Некорректная работа Рамблер-почты позволяет собирать спам-базу

Некорректная работа Рамблер-почты позволяет собирать спам-базу

...

28 июня 2009 года на одном из специализированных форумов автором под ником Exitusletaris была опубликована информация о том, что на rambler.ru при регистрации новой почты или при клике по ссылке восстановления пароля становится возможным перехватывать чужие сессии, причем при обновлении страницы сессия меняется. Причиной «бага» стал неправильно работающий скрипт reminder.cgi, что позволяет собрать спам-базу.

На следующий день другой автор под ником Panaslonik представил методику, использующую данную уязвимость. За два с половиной часа было получено 13686 файлов-ответов, то есть ответы шли со скоростью 1,55 ответа в секунду. В результате выборочной ручной обработки было выявлено, что «Имя Фамилия» всегда соответствовали «e-mail», даже при повторениях, некоторым именам случайным образом иногда давался номер ICQ, причем каждый раз другой. И иногда их было даже два абсолютно разных на одной странице. Затем с помощью парсера были извлечены «Имя Фамилия» и «e-mail», посчитаны количество уникальных имен и выдан результат в файл с разделителями, который пригоден для дальнейшего анализа в Excel. Таким образом, были получены 2417 уникальных e-mail адресов. Автор сделал вывод, что таким образом злоумышленники могли получать 0,27 адреса в секунду или 16,2 адреса в минуту.

Несмотря на то, что данный способ кажется немного медленным по сравнению с другими способами получения уникальных e-mail-адресов. При том что формирование базы для спама с помощью парсеров, явление весьма распространенное. Однако в данном случает на практике была продемонстрирована одна из серьезных уязвимостей, которые, видимо, могут иметься и у других поисковиков.

В компании «Рамблер» сообщили, что ошибка уже исправлена. «Мы постоянно обновляем и улучшаем почту, в том числе и с точки зрения ее безопасности, - прокомментировал руководитель коммуникационных сервисов «Рамблера» Павел Рогожин. - После одного из таких обновлений возникла внештатная ситуация. Ошибка была устранено оперативно. Никто из наших пользователей не обращался в службу поддержки по поводу этого инцидента. Если же у клиентов почты «Рамблера» возникли какие-либо трудности, с этим связанные, – мы готовы их быстро решить».

источник 

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

В России предложили штрафовать за поиск экстремистских материалов и VPN

Ко второму чтению законопроекта №755710-8 предложены поправки, вводящие штрафы за умышленный поиск и получение доступа к «заведомо экстремистским материалам», а также за рекламу VPN-сервисов и других технических средств, позволяющих обходить блокировки.

Поправки внесены в законопроект о внесении изменений в КоАП, изначально касавшийся исключительно регулирования транспортно-экспедиционной деятельности. Документ был принят в первом чтении 20 января 2025 года.

Как сообщает «Интерфакс», предлагается дополнить КоАП РФ новой статьёй 13.53, устанавливающей ответственность за умышленный поиск в интернете «заведомо экстремистских материалов», включённых в соответствующий список, а также за получение доступа к ним, в том числе с использованием VPN. За это предусмотрен штраф для граждан в размере от 3 до 5 тысяч рублей.

Реклама технических средств доступа к информационным ресурсам, доступ к которым ограничен, повлечёт административную ответственность: штраф для граждан составит от 50 до 80 тысяч рублей, для должностных лиц — от 80 до 150 тысяч рублей, для юридических лиц — от 200 до 500 тысяч рублей.

Неисполнение владельцем VPN-сервиса требований по взаимодействию с Роскомнадзором или отказ от подключения к государственной информационной системе учёта ресурсов повлечёт аналогичные штрафы: для граждан — от 50 до 80 тысяч рублей, для должностных лиц — от 80 до 150 тысяч, для юридических лиц — от 200 до 500 тысяч рублей. При повторных нарушениях размер штрафов увеличится в 2–4 раза.

Как отметил юрист Станислав Селезнёв в комментарии для Forbes, ранее в российском законодательстве отсутствовала ответственность за потребление контента. Сведения о поисковых запросах и доступе к сайтам правоохранительные органы могут получать у владельцев поисковых систем и операторов связи — если пользователь не шифрует трафик.

По словам источника Forbes, доказать факт такого правонарушения затруднительно без изъятия устройства.

«К тексту очень много вопросов и замечаний. Можно лишь пожелать, чтобы для думских инициатив были предусмотрены процедуры, аналогичные тем, что применяются к правительственным законопроектам — это могло бы значительно повысить качество депутатских инициатив», — отметил собеседник Forbes из отрасли.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru