Все файлы пользователей ICQ находятся в открытом доступе (обновлено)

image

Теги: ICQ, утечка данных

Если вы пользователь ICQ и когда-то передавали файлы через сервис мгновенных сообщений – эти файлы доступны всем.

Все файлы пользователей ICQ, которые те передавали в своих сообщениях, до утра сегодняшнего дня можно было свободно скачать с сервера ICQ по адресу http://files.icq.net/files/get?fileId=XXXXXX, где XXXXXX – название файла. Доступ к файлам ограничивался всего лишь 6-значним ключом, состоящим из заглавных букв и цифр. Об этом написал на странице своего ЖЖ блоггер под ником ntv.

Таким образом, легко предсказуемую ссылку на файлы можно было сгенерировать простым сценарием и заполучить доступ к файлам пользователей. Среди обнаруженных на сервере файлов оказались довольно компрометирующие изображения порнографического содержания, копии различных документов, личные фотографии и пр.

Подобным образом были доступны все файлы, загруженные через интерфейс files.mail.ru.

Администрация mail.ru оперативно отреагировала на появление подобной информации в публичном доступе и закрыла доступ к домену files.icq.net. При этом файлы еще оставались доступными некоторое время через домен files.mail.ru.

Доступ к файлам с привязкой к владельцу файла (ФИО, номер ICQ) доступен по адресу: http://files.mail.ru/XXXXXX, а предварительный просмотр файлов доступен по ссылкам: http://files.mail.ru/XXXXXX?t=1

Следует отметить, что с подобными проблемами сталкиваются многие контент-провайдеры. Например, относительно недавно каждый желающий мог аналогичным образом подобрать ссылку и просмотреть файлы пользователей сервиса CloudApp.

Комментарий от пресс-службы Mail.Ru Group

"На самом деле мы максимально быстро перекрыли все возможные действия вредоносного скрипта, написанного для перебора ссылок, а также оперативно заблокировали все его модификации, тиражируемые злоумышленниками в блогосфере.
Доступ по старым коротким ссылкам отключен и включаться не будет. Работа сервиса по передаче файлов сейчас функционирует в рабочем режиме – теперь генерируются более безопасные длинные ссылки, обеспечивающие надежную защиту передаваемой информации"


или введите имя

CAPTCHA
Страницы: 1  2  
bird
12-01-2013 20:55:46
Подобная проблема была/есть у QIP!
0 |
Пашка
14-01-2013 09:21:16
О боже и во вконтакте доступны файлы пользователей!
0 |
14-01-2013 12:01:34
В "Вконтакте" пользователь знает, что файл будет публичный. Да и тут наверное ещё факт один играет, что беседа идёт между двумя пользователями и доверие на передачу файла намного выше. И в "вконтакте" ссылка случайная очень...
0 |
14-01-2013 09:56:35
в 2013 году еще можно услышать подобное мнение? откуда вы такие ретрограды беретесь расскажите про jabber гуглу, фейсбуку, жж, вконтакте, яндексу, а то мужики не знают, на чем нужно строить мессенджеры
0 |
Loki
14-01-2013 10:06:24
При чём тут жаббер? Уязвимость-то не в оскаровском протоколе,а в методике хранении файлов на серверах.Чем тут переход на жабу поможет?
0 |
14-01-2013 12:04:50
Чем тут переход на жабу поможет? Ну может хотя бы не все jabber-серверы "выкачивают" сначала файлы к себе, а потом выдают "сокращённые" ссылки до беспредела...
0 |
ыав
14-01-2013 17:01:34
Вы не правы. До сих пор это мнение популярно в среде "проффессиональных разработчков" а также людей привыкших всё покупать. Пост выше - троллинг, но увы капитализм головного мозга неизлечим.
0 |
_______1
17-01-2013 00:18:55
капитализм головного мозга неизлечим. а ещё очень заразен и легко переходит в копиразм/копирастию (хз как правильно) головного мозга.
0 |
16-01-2013 06:41:16
Мужики знают что на ХАЛЯВЕ можно срубить, на программистах сэкономить!
0 |
Самаритянин
14-01-2013 10:16:49
Ну как же толсто! тролль такой тролль.
0 |
fdshzkjghjfdks
14-01-2013 14:50:18
Сначала сам напиши хотя бы так, а потом рассуждай
0 |
654654
14-01-2013 16:48:16
точнее http://lurkmore.to/%D0%A1%D0%BF%D0%B5%D1%80%D0%B2%D0%B0_%D0%B4%D0%BE%D0%B1%D0%B5%D0%B9%D1%81%D1%8F
0 |
Страницы: 1  2