Некорректная работа Рамблер-почты позволяет собирать спам-базу

Александр Панасенко 01 Июля 2009 - 12:24

...

28 июня 2009 года на одном из специализированных форумов автором под ником Exitusletaris была опубликована информация о том, что на rambler.ru при регистрации новой почты или при клике по ссылке восстановления пароля становится возможным перехватывать чужие сессии, причем при обновлении страницы сессия меняется. Причиной «бага» стал неправильно работающий скрипт reminder.cgi, что позволяет собрать спам-базу.

На следующий день другой автор под ником Panaslonik представил методику, использующую данную уязвимость. За два с половиной часа было получено 13686 файлов-ответов, то есть ответы шли со скоростью 1,55 ответа в секунду. В результате выборочной ручной обработки было выявлено, что «Имя Фамилия» всегда соответствовали «e-mail», даже при повторениях, некоторым именам случайным образом иногда давался номер ICQ, причем каждый раз другой. И иногда их было даже два абсолютно разных на одной странице. Затем с помощью парсера были извлечены «Имя Фамилия» и «e-mail», посчитаны количество уникальных имен и выдан результат в файл с разделителями, который пригоден для дальнейшего анализа в Excel. Таким образом, были получены 2417 уникальных e-mail адресов. Автор сделал вывод, что таким образом злоумышленники могли получать 0,27 адреса в секунду или 16,2 адреса в минуту.

Несмотря на то, что данный способ кажется немного медленным по сравнению с другими способами получения уникальных e-mail-адресов. При том что формирование базы для спама с помощью парсеров, явление весьма распространенное. Однако в данном случает на практике была продемонстрирована одна из серьезных уязвимостей, которые, видимо, могут иметься и у других поисковиков.

В компании «Рамблер» сообщили, что ошибка уже исправлена. «Мы постоянно обновляем и улучшаем почту, в том числе и с точки зрения ее безопасности, - прокомментировал руководитель коммуникационных сервисов «Рамблера» Павел Рогожин. - После одного из таких обновлений возникла внештатная ситуация. Ошибка была устранено оперативно. Никто из наших пользователей не обращался в службу поддержки по поводу этого инцидента. Если же у клиентов почты «Рамблера» возникли какие-либо трудности, с этим связанные, – мы готовы их быстро решить».

источник

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Яков Шпунт 30 Апреля 2025 - 16:36

Соответствие законодательству РФ Корпорации Соответствие требованиям регуляторов Стахановец

Компания Стахановец получила лицензию ФСТЭК России

Компания «Стахановец» получила бессрочную лицензию ФСТЭК России на разработку и производство средств защиты конфиденциальной информации. Продукт, представленный на рынке с 2009 года, входит в Реестр российского программного обеспечения.

Согласно лицензии № Л050-00107-77/02210986, компания имеет право разрабатывать и производить программно-технические комплексы для защиты, обработки и контроля информации, а также внедрять их на объектах критической информационной инфраструктуры.

Ранее система «Стахановец», предназначенная для защиты от утечек данных и мониторинга сотрудников, получила сертификат соответствия ФСТЭК России по 4 уровню доверия.

«Для нас, как для разработчика, критически важно не только расширять функциональность решения, но и обеспечивать максимально высокий уровень безопасности», — отметил генеральный директор компании Дмитрий Исаев.

«Это цель, которую ставят перед собой лидеры рынка, и важный критерий для наших клиентов. Мы ценим их обратную связь и считаем принципиально важным соответствовать требованиям регуляторов в области ИТ-безопасности».

Некорректная работа Рамблер-почты позволяет собирать спам-базу

Читайте также