Некорректная работа Рамблер-почты позволяет собирать спам-базу

Александр Панасенко 01 Июля 2009 - 12:24

...

28 июня 2009 года на одном из специализированных форумов автором под ником Exitusletaris была опубликована информация о том, что на rambler.ru при регистрации новой почты или при клике по ссылке восстановления пароля становится возможным перехватывать чужие сессии, причем при обновлении страницы сессия меняется. Причиной «бага» стал неправильно работающий скрипт reminder.cgi, что позволяет собрать спам-базу.

На следующий день другой автор под ником Panaslonik представил методику, использующую данную уязвимость. За два с половиной часа было получено 13686 файлов-ответов, то есть ответы шли со скоростью 1,55 ответа в секунду. В результате выборочной ручной обработки было выявлено, что «Имя Фамилия» всегда соответствовали «e-mail», даже при повторениях, некоторым именам случайным образом иногда давался номер ICQ, причем каждый раз другой. И иногда их было даже два абсолютно разных на одной странице. Затем с помощью парсера были извлечены «Имя Фамилия» и «e-mail», посчитаны количество уникальных имен и выдан результат в файл с разделителями, который пригоден для дальнейшего анализа в Excel. Таким образом, были получены 2417 уникальных e-mail адресов. Автор сделал вывод, что таким образом злоумышленники могли получать 0,27 адреса в секунду или 16,2 адреса в минуту.

Несмотря на то, что данный способ кажется немного медленным по сравнению с другими способами получения уникальных e-mail-адресов. При том что формирование базы для спама с помощью парсеров, явление весьма распространенное. Однако в данном случает на практике была продемонстрирована одна из серьезных уязвимостей, которые, видимо, могут иметься и у других поисковиков.

В компании «Рамблер» сообщили, что ошибка уже исправлена. «Мы постоянно обновляем и улучшаем почту, в том числе и с точки зрения ее безопасности, - прокомментировал руководитель коммуникационных сервисов «Рамблера» Павел Рогожин. - После одного из таких обновлений возникла внештатная ситуация. Ошибка была устранено оперативно. Никто из наших пользователей не обращался в службу поддержки по поводу этого инцидента. Если же у клиентов почты «Рамблера» возникли какие-либо трудности, с этим связанные, – мы готовы их быстро решить».

источник

Следующая главная новость »

Контейнерные среды под атакой: как защищаться в 2026 году?
Регистрируйтесь на эфир!

Читайте также

Госдума оказалась без связи

Яков Шпунт 12 Марта 2026 - 16:22

Соответствие законодательству РФ Общее Системы контентной веб-фильтрации

Здание Госдумы на Охотном Ряду осталось без мобильной связи и доступа к интернету. Проблемы со связью, по данным источников, начались 11 марта. В здании не работает мобильная связь от МТС, «Билайна» и «МегаФона», а также сеть Wi-Fi.

О проблемах со связью в здании на Охотном Ряду сообщил РБК со ссылкой на источник в нижней палате парламента.

«В Госдуме перестал работать думский Wi-Fi. Ещё вчера он ловил не на всех телефонах, а теперь обеих сетей (одна для всех, другая под паролем, причём вчера её тоже не было) просто нет», — написал депутат Михаил Делягин в своём телеграм-канале.

Отключения мобильной связи и интернета действуют в Москве с 5 марта. В первый день они затронули южную часть города, затем сместились в центр. Ограничения вводятся точечно и охватывают отдельные участки в пределах нескольких улиц или кварталов.

По подсчётам, ущерб бизнеса от отключений связи составил по состоянию на 11 марта от 3 до 5 млрд рублей. Ситуацию дополнительно осложняет то, что не работают многие сервисы из «белого списка», которые должны оставаться доступными даже при отключении мобильного интернета.

Контейнерные среды под атакой: как защищаться в 2026 году?
Регистрируйтесь на эфир!