Когда система проектируется и реализуется без оглядки на вопросы информационной безопасности, то в процессе эксплуатации рано или поздно появляется ситуация, когда нужно срочно делать патчи и латать дырки. И несмотря на то, что огромное количество отрицательных примеров отлично показывает, что нет никакого смысла экономить на привлечении безопасников к проектированию систем, но, тем не менее, всё новые компании наступают на те же грабли. Не стала исключением и Mail.ru Group.
Давным давно, когда один пользователь аськи пересылал другому какой-то файл, их клиенты соединялись друг с другом напрямую через интернет и осуществляли передачу. Сейчас при пересылке файла сам файл закачивается на сервера, принадлежащие Mail.RU, а получателю отправляется только ссылка на такой файл. Ссылка выглядит как "http://files.icq.net/files/get?fileId=XXXXXX", где XXXXXX – это набор букв и цифр, указывающих на файл. Скачать конкретный файл можно, только в точности зная эту последовательность. Безопасно? Нет. Файлы по аське пересылают миллионы людей, и даже указывая случайные комбинации, можно легко получить доступ к файлам случайных пользователей.
Дальше тут , с матом и фото пользователей "Аськи" в стиле "ню"
Про пересылку фотографий документов через сеть по любому незащищенному каналу можно говорить долго и со вкусом, но всё-таки даже в таких случаях те службы, где пользователь может сам контролировать судьбу своих данных (например, FTP'шник на своём персональном сайте) выглядят явно более предпочтительно, чем такие, как "аська" или файлообменники. Но речь сейчас, в общем-то, совсем не о том, что пользователи любят пересылать документы через ICQ, а о том, компания Mail.ru лажанулась. Нет, ЛАЖАНУЛАСЬ. Вот так.
Какие уроки можно извлечь из этого? Пересылать файлы нужно ТОЛЬКО по защищенным каналам (VPN - самое то), а если вдруг, не дай Бог, что-то важное необходимо передать по той же аське или, хуже того, по электронной почте, причем в адресе отправителя или получателя есть mail.ru, hotmail.com, gmail.com и прочие yandex.ru, то пересылать всё нужно только в запароленном архиве, причем пароль должен иметь длину не меньше десятка знаков, и не 1234567890, а что-то посерьезнее. Хотя и парольная защита - та еще гадость, но это уже совсем другой разговор.
В общем, как обычно, не стоит доверять ни владельцам сервиса, которым вы пользуетесь, ни тому, кому вы что-то пересылаете. Нужно три раза подумать, прежде чем что-то пересылать, потому что предосторожности лишними никогда не бывают.
Р. Идов,
ведущий аналитик компании SearchInform
