базы пользователей сайта одноклассников
  • либо пароль был перехвачен (и это оказалось более вероятным)

Дело в том, что владельцы сайта http://www.odnoklassniki.ru/ просто идиоты, которые даже не соблюдают элементарные правила безопасности передачи конфиденциальной информации через Internet: любая информация пользователя (логин,пароль,личный e-mail, контрольное слово и т.п.) передается по прозрачному каналу HTTP, а не HTTPS (как это принято во всем мире).

В результате любые действия пользователя на сайте включая вход на сайт с логином и паролем, смена пароля, смена контрольного слова и т.п. могут протоколироваться по схеме "Man-in-the-middle attack" и использоваться от имени пользователя для рассылки спама. И чем ближе(на стророне провайдера) к сайту сидит хакер со снифером тем больший охват "аудитории" и масштабнее атака. Так при логине любого пользователя одноклассников логин и пароль передается открыто на URL http://wg51.odnoklassniki.ru/cdk/st.cmd/login/tkn/5609 (заметте по HTTP, а не HTTPS !!!).
Воистину, как сказал Александр Абдулов,"Страна непуганных идиотов". После такого грубого пренебрежения владельцами сайта безопасностью данных пользователей сайт не имеет права на существование.
Банк после такого безобразия давно лишился бы лицензии и стал бы банкротом.
:evil:

PS: Кстати, этой дыркой в безопасности грешать большинство популярных форумов, блог-сайтов, порталов. Не избежал этой опасности и сам сайт, где расположен данный блог, но одно дело мелопосещаемый сайт(который "прослушивать" по принципу MIM вряд ли кто-то будет) и совсем другое дело - сайт http://www.odnoklassniki.ru/
comments powered by Disqus